Ransomware

Co je ransomware?

Ransomware je kombinací dvou slov – ransom, což znamená výkupné, a software. Jedná se tedy o druh škodlivého softwaru, jehož účelem je zašifrovat, zakázat nebo výrazně omezit přístup k datům, zařízením nebo celým systémům oběti, a to do té doby, dokud nebude zaplaceno požadované výkupné.

Jak poznat ransomware?

Pokud byl váš počítač nakažen, uvidíte na obrazovce zprávu s požadavkem na zaplacení konkrétního finančního obnosu. Případně najdete textový soubor v nakažených složkách. Ransomware také velmi často mění příponu napadených souborů.

Jak ransomware funguje?

Ransomware se do vašeho zařízení může dostat prostřednictvím zavirovaných příloh e-mailu, návštěvou infikovaného webu anebo prostřednictvím počítačové sítě, kde se již šíří.

Tvůrci používají několik základních variant:

  • Diskcoder šifruje hlavní spouštěcí záznam pevného disku a tím brání uživateli v přístupu do operačního systému.
  • Screen locker blokuje přístup k zařízení, zpravidla nevyužívá šifrování dat a „pouze“ uzamkne obrazovku zařízení.
  • PIN locker mění (případně vytváří) přístupový PIN kód k odemčení zařízení, čímž znepřístupní jeho obsah a funkce.
  • Kryptografický ransomware šifruje data na disku.

Přiručka o ransomwaru

Stáhněte si zdarma náš e-book, kde zjistíte, jak efektivně ochránit vaše podnikání.

ZJISTIT VÍCE

Placení výkupného

  • Všechny výše zmíněné varianty požadují zaplacení finanční částky – nejčastěji v bitcoinech nebo jiné virtuální měně. Po zaplacení by následně mělo dojít k odšifrování dat nebo obnovení přístupu do infikovaného zařízení.
  • Útočníci na své cíle vyvíjejí nátlak. Pohrůžkou se může stát poškození pověsti, výpadek provozu nebo dokonce právní a finanční postihy. I tak se doporučuje výkupné neplatit, protože praxe ukazuje, že i po zaplacení výkupného se často nic neděje a o vaše data jste nenávratně přišli, případně se stanete v očích útočníků snadným terčem a mají o důvod víc na vás útok zopakovat.

Jak se chránit?

Zde je pár pravidel, která sníží riziko ztráty dat:

  • Pravidelně zálohujte data a udržujte aktuální alespoň jednu plnou offline zálohu.
  • Pravidelně aktualizujte všechny používané aplikace včetně operačního systému.
  • Omezte nebo úplně zakažte používání RDP (Remote Desktop Protocol) mimo firemní síť, případně používejte autorizaci na úrovni sítě (Network Level Authentication).
  • Používejte kvalitní bezpečnostní řešení, které obsahuje nejen antivirovou ochranu, ale také další vrstvy ochrany proti škodlivému kódu.
  • Pravidelně pořádejte školeni zaměstnanců, aby znali potenciální rizika a dokázali je poznat.

Další možnosti prevence

  • Nastavte u uživatelských účtů politiku hesel.
  • Používejte VPN (Virtual Private Network).
  • Pravidelně kontrolujte nastavení firewallu a politik pro komunikaci mezi vnitřní a vnější sítí.
  • Přístup do nastavení bezpečnostního řešení chraňte silným heslem.
  • Používejte dvoufázové ověření přístupu do sítě.
  • Pravidelně odebírejte nepoužívané služby a software.

Historie

Prvním zdokumentovaným případem odhaleného ransomwaru byl trojan AIDS v roce 1989, který se šířil pomocí klasické pošty a fyzického média v podobě diskety. Ta měla obsahovat interaktivní databázi a informace o rizikovém chování spojeným s chorobou. Po spuštění začal AIDS počítat, kolikrát byl spuštěn, a po dosažení čísla 90 zašifroval obsah disku.

Zároveň začal po uživateli požadovat zaplacení výkupného (noblesně pojmenované jako „licenční poplatek“) ve výši 189 dolarů na adresu v Panamě. Tvůrce prvního ransomwaru na světě – Dr. Joseph Popp – byl sice nalezen, ale shledán jako mentálně nezpůsobilý, tudíž neschopen se zúčastnit soudu.

Případy z nedávné doby

V květnu 2017 zaútočil po celém světě WannaCryptor alias WannaCry, který se rapidně šířil kvůli uniklému exploit kitu EternalBlue z Národní bezpečnostní agentury v USA. Ten úspěšně využíval zranitelnost v nejpopulárnějších verzích operačního systému Windows, a to i navzdory faktu, že Microsoft vydal opravný balíček již několik měsíců před vypuknutím nákazy. Výsledkem bylo nakažení tisíců firem po celém světě a škody v řádech miliard dolarů.Hned měsíc poté vypukla další ransomware nákaza v podobě Diskcoder.C také známý jako (Not)Petya, která se zpočátku šířila pouze na Ukrajině, ale postupně se dostala do celého světa. Tentokrát byla zneužita chyba v populárním účetním programu. I když škodlivý kód (Not)Petya primárně cílil na ukrajinské organizace a firmy, došlo i na globální firmy jako je např. Maersk, Merck, Rosneft nebo FedEX. Škody se počítaly na milióny dolarů.