Ransomware - płacić, czy nie płacić?
Od kilku lat coraz większym zagrożeniem staje się szkodliwe oprogramowanie typu ransomware, którego głównym zadaniem jest dotarcie do komputera użytkownika, zablokowanie dostępu do systemu operacyjnego lub plików i wymuszenie okupu w zamian za odblokowanie komputera. Oprogramowanie tego typu szybko ewoluuje i zmienia sposób działania. W zależności od wykorzystywanych mechanizmów, może powodować stres i irytację, albo poważne zagrożenie. Poza utratą danych i pieniędzy, w ekstremalnych sytuacjach może doprowadzić nawet do samobójstwa ofiary. Jak działają, jak się przed nimi bronić i co zrobić jeśli już zainfekowały nasz komputer?
Schemat działania tego typu wirusów jest niemal zawsze taki sam - szkodliwe oprogramowanie dodawane jest jako załącznik do masowo rozsyłanego spamu. Wiadomości generowane przez cyberprzestępców są często bardzo wyrafinowane i w zręczny sposób starają się nakłonić ofiarę do otwarcia załącznika i instalacji wirusa na komputerze. W tym celu podszywają się pod firmy kurierskie, telekomunikacyjne, lub sklepy internetowe, przekonując odbiorcę, że w załączniku znajduje się faktura, list przewozowy, lub inny ważny dokument. Jeśli użytkownik da się przekonać i otworzy załącznik, instaluje na swoim komputerze oprogramowanie, które go zablokuje i wyświetli komunikat z żądaniem okupu.
Na tym etapie przestępcy nadal utrzymują psychologiczną presję na ofierze - w tym celu często podszywają się pod oficjalne instytucje, takie jak policja, organizacje antypirackie, czy nawet FBI, informując, że komputer został zablokowany z powodu rzekomych nielegalnych operacji wykonywanych przez użytkownika. Ofiara ma więc zapłacić grzywnę, w celu odzyskania dostępu do swojego komputera.
Presja jest ogromna - komunikat często zawiera zegar, który odlicza czas (np. 72 godziny), który pozostał na zapłacenie okupu. Po tym czasie dane zostaną bezpowrotnie utracone. Czy jest szansa na odzyskanie kontroli nad komputerem i danymi, bez utraty znacznej ilości pieniędzy (okup może wynosić od kilkuset do nawet kilkunastu tysięcy dolarów!)?
Ransomware - straszak, czy prawdziwe zagrożenie?
Wszystko zależy od tego, z jaką wersją wirusa mamy do czynienia. Oprogramowanie typu ransomware ma dwa podstawowe poziomy działania - przede wszystkim blokuje dostęp do systemu operacyjnego, ale może także zaszyfrować wszystkie pliki i foldery dostępne z poziomu zainfekowanej maszyny. O ile w pierwszym przypadku atak jest bardziej irytujący niż niebezpieczny, w drugim - właśnie utraciliśmy nasze dane.
Jeśli wirus jedynie zablokował dostęp do systemu operacyjnego, mamy do czynienia z atakiem typu scareware - a więc przeprowadzonym w celu wystraszenia ofiary i w ten sposób zmuszenia jej do zapłacenia okupu. Atak ten jest jednak stosunkowo prosty do odparcia - nawet jeśli komputer został zablokowany, możemy go uruchomić wykorzystując dobry program antywirusowy, który np. aktywowany z ‘płyty awaryjnej” przeprowadzi skanowanie systemu i zdezaktywuje wirusa. Bardziej zaawansowany użytkownik jest nawet w stanie samodzielnie usunąć takiego wirusa.
CryptoLocker
Jeśli jednak trafiliśmy na bardziej zaawansowaną wersję oprogramowania, po odblokowaniu systemu, okaże się, że wszystkie zapisane na nim pliki i foldery są zaszyfrowane. Tak właśnie działa CryptoLocker. Jest to najbardziej zaawansowana wersja wirusa wymuszającego okup, która szyfruje wszystkie pliki na komputerze, a także ma możliwość szyfrowania zasobów sieciowych. Jeśli więc korzystamy z oprogramowania, które automatycznie tworzy kopię zapasową i kopia ta będzie w chwili ataku dostępna przez naszą sieć - także i backup zostanie zaszyfrowany.
Po otwarciu zainfekowanego załącznika, CryptoLocker instaluje się na naszym komputerze, pobiera z serwera przestępców klucz prywatny, a następnie szyfruje pliki z użyciem 2048-bitowego algorytmu RSA. Następnie wyświetla komunikat, zgodnie z którym mamy 72 godziny na zapłacenie okupu. Po tym czasie program sam się odinstaluje - niestety razem z nim zniknie klucz publiczny, a więc nasze pliki będą niemożliwe do odszyfrowania.
Podobnie stanie się w przypadku jeśli samodzielnie odinstalujemy program, lub użyjemy do tego celu antywirusa. W obu przypadkach wraz z wirusem usuwany jest także klucz publiczny, a na naszym komputerze pozostają jedynie bezużyteczne pliki, których na chwilę obecną NIE DA SIĘ ODSZYFROWAĆ (szansę na to daje dopiero komputer kwantowy, nad którego skonstruowaniem inżynierowie i naukowcy z marnym skutkiem pracują od lat). Dla porządku powtórzę raz jeszcze - nie istnieją obecnie środki techniczne, pozwalające na złamanie 2048-bitowego algorytmu RSA.
Czy więc powinniśmy zapłacić okup?
Nie mam dobrych wiadomości - nawet wpłacenie żądanej sumy nie gwarantuje, że dostaniemy klucz służący do odszyfrowania plików. Wprawdzie twórcy wirusa wykazali się pewną przyzwoitością podczas tworzenia programu zadbali o to, żeby po wpłaceniu okupu, system automatycznie odszyfrowywał zawartość komputera, ale działania specjalistów ds. bezpieczeństwa i policji, doprowadziły do zamknięcia części serwerów, obsługujących system, więc proces odblokowywania zawartości nie zawsze działa. A to znaczy, że poza straconymi pieniędzmi, tak czy inaczej stracimy wszystkie zaszyfrowane dane.
Jak się zabezpieczyć?
- nie otwieraj maili, a tym bardziej załączników z nieznanych, niepotwierdzonych lub podejrzanych źródeł; zdrowy rozsądek jest najskuteczniejszą ochroną przed wirusem;
- używaj dobrego oprogramowania do ochrony komputera, pamiętaj o jego aktualizacji - w sieci pojawiają się wciąż nowe generacje i odmiany wirusów, dlatego bardzo ważne jest posiadanie aktualnej bazy sygnatur;
- zawsze twórz kopię zapasową najważniejszych plików i przechowuj ją offline (np. na płycie, pendrivie, zewnętrznym dysku);
- o ile to możliwe (nie ma ku temu przeciwwskazań ze względu na bezpieczeństwo wrażliwych danych) przechowuj swoje pliki w chmurze, np. DropBoxie, Google Drive, itp.
Padłem ofiarą wirusa - co teraz?
Jeśli już padłeś ofiarą ataku, nie podejmuj decyzji pochopnie - sprawdź z jakim zagrożeniem masz do czynienia i czy możliwe jest odzyskanie dostępu do plików z użyciem ogólnodostępnych narzędzi. Na szczęście starsze wersje oprogramowania szyfrującego, wykorzystują mniej zaawansowane algorytmy, czasami także nowe wersje wirusów posiadają luki i błędy w szyfrowaniu, więc czasami istnieje możliwość ich złamania - jeśli masz wątpliwości, skonsultuj się ze specjalistą!
Bez względu na wszystko pamiętaj - nie negocjuje się z terrorystami! Wpłacając okup, finansujesz prace nad nową generacją złośliwego oprogramowania i sprawiasz, że ich tworzenie i rozpowszechnianie jest opłacalne! Nigdy nie masz pewności, że przestępcy odeślą Ci klucz prywatny, dodatkowo zwiększasz prawdopodobieństwo, że staniesz się celem kolejnych ataków.