Ransomware

Přečtení zabere pouhé 4 minuty

4 minuty čtení

Co je ransomware?

Ransomware je škodlivý kód, který zamyká přístup k infikovanému zařízení nebo šifruje jeho obsah. Po uživateli požaduje výpalné s příslibem (samozřejmě negarantovaným), že po zaplacení dojde k zpřístupnění zařízení a/ nebo odšifrování dat.

Jde o specifický druh škodlivého kódu, který se používá pro vydírání uživatelů. Po úspěšném infikování zařízení blokuje přístup k zařízení nebo šifruje definovaná data na disku. Na obrazovce se zobrazí výzva k zaplacení „výpalného“, v některých případech i s informací, kolik času uživateli na zaplacení zbývá. Po uplynutí doby se požadovaná částka navýší.

Jak poznat ransomware?

Pokud byl váš počítač nakažen, uvidíte na obrazovce zprávu s požadavkem na zaplacení konkrétního finančního obnosu. Případně najdete textový soubor v nakažených složkách. Ransomware také velmi často mění příponu napadených souborů.

Jak ransomware funguje?

Tvůrci používají několik základních variant:

Diskcoder šifruje celý pevný disk a brání uživateli v přístupu do operačního systému.
Screen locker blokuje přístup na obrazovku zařízení.
Crypto ransomware šifruje data na disku.
PIN locker cílí na zařízení s Androidem a mění (případně vytvoří) přístupový PIN k odemčení mobilu nebo tabletu.

Všechny výše zmíněné varianty požadují zaplacení finanční částky – nejčastěji v bitcoinech nebo jiné virtuální měně. Po zaplacení by následně mělo dojít k odšifrování dat nebo obnovení přístupu do infikovaného zařízení.

Útočnici však nic negarantují, proto nedoporučujeme výpalné platit. V praxi se setkáváme spíše s případy, kdy se po zaplacení nic nedělo, než naopak. V případě útoku se obraťte nejprve na naši technickou podporu a ověřte si, jaké máte u dané nákazy možnosti.

Jak se chránit?

Zde je pár pravidel, které zmenší riziko ztráty dat:

Pravidelně zálohujte data a udržujte aktuální aspoň jednu plnou offline zálohu.
Pravidelně aktualizujte všechny používané aplikace včetně operačního systému.
Používejte kvalitní bezpečnostní řešení, které obsahuje nejen antivirovou ochranu, ale také další vrstvy ochrany proti škodlivému kódu.

Vytvořte u uživatelských účtů politiku na používání silného hesla.
Omezte nebo úplně zakažte používání RDP (Remote Desktop Protocol) mimo firemní síť, případně používejte autorizaci na úrovni sítě (Network Level Authentication).
Používejte VPN (Virtual Private Network).
Pravidelně kontrolujte nastavení firewallu a politik pro komunikaci mezi vnitřní a vnější sítí.
Přístup do nastavení bezpečnostního řešení chraňte silným heslem.
Používejte dvoufaktorovou autentizaci přístupu do sítě.
Pravidelně pořádejte školeni zaměstnanců, aby znali potenciální rizika a dokázali je poznat.
Riziko napadení můžete snížit i odinstalací nepoužívaných služeb a softwaru.

Historie

Prvním zdokumentovaným případem odhaleného ransomware byl trojan AIDS v roce 1989, který se šířil pomocí klasické pošty a fyzického média v podobě diskety. Ta měla obsahovat interaktivní databázi a informace o rizikovém chování spojeným s chorobou. Po spuštění začal AIDS počítat, kolikrát byl spuštěn, a po dosažení čísla 90 zašifroval obsah disku.

Zároveň začal po uživateli požadovat zaplacení „výpalného“ (zde noblesně pojmenované jako „licenční poplatek“) ve výši 189 dolarů na adresu v Panamě. Tvůrce prvního ransomwaru na světě – Dr. Joseph Popp - byl sice nalezen, ale shledán jako mentálně nezpůsobilý, tudíž neschopen se zúčastnit soudu.

V květnu 2017 zaútočil po celém světě WannaCryptor aka WannaCry, který se rapidně šířil díky uniklému exploit kitu EternalBlue z Národní bezpečnostní agentury v USA. Ten úspěšně využíval zranitelnost v nejpopulárnějších verzích operačního systému Windows a to i navzdory faktu, že Microsoft vydal opravný balíček již několik měsíců před vypuknutím nákazy. Výsledkem bylo nakažení tisíců firem po celém světě a škody v řádech miliard dolarů.

Hned měsíc poté vypukla dalším ransomware nákaza v podobě Diskcoder.C aka Petya, která se zpočátku šířilo pouze na Ukrajině, ale postupně se dostala do celého světa. Tentokrát byla zneužita chyba v populárním účetním programu. I když Petya primárně cílila na ukrajinské organizace a firmy, došlo i na globální firmy jako je např. Maersk, Merck, Rosneft nebo FedEX. Škody se počítaly na milióny dolarů.