Ransomware – wiemy, że jest… a może nie ????

przez | 29 sierpnia 2019

Ransomware – wiemy że jest, przeważnie tyle …

Od czasu do czasu słyszymy o czymś takim, jak ransomware. Dzieje się tak, ponieważ co jakiś czas jest głośno o przypadkach ataku na firmy, instytucje, użytkowników prywatnych, za pomocą tego typu oprogramowania. I najczęściej jest głośno przez jakiś czas, a potem o tym zapominamy.

A może dopiero teraz się o tym dowiadujecie, bo na ekranie wyskoczyło okno z ostrzeżeniem o infekcji???

Wygląda na to, że najwyższy czas zacząć brać poważnie po uwagę tego typu zagrożenie. Może to spotkać każdego z nas, a skutki są wręcz katastrofalne dla naszego komputera i naszych danych.

 

Ransomware – o co w tym wszystkim chodzi?

Jest to złośliwe oprogramowanie blokujące dostęp do naszego komputera i danych, plików osobistych i systemowych. Wszystkie pliki na komputerze są zaszyfrowane i absolutnie niedostępne dla użytkownika. W następnym etapie oprogramowanie żąda od nas okupu, w zamian za przywrócenie dostępu do danych i komputera.  Jest to oferta czasowa, po której tracimy bezpowrotnie dostęp do naszych danych.

Okup ma być zapłacony za klucz deszyfrujące nasze pliki, najczęściej ma być opłacony w postaci kryptowaluty lub przelewu z karty kredytowej. Jednak wielu przypadkach okazuje się, że to za mało. Nawet po zapłaceniu okupu nie otrzymujemy klucza deszyfrującego i tracimy nasze pliki. W ostatnim okresie nasiliły się ataki na firmy, sektor publiczny i urzędy. Zagrożenie jest więc realne, powszechne i poważne.

 

Ransomware –  jak dostaje się do naszego komputera? Metody infekowania.

Metody i sposoby infekowania są różne.  Najpopularniejszą metodą jest złośliwy spam – tzw. malspam – niechciane wiadomości rozsyłane pocztą elektroniczną służące do przesyłania zainfekowanych plików. Najczęściej są to załączniki – dokumenty  w formacie PDF lub Word lub też odnośniki do złośliwych, fałszywych stron internetowych.

Malspam jest skuteczny, bo wykorzystuje metody inżynierii społecznej, aby zachęcić odbiorców do otwierania załączników lub klikania w łącza do stron, które sprawiają wrażenie znajomych lub zaufanych. Pochodzących od naszych znajomych lub też instytucji publicznych. Wykorzystywane metody, to podawanie się za funkcjonariuszy publicznych, policji, urzędów, tak aby zastraszyć swoje ofiary i zmusić je do opłacenia okupu, w zamian za odblokowanie plików.

Inna metoda to złośliwe reklamy tzw. malvertising , popularny od 2016 roku. Rozpowszechniany za pomocą reklam internetowych, nawet bez udziału potencjalnej ofiary. Podczas przeglądania sieci – nawet zaufanych stron – użytkownicy mogą zostać przekierowani na serwery cyberprzestępców, nawet bez klikania w reklamy. Kod jest w specjalnie przygotowanej stronie internetowej, która została podrobiona przez cyberprzestępców specjalnie w tym celu.

Serwery przestępców  gromadzą dane i informacje na temat komputerów potencjalnych ofiar i ich lokalizacji. Następny krok to dopasowanie złośliwego oprogramowania do przeprowadzenia ataku na komputer ofiary. Najczęściej ransomware.

Działanie złośliwych reklam opiera się często o spreparowane, zainfekowane ramki lub elementy strony internetowej niewidoczne gołym okiem.  Ramka przekierowuje użytkownika na stronę przestępców. Tam złośliwy kod atakuje ofiarę za pomocą tzw. exploit kitu. Co jest w tym najistotniejsze, dzieje się to bez wiedzy ofiary. Określane jest mianem ataku drive-by-download – automatyczne pobranie zainfekowanych, niepożądanych plików.

 

Główne typy oprogramowania ransomware.

Najczęściej występują trzy typy oprogramowania ransomware, o różnym stopniu zagrożenia. Od nieznacznie irytujących reklam, po totalną katastrofę dla naszych danych. Ale nie ignorujmy żadnego z nich, bo raz otwarta furtka stanowi podatność i zagrożenie do kolejnych ataków na nasz komputer.

Scareware

Scareware – inaczej oprogramowanie zastraszające. To oprogramowanie podszywające się pod oprogramowanie zabezpieczające lub pracowników biura obsługi, czy pomocy technicznej. Najczęściej to nagle wyskakujące okno, alarmujący komunikat  z informacją o infekcji złośliwego oprogramowania, która może być usunięta za opłatą. Może to być też komunikat o podaniu loginów, potwierdzeniu logowania poprzez ponowne zalogowanie, bądź wezwanie do zmiany hasła .

Ważne, abyśmy podjęli działanie pożądane przez oprogramowanie, bo wtedy nastąpi zainfekowanie naszych danych. Może to być też wezwanie do usunięcia zainfekowanych plików, poprzez kliknięcie w przyciski lub linki zawarte w komunikacie. Trzeba pamiętać, że jeśli mamy zainstalowany program zabezpieczający, to nie wysyła on takich komunikatów.  Wyglądają one zupełnie inaczej. Tak więc uważnie czytajmy i sprawdzajmy zanim klikniemy w cokolwiek na ekranie.

 

Blokada ekranu.

Kolejny poziom zagrożenia. Tak infekcja całkowicie uniemożliwia korzystanie z komputera. Wyświetlany jest komunikat , zwykle z odznaką policji, urzędu lub państwowego organu bezpieczeństwa. Zawarta jest informacja o wykryciu nielegalnej aktywności i działalności na komputerze  – no i żądanie okupu. Policja i instytucje bezpieczeństwa nie działają w ten sposób, więc musi to być ransomware.

 

Oprogramowanie szyfrujące

Kolejny poziom zagrożenia.  Znacznie poważniejszy. Tego typu oprogramowanie kradnie i szyfruje pliki, z żądaniem okupu za ich odblokowanie. Jest to o tyle poważne, że oprogramowanie szyfrujące przekazuje zainfekowane pliki przestępcom. To oznacza, że szalenie trudno jest je odszyfrować innym programem deszyfrującym. Nie uiszczeni opłaty kończy się utratą danych. Nawet jeśli zapłacimy nie mamy gwarancji na odszyfrowanie a po takiej operacji nadal nie wiadomo, jakie furtki w oprogramowaniu zostały wstawione do plików. Tak czy owak nie dane nie są już bezpieczne dla nas i naszego komputera.

 

Ransomware – krótka historia.

Pierwsze tego typu oprymowanie PC Cyborg lub Aids powstało pod koniec lat 80-tych. W kolejnych latach pojawiały się nowe warianty tego oprogramowania. Prawdziwy rozwój ransomware nastąpił w 2004 – nowy produkt o nazwie GpCode stosujący algorytm szyfrowania RSA. W 2007 nowy typ oprogramowania  Winlock – blokował dostęp do komputerów.

W 2012 powstaje ransomware Reveton jako nowy typ zagrożenia. Podszywa się pod organy bezpieczeństwa, z wezwaniem do zapłacenia opłaty za pobieranie nielegalnych plików. Przeciętny użytkownik myślał, że toczy się postępowanie i decydował się zapłacić żądaną kwotę.

2013 – powstaje CryptoLocker. Oprogramowanie posiada klucz szyfrujący klasy wojskowej.

 

Ransomware na telefony komórkowe.

W związku za tak gwałtownym rozwojem urządzeń mobilnych, powstało oprogramowanie szyfrujące na bazie CryptoLockera.  Wyświetla komunikat o blokadzie i wezwanie do zapłaty okupu. Rozpowszechniany za pomocą programów i aplikacji na telefony komórkowe. Jest coraz bardziej powszechny i stanowi coraz większe zagrożenie. Z roku na rok ilość zagrożeń tego typu podwaja się.

 

Kierunki ataków i zagrożeń.

Początkowo były to pojedyncze systemy zwykłych użytkowników. Ale obecnie kierunek jest szeroki. Ataki na firmy i urzędy, instytucje rządowe i prywatne. Szpitale, metro czy elektrownie. Liczba ta wciąż wzrasta.

W 2016 r.  ok 13% wykrytych zagrożeń w firmach wiązało się z ransomware. Ale w 2017 było to już ponad 35%. W 2018 roku liczba ataków podwoiła się.

Geograficznie ataki skupiały się na krajach zachodnich – Wielka Brytania, USA i Kanada. Czynniki decydujące przy wyborze  to zamożność społeczeństwa i biznesu w danym kraju oraz dostęp do bankowości i internetu.  Kolejny czynnik  to popularność i powszechność sprzętu komputerowego dla użytkowników indywidualnych i firm. Dlatego Europa jest w czołówce ataków ransomware.

Kolejne kierunki to kraje azjatyckie i południowoamerykańskie.

 

Mój komputer jest zainfekowany – co mam zrobić.

Przede wszystkim – nie płacić okupu.

Obecnie są dostępne rożnego rodzaju dekryptory, można spróbować odzyskać pliki. Wszystko zależy od zastosowanego rodzaju i algorytmu szyfrowania.  Nie wszystkie rodzaje ransomware można odszyfrować. Dlatego lepiej skorzystać z pomocy specjalistów IT.

Dobrym rozwiązaniem jest zainstalowanie oprogramowania zabezpieczającego z modułem anti-ransomware. Taki program po wystartowaniu w płyty bootującej lub urządzenia USB uruchomi skanowanie i próbę zwalczenia zagrożenia.

Pierwszy krok, po zauważeniu czegoś niepokojącego to odłączenie internetu, wyłączenie komputera.

Wyłączenie internetu uniemożliwi odbiór instrukcji z serwera  sterowania i kontroli. Bez dostępu do klucza oprogramowanie może pozostać bezczynne.  Na tym etapie można  spróbować instalacji oprogramowania zabezpieczającego i uruchomić skanowanie.

Z praktyki – okazuje się często, że jedynym skutecznym rozwiązaniem jest kopia zapasowa danych na dysku zewnętrznym. 

 

Ransomware – Jak się chronić ?

Przede wszystkim zapobiegać.

Pierwszy krok

To instalacja solidnego oprogramowania zabezpieczającego z modułem anti-ransomware. W czasie rzeczywistym. Chodzi o zablokowanie akcji podjętej przez ransomware, zanim zainfekuje nasze pliki. Czyli taki program, gdzie moduł działa cały czas w czasie rzeczywistym i śledzi porty i pliki w czasie pracy komputera. Po kątem ransomware.

 

Drugi krok.

Kopie zapasowe. Może wydawać się kłopotliwe, ale często okaże się jedynym skutecznym rozwiązaniem. Może to być zewnętrzny dysk twardy, urządzenie USB. Rozwiązania chmurowe nie zawsze będą efektywne, ze względu na rozmiar plików – sam Windows 10  to 25-30 GB danych, a gdzie nasze dane?? Średni rozmiar kopii zapasowej to zwykle 60 GB do 100 GB danych.

 

Trzeci krok –  aktualizacje

Pamiętajmy, że oprogramowanie ransomware wykorzystuje również luki programowe w zabezpieczeniach systemowych. Aktualizacje na bieżąco to pierwsza linia obrony komputera.

 

Czwarty krok

Świadomość realności problemu. Jak na razie okazuje się że najczęściej zawodzi czynnik ludzki. Błąd ludzki jest najczęstszym powodem infekcji. Dlatego tak skuteczna jest inżynieria społeczna. Czyli odpowiednie zachowania w trakcie użytkowania sprzętu komputerowego.

Unikanie niebezpiecznych stron, nie klikać w odnośniki, nie ściągać plików z nieznanych źródeł, nie otwierać plików, nie używać pamięci USB nieznanych nam,  zdrowy rozsądek. Jeśli coś wydaje się podejrzane to zapewne takie jest.

 

Tak więc zdrowy rozsądek, oprogramowanie zabezpieczające i kopia zapasowa.

 

 

 

3 myśli nt. „Ransomware – wiemy, że jest… a może nie ????

  1. Robert Słoń

    Dlatego ja co drugi dzień robię kopię na dysk zewnętrzny i zawsze trzymam się wszystkich wytyczonych aktualizacji. Najważniejsze, to nie płacić, bo dostępu i tak pewnie nie będzie do danych z komputera.

    Odpowiedz
  2. Robert Słoń

    Dlatego ja co drugi dzień robię kopię na dysk zewnętrzny i zawsze trzymam się wszystkich wytyczonych aktualizacji. Najważniejsze, to nie płacić, bo dostępu i tak pewnie nie będzie do danych z komputera. Trzeba być uważnym!

    Odpowiedz
  3. RMG Autor wpisu

    Dziękujemy za komentarz.
    Tak naprawdę jedyny dobry sposób na tego typu problem to kopia zapasowa. Po takim zdarzeniu nie wiadomo, co gdzie siedzi zaszyte w systemie. Albo postawić pusty system, i wgrać kopię zapasową, żeby mieć spokój.
    Pozdrawiamy. Speclab.

    Odpowiedz

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

6 + 10 =