Ransomware útoky a jak se s nimi vypořádat

V dnešních dnech se objevuje spousta zpráv o ransomwaru. Je překvapující, jak málo lidí ví, co to znamená, a co se stane, když vás napadne.

Zde je přehled opatření, která můžete přijmout pro vaši ochranu a co dělat, pokud se stane to nejhorší.

Co je ransomware?

Ransomware je typ malwaru používaný při pokusu o získání peněz od svých obětí – tím, že požaduje výkupné. Většina programů je navržena tak, aby tiše seděla ve vašem systému a pomalu šifrovala soubory. Teprve poté, co šifrování dokončí vám zobrazí varování – buď zaplatíte nebo ztratíte své soubory navždy.

Žádný bezpečnostní systém není neomylný. Malware má za cíl být o krok napřed. Pokud jste se stali jeho obětí níže uvádíme několik užitečných pokynů, které vám pomohou:

Krok 1: Minimalizujte škody

Za prvé, izolujte postižený systém, zejména pokud je připojen k síti, abyste zabránili infekci jiných systémů.

Pokud jste IT správcem a vaše servery jsou infikovány, odpojte všechny ethernetové kabely.

Nesnažte se o zálohování kopírováním souborů na externí disk. Možná si myslíte, že je dobré ukládat soubory, které ještě nejsou zašifrovány, ale ty také mohou šířit malware. Když do infikovaného počítače vložíte disk nebo USB, malware se může znovu zkopírovat na nově vloženou jednotku.

Když je tento disk / USB vložen do jiného počítače, malware může infikovat také tento systém. Nebo v horším případě můžete dojít k infikaci vlastního systému poté, co vynaložíte veškeré úsilí na jeho vyčištění. Takže nejlepší je karanténa postiženého počítače.

Krok 2: Určete typ ransomwaru

Existují různé typy ransomwaru, některé jsou nebezpečnější a obtížnější než jiné. Můžete použít různé strategie, jak se ho zbavit v závislosti na typu a charakteristice útoku. Nejběžnější druhy spadají do těchto kategorií:

  1. Scareware / Falešný antivirus
    Scareware, známý také jako falešný antivirový program, je kategorie malwaru, která uživatele uvede do přesvědčení, že je v jejich systému něco špatně.
    Ti si pak musí pořídit jiný software, aby jej vyčistil. Samozřejmě, že v počítači není nic špatného a velmi často nákup dalšího softwaru vede ke skutečné infekci.
    Ve většině případů funguje tak, že zobrazuje vyskakovací zprávu oznamující problémy velkým tučným textem ve středu obrazovky, jako je zjištěný virus, zpomalení systému nebo problémy s registrem, které musí být vyřešeny. Může také obsahovat tlačítko, které přesměruje uživatele na webové stránky s malwarem, i když je vyskakovací okno zavřeno. Zde je obrázek jednoho:
    Scareware je pravděpodobně nejsnadnější ze všech malware co se týče vyřešení. Stačí zavřít kartu prohlížeče a vyskakovací okno zmizí. Pokud se ve vašem operačním systému objevují vyskakovací obrazovky, bude možná potřeba zjistit jejich spustitelný soubor pomocí Správce úloh nebo pokročilého průzkumníka procesů. Pak jej stačí smazat nebo odinstalovat. Pokud máte stále problémy, spusťte antivirový nebo antimalwarový program.
  2. Uzamčení obrazovky
    Tato kategorie ransomware vám neumožňuje spustit počítač, dokud nezaplatíte výkupné. Ve většině případů se zobrazí okno s upozorněním přes celou obrazovkou. Může tvrdit, že pochází od FBI ohledně nelegální stahování online obsahu. V jiných případech je nastaven pornografický snímek jako tapeta, kterou nelze změnit. Spoléhá se na to, že se oběť vyděsí a zaplatí. Pokročilejší programy sledují činnost uživatelů několik dní a zobrazují přizpůsobené upozornění, které je více uvěřitelné a zastrašující. Zde je příklad:
    Pokud jste nakaženi některým z těchto způsobů, pokuste se nejprve identifikovat spustitelný soubor, který ho způsobil. Ve většině případů se jednoduše stisknutím kláves CTRL + ALT + DEL dostanete do Správce úloh, kde lze program zavřít.
    Dokonce i po odstranění spustitelného souboru je dobré spustit antivirový program pro odstranění všech zbývajících stop.  Pokud tato řešení nefungují, budete možná muset obnovit systém Windows, aby se dostal zpět do stavu, kdy neobsahoval malware nebo kdy malware ještě byl ve spánkovém módu.
  3. Šifrování souborů
    Poslední a nejnebezpečnější kategorií jsou programy, které zašifrují všechny vaše soubory a činí je nepoužitelnými, pokud nezaplatíte výkupné. Typicky se dostanou do systému oběti a tiše začnou zašifrovat všechny soubory, čímž je činí zcela nepoužitelnými.
    Po dokončení budou požadovat platbu za jejich dešifrování. V současné době krypto měny jako bitcoin a anonymita, kterou poskytují, představují skvělý způsob, jak útočníkům zaplatit. Toto jsou obrázky, které viděli oběti útoku Wannacry:
    Je také dobré pochopit, jak šifrování funguje. To vám může pomoci získat informace o tom, jak můžete dekódovat vaše soubory zpět.
    Většina programů používá kombinaci symetrického a asymetrického šifrování, když běží (klikněte zde pro další informace o různých typech šifrování). Symetrické šifrování je užitečné, protože umožňuje útočníkovi šifrovat soubory rychleji než asymetrické. Asymetrické šifrování však znamená, že útočníci musí chránit pouze jeden soukromý klíč. Jinak by museli udržovat a chránit symetrické klíče pro všechny oběti.

Řídicí a kontrolní servery (C&C) se obecně používají pro programovou komunikaci. Tímto způsobem ransomware pro šifrování souborů používá symetrické i asymetrické šifrování k provádění útoku:

  • Útočník generuje soukromý veřejný klíč, který používá libovolný z mnoha dostupných asymetrických šifrovacích algoritmů, jako je RSA-256.
  • Soukromé klíče jsou chráněny útočníkem, zatímco veřejné jsou zakotveny v ransomware programu.
  • Nový systém oběti je infikován ransomware. Odesílá informace spolu s jedinečným identifikačním systémem nebo identifikačním číslem oběti na server C&C.
  • Pomocí jednoho symetrického šifrovacího algoritmu (např. AES) server generuje a odešle symetrický klíč specificky pro tento systém oběti. Symetrický klíč je pak šifrován pomocí soukromého.
  • Program ransomware využívá zabudovaný veřejný klíč k dešifrování symetrického programu – poté spustí šifrování všech souborů.

Nyní, když víte, jak přesně ransomware funguje, podívejme se na vaše možnosti, když je váš systém infikován.

Krok 3: Rozhodněte se o vaší strategii

Výše jsme diskutovali o metodách pro odstranění prvních dvou kategorií ransomwaru, které jsou relativně snadné.

Programy šifrování souborů jsou obtížněji odstranitelné.  Nejprve budete muset určit typ škodlivého softwaru, s nímž se potýkáte. Informace o novějších programech nemusí být dostupné, protože nové jsou vyvíjeny každý den. Ve většině případů byste to však měli být schopni pomocí malého výzkumu určit.

Pokuste se provést screenshoty zpráv o výkupném a pak obraťte vyhledávání obrázků, abyste zjistili přesný typ ransomwaru.  Můžete také vyhledávat fráze použité v textu zprávy.

Rozhodněte se, zda chcete nebo nechcete platit výkupné. Přestože se nedoporučuje útočníkům platit, protože je to jen povzbuzuje, někdy jsou vaše data příliš citlivá nebo důležitá, abyste si mohli dovolit je ztratit. Použijte svůj úsudek a neplaťte, pokud to není absolutně nutné.

V nejhorším případě byste měli samozřejmě vzít v úvahu, že neexistuje žádná záruka, že vaše údaje budou vráceny ani po zaplacení.

Krok 4: Přijměte nezbytné kroky

Pokud můžete zjistit podrobnosti o ransomwaru, který infikoval váš počítač, vyhledejte způsoby, jak ho odstranit pomocí vyhledávání na webu. Kód malwaru je vždy nedokonalý. Vývojář možná zapomněl odstranit šifrovací klíč z programu, který ho načte a dešifruje.

Pokud je ransomware dostatečně známý a obsahuje určité mezery, měli byste být schopni najít návody a příručky na stránkách, jako je nomoreransom.org, abyste jej mohli odstranit.

Vzhledem k tomu, že mnoho ransomware programů jednoduše smaže původní soubory po šifrování jejich kopie, proto může být možné je obnovit pomocí softwaru pro obnovu dat. Když soubor odstraníte, není fyzicky odstraněn z disku, pokud není přepsán jiným. Mělo by tedy být možné obnovit důležité údaje pomocí softwaru pro bezplatné obnovení.

Pokud žádný z těchto postupů není úspěšný, je nutné učinit rozhodnutí.  Zaplatit výkupné nebo ztratit data. I když zaplatíte, samozřejmě není zaručeno, že vaše data obdržíte zpět.  Zcela se tak spoléháte na dobrou vůli útočníků.

Můžete se také pokusit s útočníky jednat pomocí e-mailové adresy uvedené ve zprávě o výkupném. Budete překvapeni, jak často to funguje.

Pokud se rozhodnete zaplatit výkupné, dalším krokem je vyčištění počítače, čímž ztratíte vaše data navždy.  Pokud máte zálohu na externím disku, NEPŘIPOJUJTE jej k počítači před jeho úplným formátováním.

Nejlepší způsob, jak vyčistit ransomware, je kompletní formátování operačního systému.   Pokud nechcete provést tak drastický krok, ujistěte se, že ransomware neinfikuje boot sektor. Informace o této skutečnosti naleznete na internetu.

Dále aktualizujte antivirový program a proveďte hloubkové otestování systému. Je také dobrý nápad doplnit antivirový program o antimalware pro plnou ochranu. To by mělo zcela odstranit ransomware.

Krok 5: Další kroky

NNyní, když se zbavíte vašeho ransomwaru, je čas se podívat na to, proč jste byli napadeni.  Jak moudrý člověk jednou řekl: „Prevence je lepší než léčba“ a to se týká online zabezpečení více než cokoli jiného. Obrana je jen tak silná jako uživatel a s vhodnými ochrannými opatřeními je obtížné, abyste se stali obětí malware útoku.

Buďte bdělí a pamatujte na tyto body:

  1. Vždy udržujte váš antivirový program aktuální
  2. Vždy zkontrolujte URL webových stránek, které navštěvujete.
  3. Nespouštějte nedůvěryhodné programy ve vašem systému. Věci jako „cracks“, „serials“, „patches“ atd. jsou nejčastějšími zdroji malwaru.
  4. Nedovolte nedůvěryhodným webům spuštění spustitelného obsahu ve vašem prohlížeči.
  5. Aktualizujte svůj operační systém. Malware, včetně ransomwaru, se často šíří prostřednictvím bezpečnostních chyb ve starších operačních systémech. Hacker může například zneužít chybu v softwaru Windows RDP, aby získal přístup k systému veřejně připojenému k internetu a spustil škodlivý software.
Bylo to užitečné? Sdílejte to!
Sdílejte na Facebooku
Tweetujte