Blokują komputer i żądają okupu

Nie tylko firmowe, ale i domowe komputery stają się przedmiotem ataku cyberprzestępców. Jednym z zagrożeń jest tzw. ransomware – program żądający okupu za uruchomienie zablokowanego urządzenia.

Atak ransomware polega na blokowaniu poprzez szyfrowanie dostępu do plików w celu uzyskania okupu.

– Ransomware należy do kategorii ataków masowych, nieukierunkowanych – mówi Leszek Tasiemski, wiceprezes ds. badań i rozwoju w firmie F-Secure. – Oznacza to, że przestępcy nie wybierają ofiar i nie ma dla nich znaczenia, czy zaatakowali dużą korporację, czy domowego użytkownika. Liczy się jedynie uzyskanie okupu. Użytkownicy domowi są zagrożeni w takim samym stopniu, jak firmy i instytucje.

Dla przestępców ważny jest każdy użytkownik, ponieważ liczy się efekt skali. Żądając relatywnie niewielkich płatności od dużej liczby ofiar, osiągają zakładane zyski. A dzięki płatnościom za pomocą bitcoinów lub innej kryptowaluty zachowują anonimowość.

Okup waha się, w przeliczeniu, od kilkuset do kilku tysięcy złotych. W zależności od kraju, przestępcy stosują odpowiedni przelicznik (tzw. Big Mac Index).

Uwaga na załączniki

Przeważnie ransomware rozprzestrzenia się, podszywając się pod fakturę, informację o dostawie zamówionego towaru lub załączone CV. Często znajduje się w załącznikach e-maili ze spamem. Kiedy użytkownik otworzy załącznik, rozpoczyna się proces szyfrowania.

Do ataku wykorzystywane są także wyskakujące okienka na stronach www. Są tam na przykład oferowane darmowe zasoby, takie jak muzyka lub filmy. Jednak czasem źródło ataku jest inne. WannaCry potrafił atakować komputery automatycznie przez lukę w zabezpieczeniach Windows. Dlatego ważne jest, żeby zawsze dbać o aktualizację systemu.

Według Intel Security, obecnie w internecie aktywnych jest ok. 400 odmian oprogramowania ransomware. Żaden system operacyjny nie jest bezpieczny. Wśród ransomware są aplikacje przeznaczone także dla OS X oraz Linux. Do najbardziej agresywnych programów ransomware należą obecnie: WannaCry, Petna i Bad Rabbit.

Aplikacje komercyjne lub bezpłatne

Wielu dostawców oprogramowania zabezpieczającego oferuje narzędzia pozwalające usunąć z systemu popularne aplikacje ransomware i odszyfrować zablokowane pliki. Aby z takich rozwiązań skorzystać, niekoniecznie trzeba kupować aplikacje komercyjne. Można zastosować bezpłatne, takie jak np.: Alcatraz Locker, Apocalypse, BadBlock, Crypt888, CrySiS, HiddenTear, NoobCrypt, SZFLocker czy TeslaCrypt.

Niestety, zdarza się, że komputer zostanie zainfekowany przez ransmoware, z którym twórcy aplikacji zabezpieczających jeszcze sobie nie radzą. W tej sytuacji należy przede wszystkim oszacować straty i rozważyć rezygnację, przynajmniej czasową, z zainfekowanych dokumentów. Niewykluczone, że za jakiś czas pojawi się program, który będzie się mógł uporać z problemem.

Absolutnie nie należy negocjować z oszustami, co czasami niektórzy poszkodowani usiłują robić. Zapłacenie okupu nie doprowadzi do oczyszczenia systemu, nawet jeśli dostęp do plików został przywrócony.

– Przestrzegamy przed płaceniem, bo wcale nie ma gwarancji, że będzie można odzyskać dane. A nawet jeśli tak się stanie, to możliwe, że przestępcy zaatakują ponownie, ponieważ zwykle zostawiają sobie tylne wejście do zarażonego komputera – mówi Marek Krauze z Trend Micro Polska. – Poza tym wspieranie cyberprzestępców jest z moralnego punktu widzenia wątpliwe. Płacąc im finansujemy przestępczy proceder i umożliwiamy tworzenie coraz doskonalszych narzędzi.

Kopie zapasowe w doskonalszej wersji

Często zalecanym zabezpieczeniem przed konsekwencjami ataku ransomware jest tworzenie kopii zapasowych (backup). Jednak nie zawsze jest to skuteczne. Na przykład WannaCry potrafi szyfrować również zasoby sieciowe podłączane do komputera.

W takiej sytuacji ochronę zapewni backup bazujący na mechanizmie migawek (funkcje te oferują niektóre domowe serwery NAS); wtedy przechowywanych jest wiele wersji skopiowanych danych. W razie ataku ransomware użytkownik może po prostu przywrócić dane do poprzedniej wersji. Można też wykorzystać do backupu dyski zewnętrzne podłączane przez USB lub rozwiązania w chmurze.

– W momencie utraty danych na urządzeniach lokalnych można szybko odzyskać je z aktualnej kopii zapasowej, przechowywanej w chmurze. Kluczowe jest jednak cykliczne i częste robienie pełnego backupu. Pozwoli to szybko odzyskać dostęp do zaszyfrowanych informacji – mówi Marcin Zmaczyński, dyrektor CEE Aruba Cloud. ©?

Jak uchronić się przed atakiem cyberprzestępców

Żeby zminimalizować ryzyko infekcji komputera:

– musisz zainstalować program antywirusowy, choć nie gwarantuje on ochrony w stu procentach; rozwiązania sygnaturowe nie zawsze potrafią ochronić przed najnowszymi zagrożeniami, ale wyeliminują ryzyko związane z zagrożeniami znanymi i rozpracowanymi;

– upewnij się, że Adobe Flash jest wyłączony lub używaj przeglądarki, w której jest on domyślnie dezaktywowany (np. Google Chrome);

– wyłącz obsługę makr w pakiecie MS Office, jeśli go używasz (można to zrobić z poziomu panelu: centrum zaufania dostępnego w menu: opcje);

– nie klikaj w podejrzane odnośniki niezależnie od tego, czy znajdują się na stronie internetowej, czy w treści e-maila; linki do instalatora aplikacji ransomware są najpopularniejszą metodą ataku;

– unikaj witryn powszechnie uznawanych za potencjalnie szkodliwe (z pornografią, pirackim oprogramowaniem, itp.);

– aktualizuj systemy operacyjne i aplikacje; luki w systemach operacyjnych oraz aplikacjach najczęściej są wykorzystywane do uruchamiania złośliwego kodu;

– regularnie rób kopie zapasowe; proces backupu powinien być zautomatyzowany (użytkownik sam rzadko dba o systematyczność);

– rozważ funkcje backapu w chmurze lub backupu migawkowego (kopia każdej wersji) we własnej sieci, która często jest dostępna w domowych serwerach NAS; wówczas zawsze odzyskasz jakąś wersję dokumentu.

Opinia

Marek Krauze | Trend Micro Polska

Nie ma niestety złotego środka, który pozwala zabezpieczyć się przed atakiem ransomware. Na pewno trzeba wyposażyć się w odpowiednio skuteczne oprogramowanie ochronne. Należy zwrócić uwagę, aby ochrona bazowała nie tylko na sygnaturach, ale również wykorzystywała inne technologie, np. uczenie maszynowe, wykrywanie złośliwych zachowań, itp. Istotna jest również „higiena pracy”. Warto pamiętać, że wszelkiego rodzaju niesamowite okazje trafiają się niezwykle rzadko. Rachunki za prąd czy telefon zwykle nie odbiegają od standardu, a firmy kurierskie nie przysyłają nam paczek same z siebie. Dlatego z dużą podejrzliwością należy traktować pocztę elektroniczną z nietypowymi załącznikami lub linkami. ©?

Wojciech Głażewski | Check Point Software Technologies