Ransomware to plaga. Podpowiadamy, jak się zabezpieczyć i jak odzyskać dane w razie ataku

Ransomware to ni mniej, ni więcej, jak złośliwe oprogramowanie blokujące dostęp do danych użytkownika, dopóki ten nie zapłaci. W najmniej wyrafinowanej formie oprogramowanie szantażujące blokuje system. W najbardziej – szyfruje pliki, czyniąc dostęp do nich niemożliwym bez uiszczenia „okupu”.

Jak podaje Wikipedia, pierwszym programem tego typu był „AIDS”, stworzony w 1989 r. przez Josepha Poppa. „AIDS” ukrywał pliki na dysku i szyfrował ich nazwy, oraz wyświetlał informację o wygaśnięciu licencji na wykorzystywanie niektórych plików. W zamian za odblokowanie ofiara proszona była o okup w wysokości 189 dol.

Na przestrzeni lat 2000’ dochodziło do nielicznych ataków z wykorzystaniem oprogramowania szantażującego. Prawdziwy „boom” tego niecnego rozwiązania nastąpił po 2013 r., wraz ze wzrostem popularności CryptoLockera, wykorzystującego Bitcoina w celu pozyskania płatności. Kryptowaluty uczyniły transakcje niemożliwymi do wyśledzenia, a co za tym idzie, uniemożliwiły też wytropienie cyberprzestępców odpowiedzialnych za atak z użyciem ransomware.

CryptoLocker rozprzestrzenił się między użytkownikami w prosty sposób – jako załącznik dodawany do maili. Jak podaje Avast, na przestrzeni 2013 i początku 2014 r. ofiarą padło ponad pół miliona maszyn, zaś malware wymusił ponad 3 mln. dol. okupu.

Najpoważniejszym jednak – jak dotąd – przykładem ransomware jest WannaCry, okrzyknięty przez ekspertów najgroźniejszym malware’em w historii. WannaCry również początkowo rozprzestrzenił się pod postacią fałszywych załączników w poczcie elektronicznej, a także wykorzystując usterkę protokołu SMB w Windowsie do samodzielnego rozprzestrzeniania się na kolejne urządzenia.

Microsoft błyskawicznie załatał lukę w swoich systemach operacyjnych, lecz przy ogólnej niechęci do aktualizowania systemu operacyjnego, nie została ona wdrożona należycie szybko przez użytkowników. W efekcie WannaCry w zaledwie cztery dni rozprzestrzenił się na ponad 250 tys. maszyn w 116 krajach i ponad 150 tys. urządzeniach z Androidem.

WannaCry to też pierwszy przypadek Ransomware, w którym ucierpiało mnóstwo instytucji publicznych i firm: najmocniej oberwała brytyjska służba zdrowia, sparaliżowany został dworzec we Frankfurcie, policja w YangCheng i uniwersytet w Mediolanie. Pieniądze straciły również setki firm, od gigantów jak Renault po małe przedsiębiorstwa.

Jako że żądanie okupu było stosunkowo niskie (300-600 dol.) wielu użytkowników zdecydowało się zapłacić.

Jeszcze większe konsekwencje miał atak z użyciem oprogramowania Petya (czy też NotPetya), który nastąpił tuż po opanowaniu zamętu związanego z WannaCry. O ile jednak WannaCry celował przede wszystkim w zwykłych użytkowników, tak Petya wykorzystywał błędy związane z administrowaniem komputerami firmowymi podłączonymi do domeny ActiveDirectory. Jak tłumaczy Maciek Gajewski:

Początkowo atak był wymierzony w firmy i instytucje rządowe na Ukrainie. Dotknięte zostały kluczowe sektory gospodarki, takie jak bankowość, lotnictwo czy energetyka. Przestały działać domeny rządowe. Sam wicepremier Ukrainy napisał, że „sieć leży”.

Skala ataku pozwalała domniemywać, iż odpowiedzialne zań są rosyjskie służby specjalne, chcące sparaliżować ukraińskie instytucje. Petya jednakże szybko wykroczył poza samą Ukrainę – ofiarą padły firmy o zasięgu międzynarodowym pochodzące z Rosji (sieć paliw Rosneft), Stanów Zjednoczonych (producent leków Merck) a nawet Polski (Raben). Uziemiona została infrastruktura producenta samolotów Antonow oraz biura międzynarodowej korporacji prawniczej DLA Piper.

Konsekwencje ataku były na tyle poważne, iż polski rząd zwołał Zespół Zarządzania Kryzysowego.

Niestety nie jest to łatwe. Oczywiście pierwszą radą zawsze jest „myśl!” – nie otwieraj podejrzanych wiadomości, załączników z maili niewiadomego pochodzenia i dziwnych plików rzekomo wysłanych przez znajomych. Właśnie w ten sposób rozprzestrzeniły się największe ataki ransomware w historii.

Druga rada to „aktualizuj system. Zawsze”.

Wielu użytkowników permanentnie odkłada aktualizację oprogramowania na później. Albo ze zwykłej przekory, albo z niechęci do zmian, albo z obawy przed błędami w funkcjonowaniu systemu. Lepiej jednak przez kilka dni pomęczyć się z błędem oprogramowania, niż nie zainstalować ważnej poprawki bezpieczeństwa, która może uratować nas przed zarażeniem oprogramowaniem szantażującym.

Trzecia rada brzmi „backup, backup, backup”. Najważniejsze dane zawsze powinny mieć swoją kopię zapasową, najlepiej w trzech miejscach – chmurze, dysku zewnętrznym i (w miarę możliwości) dysku znajdującym się poza naszym miejscem pracy/zamieszkania.

To oczywiście podstawy podstaw, które zawsze powinniśmy stosować. W przypadku ataków ransomware mogą się one jednak okazać niedostateczne.

Wynika to z faktu, iż programy typu ransomware potrafią szyfrować nie tylko dyski komputera, ale również sieciowe zasoby lokalne. Nawet jeśli mamy backup na serwerze NAS, po zaszyfrowaniu tracimy do niego dostęp.

Do tego trzeba też przyznać, że formy „podchodzenia” użytkowników przez cyberprzestępców stają się coraz bardziej wyrafinowane. Niezwykle trudno jest odróżnić prawdziwą wiadomość od fałszywej, tym bardziej, że przestępcom coraz lepiej wychodzi podszywanie się np. pod banki i instytucje rządowe.

Ustawicznie pojawiają się również ataki zdolne oszukać zabezpieczenia, wykorzystujące tzw. mechanizm „zero-day”, czyli exploity wykorzystywane przez cyberprzestępców zanim producent oprogramowania zdąży wydać stosowną łatkę. W tej sytuacji użytkownik nie ma co liczyć na szansę zabezpieczenia się przed atakiem. Może jedynie myśleć o tym, co zrobić, gdy atak już nastąpi.

W przeciwieństwie do klasycznego backupu, który tworzy kopię danego pliku, mechanizm migawek rejestruje metadane plików, co pozwala na zachowywanie i przywracanie różnych wersji tego samego pliku, folderu, a nawet całego woluminu.

Gdy więc dojdzie do ataku z użyciem oprogramowania szantażującego, możliwe jest przywrócenie poprzednich, niezainfekowanych wersji zaszyfrowanych plików. Na co dzień cały proces jest nieodczuwalny dla użytkownika – raz włączony mechanizm migawek na dyskach sieciowych QNAP działa w tle, stale wykonując kopie bezpieczeństwa. Użytkownik nie musi o niczym pamiętać.

Gdy jednak dojdzie do ataku, odzyskanie dostępu do zaszyfrowanych danych jest bardzo proste.

QNAP podaje rozwiązanie w kilku banalnych krokach:

Tak przywrócone pliki powinny pojawić się w niezaszyfrowanej formie.

Serwery NAS nie należą do najtańszych urządzeń. Zrozumiałe jest więc, że wielu użytkowników machnie ręką na potencjalne korzyści, z których potencjalnie skorzystają podczas potencjalnego ataku.

Sęk w tym, że potencjał ataku z roku na rok wzrasta, a liczbę incydentów z wykorzystaniem różnego rodzaju ransomware już od 2013 r. podaje się w milionach. Szacunkowo jest więc spora szansa, że również nasza maszyna padnie ofiarą oprogramowania szantażującego.

Lepiej więc dmuchać na zimne. Wykazywać się zdrowym rozsądkiem, robić kopie zapasowe i regularnie aktualizować system operacyjny i pozostałe oprogramowanie.

A jeśli trzymamy na komputerze ważne pliki i dokumenty, których utrata może kosztować nas mnóstwo pieniędzy, lepiej zawczasu zaopatrzyć się w serwer NAS z obsługą migawek. Lepiej zawczasu wydać pieniądze na bezpieczny mechanizm kopii zapasowych, niż zostać do tego zmuszonym żądaniem okupu.

*Materiał powstał we współpracy z firmą QNAP