Jakub Wątor

Napisz do autora:
jakub.wator@agora.pl

RSS


Blog > Komentarze do wpisu

Ransomware - jak działa, jak go wykryć, jak się chronić

jigsawRansomware to jeden z najpopularniejszych rodzajów wirusów stosowanych przez cyberprzestępców. Jego ofiarami padają zarówno firmy, jak i prywatne osoby. Wyjaśniamy, na czym polega to zagrożenie.

„Pliki w twoim komputerze zostały zaszyfrowane - twoje dokumenty, zdjęcia, filmy, etc. Ale nie martw się - jeszcze ich nie usunąłem. Masz 24 godziny na zapłacenie 150 dolarów w Bitcoinach aby otrzymać klucz deszyfrujący. Co godzinę będę kasować kolejne pliki z twojego dysku. Za 72 godziny wszystkie znikną bezpowrotnie” - takim komunikatem i twarzą znanej postaci z horrorów wita się z użytkownikami wirus Jigsaw. To jeden z przykładów coraz częściej stosowanego oprogramowania typu ransomware (od angielskiej zbitki ransom i software - okup i oprogramowanie).

Sama opłata jest na tyle niska, by użytkownikowi bardziej opłacało spełnić żądania przestępców, niż płacić firmie profesjonalnie odzyskującej dane. Jednocześnie jest na tyle wysoka, by wysyłka przynosiła oszustom zyski przy dość niskich kosztach własnych (oprogramowanie do ataku można w sieci kupić za kilkadziesiąt dolarów, więc atakującym może być każdy). Zależnie od tego, kto pada ofiarą, okup wynosi zwykle od 200 do 10 tys. dol.

Przykłady ofiar są często dość spektakularne. W grudniu 2013 roku departament policji w Swansea w stanie Massachusetts zapłacił 750 dol. autorom wirusa CryptoLocker. To jeden z najbardziej znanych wirusów typu ransomware. Według McAfee Labs na jednej wysyłce CryptoLockera przestępcy zarobili 325 milionów dolarów. Ataku i zapłaty okupu nie ustrzegło się nawet FBI...

W maju lokalne media w Lubelskiem donosiły, że ofiarą ransomware padli pracownicy Urzędu Gminy z tamtejszego... Urzędowa. Nie wiadomo, czy instytucja zapłaciła okup. Choć polskie firmy nie lubią się przyznawać do szkód, jakie wyrządzają im wirusy, specjaliści od IT nieoficjalnie podają wiele takich przypadków. Na ransomware złapał się jeden z czołowych ubezpieczycieli specjalizujących się w ubezpieczeniach komunikacyjnych w Polsce, dwa sklepy internetowe plasujące się w czołowej dziesiątce polskiego e-commerce czy kilka prywatnych zakładów opieki medycznej. - Niemal codziennie dostajemy zgłoszenia od firm, które padły ofiarą ataku. Niestety w większości przypadków było już za późno - mówi Jakub Wychowański z firmy Vecto.

Ransomware - jak to działa?

Najczęściej zaczyna się od otwarcia załącznika z maila. Oszuści podszywają się na przykład pod pocztę, informując o nieodebranej przesyłce. W ten sposób namawiają do otwarcia załącznika z niebezpiecznym oprogramowaniem. - 60 proc. wirusów ukrywa się w normalnych plikach multimediów. Najczęściej antywirusowe programy nie zwracają na nie uwagi. Przez luki w oprogramowaniu można dostać się do komputera - tłumaczy Michał Jarski z firmy Trend Micro. Wirusa można tez złapać z innych źródeł: przez złośliwe reklamy wyskakujące w przeglądarce internetowej, strony www z treściami pornograficznymi czy na zewnętrznych nośnikach USB.
Potem złośliwe oprogramowanie w ciągu kilku minut szyfruje dysk i wyświetla informację z żądaniem okupu. Podczas szyfrowania na naszym komputerze wykonywana jest na nim duża ilość operacji, przez co urządzenie może zwolnić. Może to potrwać od 5 do 10 minut. Często w tym czasie wyłączenie sprzętu i odłączenie go od sieci może zablokować proces szyfrowania. Nie pomoże to w usunięciu samego oprogramowania, ale może uratować nasze dane.

Pieniądze z oszustwa trafiają na konta „słupów”, a potem do osób rozsyłających takie oprogramowanie. Okup wypłacany jest najczęściej w bitcoinach lub w kodach serwisów przedpłaconych takich jak PaySafeCard. W ten sposób łatwiej jest „upłynnić” i wyprać pieniądze - na przykład w kasynach (podobnie jak cyberwłamywacze, którzy okradli bank centralny Bangladeszu).

Jeszcze kilka lat temu cyberprzestępcy tylko straszyli. Logo policji, informacja o znalezionej przez nią pornografii dziecięcej, blokada możliwości zrobienia czegokolwiek na komputerze i prośba o zapłacenie okupu w zamian za rezygnację ze śledztwa. Wystarczyło więc podłączyć dysk do innego sprzętu i skopiować pliki. Dziś pliki są szyfrowane - bez podania klucza właściwie nie mamy szans na odzyskanie danych. - To odwrócenie klasycznych form ataku. Zamiast wynosić dane na zewnątrz, atakujący zużywają je po stronie użytkownika. To tak jakby zamknąć komuś sejf i za dwieście dolarów podać klucz - mówi Jarski.

Ransomware - czy warto płacić?

Zdaniem Jarskiego - nie. - Atakujący wie już, że znalazł czuły punkt, w który może uderzyć po raz kolejny. A każdy okup finansuje kolejne ataki. Poza tym zapłacenie okupu nigdy nie oznacza końca problemów. Oprócz ransomware na naszym komputerze znaleźć się bowiem mogło oprogramowanie na przykład śledzące wszystkie wpisane z klawiatury znaki (dzięki któremu przestępcy będą mogli zdobyć nasze hasła) lub takie, które wyświetli na naszym komputerze spreparowaną stronę banku, by przekonać nas do wykonania przelewu na ich konto. Często po takiej infekcji konieczne jest całkowite sformatowanie dysku (usunięcie z niego wszystkich plików) i odzyskanie plików z kopii zapasowej - mówi.

Z kolei Arkadiusz Krawczyk z Intel Security zwraca uwagę na jeszcze inne skutki ataku ransomware: - Oczywiście cyberprzestępcom zależy na tym, aby ich biznes przynosił jak największe zyski, dlatego w większości przypadków po opłaceniu okupu przesyłają użytkownikowi klucz do odszyfrowania plików. Gdyby tego nie zrobili, ludzie przestaliby im płacić. Sprawę może rozwiązać dobry backup, który sprawi, że stracone dane będzie można odzyskać bez konieczności wpłacania okupu. Ale i to zabezpieczenie cyberprzestępcy potrafią dziś obejść, strasząc nie tylko zaszyfrowaniem danych, ale i - tak jest w przypadku ataków na urządzenia mobilne - przesłaniem historii wyszukiwania użytkownika do wszystkich kontaktów.

Ransomware - jak uniknąć zarażenia? (porady przygotowane przez firmę Vecto)

  1. Rób backup danych na zewnętrzne urządzenia lub do chmury - nigdy nie będziemy do końca pewni innych zabezpieczeń. Każdy system, firewall, antywirus, wtyczka itd. może zawieść. Uwaga! Nośniki zewnętrzne podłączone do komputera podczas infekcji, również zostaną bezpowrotnie zaszyfrowane. Backup do chmury jest najlepszym rozwiązaniem gdyż realizuje się automatycznie - nie trzeba o nim pamiętać.
  2. Unikaj logowania się na konto z uprawnieniami administracyjnymi do komputera. Pracuj na koncie użytkownika, a konto administratora używaj tylko wtedy, kiedy jest to konieczne, np. do instalacji programów.
  3. Systematycznie, często aktualizuj system operacyjny i programy - niwelujesz w ten sposób luki bezpieczeństwa wykryte przez twórców oprogramowania.
  4. Unikaj wchodzenia na strony zawierające niebezpieczne treści, klikania w podejrzane linki i używania nieznanych narzędzi.
  5. Bardzo ostrożne otwieraj załączniki e-mail, nawet od zaufanych nadawców. Adres nadawcy w wiadomości e-mail łatwo jest podmienić i podać się za dowolną osobę. Znane są też sztuczki, dzięki którym plik wyglądający np. na PDF czy ZIP faktycznie jest plikiem z wirusem.
  6. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane.

Poniższy artykuł napisałem razem z Arkiem Przybyszem z "Gazety Wyborczej".

środa, 13 lipca 2016, eprzekret

Masz problemy ze sklepem, chcesz podzielić się swoim doświadczeniem? Napisz do autora tego artykułu: jakub.wator@agora.pl

Polecane wpisy

  • Najsłabszy jest człowiek. Wywiad z Mikko Hyppönenem

      Mikko Hyppönen jest szefem działu analiz w fińskiej firmie F-Secure. Pracuje w niej od 1991 r., jest światowej sławy ekspertem w dziedzinie cyb

  • Yahoo czytało maile

    Kiepski okres ma amerykański gigant technologiczny. Właśnie wyszło na jaw, że Yahoo czytało maile swoich użytkowników na zlecenie amerykańskich służb. W lipcu f

  • Google Allo, Messenger, Signal - co wybrać?

    Niedawno Edward Snowden ostrzegł przed używaniem komunikatora Google Allo. Czy ma rację? Czym się różnią między sobą dostępne komunikatory? "Nie używajcie Allo"