Ransomware

Kogo dotyczy ten problem?

Nie jest to problem jedynie konsumentów, osób, które często są na bakier z zabezpieczeniem komputerów. Ponieważ ransomware jest skuteczne dzięki słabości człowieka jako jednostki, ataki tego typu mogą dotyczyć również instytucji biznesowych, a nawet szpitali i pokrewnych im instytucji. Znane są nawet przypadki, gdy:

CryptoLocker zbiera plony… W połowie listopada Departament Policji Swansea w Massachusetts zapłacił okup (750$) autorom Cryptolockera, za odblokowanie zaszyfrowanych przez niego obrazów i dokumentów.

Instytucje w wyniku ataku ransomware mogą:

• utracić informacje i dane konieczne do ich funkcjonowania
• ponieść ogromne koszty związane z odzyskaniem danych - i to nie chodzi tu o kwoty wymuszone jako okup
• utracić swoją reputację

Ransomware nie zna granic, obecnie można powiedzieć, że najwięcej szkód wyrządza w USA, Włoszech, Kanadzie, Turcji i Wielkiej Brytanii. Ilustruje to poniższy rysunek (dane Microsoft).

Ransomware i związki z innymi niebezpieczeństwami

Atak ransomware można uznać za finalny etap infekcji komputera. Twórcy tego typu oprogramowania wspomagają się, podobnie zresztą jak w przypadku innych ataków, np. phishingowych, działaniami poprzedzającymi główny atak. Mają one na celu wyczucie odbiorcy, wykrycie i wykorzystanie luk w zabezpieczeniach, a także wyłączenie działających w systemie zabezpieczeń o ile to jest możliwe, tak by ostateczny atak był najskuteczniejszy. Atak ransomware może poprzedzać infekcja innymi szkodnikami, które otwierają furtkę - ale to strategia, którą można powiązać z każdą formą ataku.

Jak walczyć gdy już padniemy ofiarą?

Szansa na ratunek gdy już staniemy się ofiarą ransomware zależy od stopnia jego zaawansowania. Niektóre infekcje można usunąć stosując standardowe działania jak na przykład przywrócenie komputera za pomocą punktu przywracania. Odzyskując klucz szyfrujący z programu (o ile jest to szyfr symetryczny), stosując inżynierię odwrotną.

Prawdopodobnie w ten sposób, a na pewno poprzez wejście w posiadanie kluczy szyfrujących dało się odszyfrowywać niektóre dyski, zaszyfrowane przez Cyptolocker. To oczywiście metoda dająca tylko chwilowe szanse na sukces – do momentu zmiany kluczy na nowe.

Są jednak też takie warianty ransomware, które deszyfrację umożliwiają jedynie w wyniku interakcji z cyberprzestępcami posiadającymi potrzebne dane do odblokowania dostępu.

Trzeba zresztą pamiętać, że deszyfracja zablokowanych danych to tylko jedna strona medalu. Konieczne jest także usunięcie plików, które odpowiadają za aktywność ransomware na komputerze. Tutaj jest już prościej, wystarczą popularne procedury - skrypty typu Combofix, oprogramowanie takie jak AntiMalware i pakiety zabezpieczające, które stosowane są do usuwania wirusów i im podobnych szkodników. Tak jak większość zagrożeń, które aktywnie komunikują się z serwerami, także i ransomware powinno usuwać się w trybie awaryjnym. Recepty takie jak http://www.cert.pl/news/5707 dowodzą, że procedura jest długotrwała i raczej nie powinna być przeprowadzana przez osoby, które nie mają większego pojęcia o zarządzaniu komputerem.

Jednakże istnieją także nowe informacje o tym poważnym zagrożeniu: Cryptolocker blokuje pliki używając metody zwanej z angielska ‚asymetric encryption’. Oznacza to mniej więcej tyle, że jeżeli chcesz odzyskać dostęp do swoich plików powinieneś znać 2 klucze bezpieczeństwa. Podczas gdy większość programów ransomware może być usunięta za pomocą konkretnych zachować i posunięć użytkownika, tak w przypadku tego zagrożenia ciężko znaleźć drogę aby sobie z nim poradzić tak łatwo jak z innymi programami ransomware. Wygląda na to, że jedynym skutecznym rozwiązaniem tego problemu, jest zdobycie drugiego klucza aktywacyjnego, który jest znany tylko cyberprzestępcm. W nawiązaniu do komunikatów jakie serwuje nam program, mamy tylko określony czas na zakuepienie licencji, po jego upłunięciu możemy się z nimi pożegnać – zostaną usunięte.

Jak nie dopuścić do infekcji i zapobiec szkodom wyrządzonym przez ransomware?

Oprócz konieczności ciągłego szkolenia (biznes) i uświadamiania użytkowników (to konsumenci), są dwie podstawowe ścieżki:

• Pierwsza to unikanie infekcji. Brzmi to infantylnie, ale w ten sam sposób w jaki chronimy się przed atakami wirusów i niechcianych aplikacji, stosując stale aktualizowane oprogramowanie zabezpieczające, nie poddawanie się technikom socjotechnicznym, korzystając jedynie z zaufanych źródeł informacji i danych w sieci.
• Drugi sposób jest identyczny jak sposób walki z problemami sprzętowymi. Wykonując kopie zapasowe/bezpieczeństwa, cennych danych zmniejszamy ryzyko ich utraty w sytuacji gdy usunięcie ransomware jest niemożliwe. Stopień zabezpieczenia zależy oczywiście od częstości wykonywania kopii zapasowych i rodzaju takiej kopii - mogą to być kopie lokalne, przechowywanie nadmiarowe, a także usługi chmurowe.

W przypadku firm, należy wdrożyć również rozbudowane zasady korzystania z oprogramowania (stworzenie białej listy dozwolonych aplikacji znakomicie zmniejsza ryzyko infekcji), tworzenia haseł, współdzielenia plików i innych zasobów, dostępu do witryn, zablokować domyślny dostęp aktywności, które są najczęstszą przyczyną infekcji - np.możliwość uruchamiania makr w dokumentach, korzystania z pendrive.