Ransomware - płacić, czy nie płacić?

środa, 18 marca 2015 przez Linda Kass

Security

Od kilku lat coraz większym zagrożeniem staje się szkodliwe oprogramowanie typu ransomware, którego głównym zadaniem jest dotarcie do komputera użytkownika, zablokowanie dostępu do systemu operacyjnego lub plików i wymuszenie okupu w zamian za odblokowanie komputera. Oprogramowanie tego typu szybko ewoluuje i zmienia sposób działania. W zależności od wykorzystywanych mechanizmów, może powodować stres i irytację, albo poważne zagrożenie. Poza utratą danych i pieniędzy, w ekstremalnych sytuacjach może doprowadzić nawet do samobójstwa ofiary. Jak działają, jak się przed nimi bronić i co zrobić jeśli już zainfekowały nasz komputer?

Schemat działania tego typu wirusów jest niemal zawsze taki sam - szkodliwe oprogramowanie dodawane jest jako załącznik do masowo rozsyłanego spamu. Wiadomości generowane przez cyberprzestępców są często bardzo wyrafinowane i w zręczny sposób starają się nakłonić ofiarę do otwarcia załącznika i instalacji wirusa na komputerze. W tym celu podszywają się pod firmy kurierskie, telekomunikacyjne, lub sklepy internetowe, przekonując odbiorcę, że w załączniku znajduje się faktura, list przewozowy, lub inny ważny dokument. Jeśli użytkownik da się przekonać i otworzy załącznik, instaluje na swoim komputerze oprogramowanie, które go zablokuje i wyświetli komunikat z żądaniem okupu.

Na tym etapie przestępcy nadal utrzymują psychologiczną presję na ofierze - w tym celu często podszywają się pod oficjalne instytucje, takie jak policja, organizacje antypirackie, czy nawet FBI, informując, że komputer został zablokowany z powodu rzekomych nielegalnych operacji wykonywanych przez użytkownika. Ofiara ma więc zapłacić grzywnę, w celu odzyskania dostępu do swojego komputera.

Presja jest ogromna - komunikat często zawiera zegar, który odlicza czas (np. 72 godziny), który pozostał na zapłacenie okupu. Po tym czasie dane zostaną bezpowrotnie utracone. Czy jest szansa na odzyskanie kontroli nad komputerem i danymi, bez utraty znacznej ilości pieniędzy (okup może wynosić od kilkuset do nawet kilkunastu tysięcy dolarów!)?

Ransomware - straszak, czy prawdziwe zagrożenie?

Wszystko zależy od tego, z jaką wersją wirusa mamy do czynienia. Oprogramowanie typu ransomware ma dwa podstawowe poziomy działania - przede wszystkim blokuje dostęp do systemu operacyjnego, ale może także zaszyfrować wszystkie pliki i foldery dostępne z poziomu zainfekowanej maszyny. O ile w pierwszym przypadku atak jest bardziej irytujący niż niebezpieczny, w drugim - właśnie utraciliśmy nasze dane.

Jeśli wirus jedynie zablokował dostęp do systemu operacyjnego, mamy do czynienia z atakiem typu scareware - a więc przeprowadzonym w celu wystraszenia ofiary i w ten sposób zmuszenia jej do zapłacenia okupu. Atak ten jest jednak stosunkowo prosty do odparcia - nawet jeśli komputer został zablokowany, możemy go uruchomić wykorzystując dobry program antywirusowy, który np. aktywowany z ‘płyty awaryjnej” przeprowadzi skanowanie systemu i zdezaktywuje wirusa. Bardziej zaawansowany użytkownik jest nawet w stanie samodzielnie usunąć takiego wirusa.

CryptoLocker

Jeśli jednak trafiliśmy na bardziej zaawansowaną wersję oprogramowania, po odblokowaniu systemu, okaże się, że wszystkie zapisane na nim pliki i foldery są zaszyfrowane. Tak właśnie działa CryptoLocker. Jest to najbardziej zaawansowana wersja wirusa wymuszającego okup, która szyfruje wszystkie pliki na komputerze, a także ma możliwość szyfrowania zasobów sieciowych. Jeśli więc korzystamy z oprogramowania, które automatycznie tworzy kopię zapasową i kopia ta będzie w chwili ataku dostępna przez naszą sieć - także i backup zostanie zaszyfrowany.

Po otwarciu zainfekowanego załącznika, CryptoLocker instaluje się na naszym komputerze, pobiera z serwera przestępców klucz prywatny, a następnie szyfruje pliki z użyciem 2048-bitowego algorytmu RSA. Następnie wyświetla komunikat, zgodnie z którym mamy 72 godziny na zapłacenie okupu. Po tym czasie program sam się odinstaluje - niestety razem z nim zniknie klucz publiczny, a więc nasze pliki będą niemożliwe do odszyfrowania.

Podobnie stanie się w przypadku jeśli samodzielnie odinstalujemy program, lub użyjemy do tego celu antywirusa. W obu przypadkach wraz z wirusem usuwany jest także klucz publiczny, a na naszym komputerze pozostają jedynie bezużyteczne pliki, których na chwilę obecną NIE DA SIĘ ODSZYFROWAĆ (szansę na to daje dopiero komputer kwantowy, nad którego skonstruowaniem inżynierowie i naukowcy z marnym skutkiem pracują od lat). Dla porządku powtórzę raz jeszcze - nie istnieją obecnie środki techniczne, pozwalające na złamanie 2048-bitowego algorytmu RSA.

Czy więc powinniśmy zapłacić okup?

Nie mam dobrych wiadomości - nawet wpłacenie żądanej sumy nie gwarantuje, że dostaniemy klucz służący do odszyfrowania plików. Wprawdzie twórcy wirusa wykazali się pewną przyzwoitością podczas tworzenia programu zadbali o to, żeby po wpłaceniu okupu, system automatycznie odszyfrowywał zawartość komputera, ale działania specjalistów ds. bezpieczeństwa i policji, doprowadziły do zamknięcia części serwerów, obsługujących system, więc proces odblokowywania zawartości nie zawsze działa. A to znaczy, że poza straconymi pieniędzmi, tak czy inaczej stracimy wszystkie zaszyfrowane dane.

 Jak się zabezpieczyć?

  • nie otwieraj maili, a tym bardziej załączników z nieznanych, niepotwierdzonych lub podejrzanych źródeł; zdrowy rozsądek jest najskuteczniejszą ochroną przed wirusem;
  • używaj dobrego oprogramowania do ochrony komputera, pamiętaj o jego aktualizacji - w sieci pojawiają się wciąż nowe generacje i odmiany wirusów, dlatego bardzo ważne jest posiadanie aktualnej bazy sygnatur;
  • zawsze twórz kopię zapasową najważniejszych plików i przechowuj ją offline (np. na płycie, pendrivie, zewnętrznym dysku);
  • o ile to możliwe (nie ma ku temu przeciwwskazań ze względu na bezpieczeństwo wrażliwych danych) przechowuj swoje pliki w chmurze, np. DropBoxie, Google Drive, itp.

Padłem ofiarą wirusa - co teraz?

Jeśli już padłeś ofiarą ataku, nie podejmuj decyzji pochopnie - sprawdź z jakim zagrożeniem masz do czynienia i czy możliwe jest odzyskanie dostępu do plików z użyciem ogólnodostępnych narzędzi. Na szczęście starsze wersje oprogramowania szyfrującego, wykorzystują mniej zaawansowane algorytmy, czasami także nowe wersje wirusów posiadają luki i błędy w szyfrowaniu, więc czasami istnieje możliwość ich złamania - jeśli masz wątpliwości, skonsultuj się ze specjalistą!

Bez względu na wszystko pamiętaj - nie negocjuje się z terrorystami! Wpłacając okup, finansujesz prace nad nową generacją złośliwego oprogramowania i sprawiasz, że ich tworzenie i rozpowszechnianie jest opłacalne! Nigdy nie masz pewności, że przestępcy odeślą Ci klucz prywatny, dodatkowo zwiększasz prawdopodobieństwo, że staniesz się celem kolejnych ataków.

img_600x600_shirtontrack

Poproś o bezpłatną wycenę:
32 630 48 65Darmowa konsultacja

Trustpilot