Čo je ransomware? Zaručené tipy na ochranu a prevenciu

Že výkupné patrí len do starých akčných filmov z deväťdesiatych rokov? Možno vám v roku 2021 neunesú potomka, za ktorého by žiadali miliónové sumy, no podoba vydierania funguje aj na internete, a je bežnejšia, než by ste si mysleli.

Ransomware je typ škodlivého softvéru, ktorý svojim obetiam hrozí zverejnením údajov alebo trvalým zablokovaním prístupu k daným údajom – a to, pokiaľ nebude zaplatené výkupné. Koniec koncov, aj jeho názov ransomware pochádza z anglického pojmu pre sumu, ktorú máme zaplatiť na vykúpenie odcudzeného.

Aj keď jednoduchý ransomware môže zablokovať náš systém tak, že to pre IT zdatného človeka nie je ťažké opraviť, pokročilejší využíva techniku zvanú kryptovírusové vydieranie a to pri správne vykonanom útoku je neriešiteľne. Ďalším problémom je, že na výkupné sa používajú digitálne meny (ako sú paysafecard alebo bitcoin), čo sťažuje dolapenie a stíhanie páchateľov.

Stretli ste sa už s  ransomwarom? Aké druhy útokov poznáme a ako sa voči nim môžeme chrániť, prípadne čo robiť, ak ste sa stali obeťou takéhoto útoku, sa dočítate v dnešnom blogu.

Ochrana pre ransomware 4

✅ Čo je to ransomware?

Tak ako sme si povedali na začiatku, ide o škodlivý kód, ktorý vám zašifruje súbory v PC a následne žiada výkupné (z anglického pojmu „ransom“, ktorý označuje výkupné). Ransomware je väčšinou časovo ohraničený – to znamená, že vás vyzve, aby ste poslali určitú sumu Bitcoinov na danú adresu napríklad do 24 hodín. Pokiaľ sumu nepošlete, vaše údaje (ako rodinné fotky, firemné výkazy alebo údaje zákazníkov) ostanú zašifrované a vy sa k nim už nikdy nedostanete.  K dnešnému dňu bolo zistených viac ako 200 druhov ransomwaru, a to nielen ohrozujúcich Windows a Mac OS, ale aj Android.

Posledné štúdie poukazujú na nárast ransomwaru o 600 %. Kvôli tomu sa ransomware stal v posledných rokoch jednou z najrýchlejšie rastúcich hrozieb.

Čo nám hovoria čísla?

  • 44 % firiem bolo napadnutých ransomwarom za posledné 2 roky
  • Iba 60 % z nich má nastavené dobré zálohovanie
  • Priemerná suma výkupného bola v priemere 700 – 1 100 eur
  • 57 % útokov ransomware bolo nutné zaplatiť do 24 hodín.

Poznámka: Ak vlastníte firmu a hovoríte si, že výkupné v sume 1 000 eur nie je veľa, je potrebné brať do úvahy aj ďalšie faktory. Po prvé, chod firmy sa zastaví na niekoľko dní a nebudete mať žiaden prístup k informačným systémom.  Po druhé, pri takomto skutku vyplýva povinnosť nahlásiť ho na úrad ochrany osobných údajov.

✅ Ako vyzerá ransomwarový útok?

  • Obdržíte email napr. od „finančnej správy SR“, v ktorom vás vyzvú na doplatok 5,8 €. Faktúru na zaplatenie vám nechajú v prílohe.
  • Vy, keďže ide o malú sumu, túto faktúru stiahnete do svojho počítača a chcete ju uhradiť.
  • Otvoríte priloženú faktúru vo formáte Word
  • Povolíte makrá
  • Následne sa spustí Windows skript: cscript.exe
  • To pokračuje spustením svchvost.exe
  • Nasleduje šifrovanie údajov
  • Na záver sa zobrazí správa, že váš PC bol zašifrovaný.

Znie to ako „bondovka“? Vitajte v roku 2021.

✅ Evolúcia Ransomwaru 

Misleading Applications (tzv. klamlivé aplikácie)

Prvým predchodcom dnešného ransomwaru boli aplikácie, ktoré vás mali ochrániť pred „spywarom“ alebo zlepšiť výkon vášho PC opravou registrov a poškodených súborov. Licencia týchto aplikácií stála od 20 $ do 60 $. V skutočnosti nič neopravovali, len sa snažili vylákať peniaze od používateľa.

Fake antivírus (2008 – 2014)

Medzi rokmi 2008 – 2009 sa hackeri začali sústreďovať namiesto rôznych klamlivých aplikácií na „fake antivírusový softvér“. Tento softvér mal zaručovať bezpečnosť, rýchle kontroly a dlhoročnú podporu. Keďže väčšina obetí jednoducho tento softvér odinštalovala, alebo sa rozhodla vyskakujúce správy ignorovať, pre hackerov sa tento spôsob vydierania stal nerentabilným. Preto sa začali zameriavať na vývoj nových hrozieb, ktoré donútia používateľa ransom, teda výkupné zaplatiť.

Locker Ransomware (2010 – 2014)

Pri tomto útoku vám hackeri dokázali cez webový prehliadač znemožniť prístup k PC a jeho kontrolu.  Objavila sa vám správa, že interpol alebo polícia zablokovali váš PC a je nutné zaplatiť poplatok. Tento „poplatok“, alebo výkupné sa pohybovali v sume okolo 100 – 200 $. Táto hrozba nepostihla len Windows a MacOS, ale už aj mobilné zariadenia s operačným systémom Android.

Crypto-Ransomware (2013 – dnes)

Medzi najznámejší ransomware patrí Wannacry, ktorý sa do počítača dostane e-mailom, linkami alebo reklamami. Následne po úspešnej prvotnej nákaze sa ransomware snaží rozšíriť v rámci siete.
Ihneď dôjde k zašifrovaniu dát, ktoré nie je možné obnoviť bez zaplatenia výkupného. Celkovo bolo nainfikovaných viac ako 250 000 PC a hodnota výkupného bola v priemere 300 $ (270 €). Čo bol hlavný problémový faktor? Neaktualizovaný operačný systém a nenainštalovaný žiaden bezpečnostný program.

Ciele ransomwaru sú:

  • Interný disk
  • Externý disk ako napr. USB, externý harddisk
  • Cloudové riešenia ako NAS, OneDrive alebo Dropbox.

 Ochrana pred ransomware 3


✅ Aká je účinná ochrana pred ransomwarom?

Bitdefender

Medzi najúčinnejší antivírusový softvér, ktoré pomáha chrániť pred ransomwarom, je od firmy Bitdefender.  Tento antivírus je vždy umiestený na prvej priečke v zozname top ochrany proti ransomware, a to najmä v renomovaných zahraničných magazínoch ako PCmag a Techradar. Bitdefender využíva niekoľkovrstvovú ochranu a v prípade, že ho zachytí, ihneď spusti funkciu obnovenia tzv. Ransomware Remediation. Ransomware remediation je potrebné zapnúť.

 

Firewall ako bráná pre ransomware do systemu

Nastavenie antivírusu na maximálnu ochranu nestačí a je nutné nastaviť aj firewall, ktorý blokuje nechcené pripojenie. Musíme vytvoriť jednotlivé pravidlá na to, aby firewall zablokoval spojenie, o ktoré sa snaží ransomware. Potrebujeme aplikovať nasledujúce blokovanie na aplíkácie ako: cmd.exe, wscript.exe, csscript.exe a inéIde predovšetkým o nastavenie pre pokročilých používateľov, preto sme pre vás pripravili video návod, vďaka ktorému to zvládne každý. Všetky potrebné pravidla nájdete v popise videa. 

TIP: Odporúčame Bitdefender, ale je možnosť použiť aj iný firewall napr. TinyWall.

Acronis True Image

Ďalšou možnosťou je tento  jednoduchý nástroj na zálohovanie a následné obnovenie. V aplikácii si môžete nastaviť automatické zálohovanie a v prípade ransomwarového útoku hneď obnoviť zálohu. Toto riešenie nie je technicky náročné, a zvládne to naozaj každý.

️ Acronis True Image for Western Digital. Táto verzia slúži pre tých, ktorí vlastnia HDD od Western Digital. Ide o bezplatnú verziu, ktorá má v sebe iba nutný základ, ktorý z nášho pohľadu pre bežného užívateľa postačuje. Chýbajú mu však pokročilé funkcie, ako napr. šifrovanie zálohy a iné.

️ Acronis True Image. Jedná sa o plnä verziu pre náročných, ktorá má v sebe všetky pokročilé funkcie ako čistenie systému, bezpečné vymazávanie údajov pomocou metódy DoD 5220.22-M, šifrovanie záloh AES-256 a iné.  Zálohovať môžete:

  • Externý HDD
  • Acronis Cloud (je nutné mať predplatné)
  • Iné (napríklad na internom HDD v PC, čo sa však neodporúča).

Obe verzie majú funkciu Acronis Active Protection, ktorá používa pokročilú technológiu ochrany pred ransomwarom a monitoruje jednotlivé programy bežiace na pozadí.

Detailnejšie porovnanie verzií nájdete na tomto odkaze

Aktualizujte operačný systém

Aktualizácie operačného systému slúžia ako záplaty pre bezpečnostné chyby, ktoré sa časom nájdu. Táto aktualizácia sa nazýva kumulatívna a je dostupná dvakrát za mesiac. Tieto kumulatívne aktualizácie sú často otravné, ale predstavujú nutnosť v dnešnom digitálnom svete plnom hrozieb. 

Napríklad v prípade útoku ransomwaru WannaCry, Microsoft vydal aktualizácie, ktoré chránia aj Windows 7. Prečo je to dôležité? Windows 7 v tej dobe už nebol podporovaný.

Ransomware sa snaží využívať tieto chyby a zraniteľnosti v systéme. Tých zopár minút, ktoré zaberie aktualizácia, nám ušetrí mnoho problémov do budúcna, a to nie len z hľadiska ochrany voči ransomwaru, ale aj proti malwaru a iným cieleným útokom.

Tip: To, čo neodporúčame, je prechod verzií. Microsoft niekoľkokrát ročne vydá nové edície Windows 10, napríklad Windows 10 October 2020 Update. Tieto aktualizácie, pri ktorých inštalácia trvá niekoľko hodín, sú väčšinou spojené s problémami. Odporúčame počkať niekoľko mesiacov, kým tieto problémy dodatočne opravia.

✅ Ako obnovím údaje po ransomwarovom útoku? 


V niektorých prípadoch je možné aspoň časť dokumentov obnoviť. Slúžia na to nástroje na obnovenie. Medzi najznámejšie nástroje patria:

Aby sme mohli použiť tieto nástroje, musíme vedieť, aký druh (tzv. rodina) ransomwaru bola použitá. Na to môžeme použiť softvér od Emsisoft a nahrať súbor ransomwaru na ich stránku.

Neviete, ako na to? Nasledujte kroky v tomto videu:

✅ Prvá linia v boji proti ransomwaru: Defender application Guard a Sandbox

Microsoft Defender Application Guard

Pri vyššej verzii Windows 10, a to:

  • Windows 10 Professional
  • Windows 10 Enterprise
  • Windows 10 Education

je možnosť použiť aplikáciu Defender Guard of Microsoftu.  Sandbox* vám umožňuje prezerať web alebo spúšťať aplikácie v bezpečnom virtuálnom prostredí, ktoré je úplne izolované od zvyšku počítačového systému. Táto funkcia sa vám hodí, pokiaľ chcete spúšťať podozrivé alebo nedôveryhodné internetové odkazy. Aplikácia je dostupná aj pre Chrome a môžete ju stiahnuť na tomto odkaze. My ho navyše odporúčame používať s prehliadačom Edge. Pripravili sme pre vás jednouchý návod ako tieto funkcie zapnúť a používať. 

*Pre predstavu, Sandbox je „bezpečné laboratórium“, kde sa vyvíjajú, testujú a skúmajú vírusy.

Microsoft Sandbox

Tak, ako Defender Application Guard slúži na otváranie potencionálne nebezpečných internetových stránok a odkazov, Microsoft Sandbox slúži na otváranie už stiahnutých aplikácií či PDF príloh v PC.
Ak máte pochyby, môžete súbor otvoriť vo Windows Sandboxe. Táto funkcia je užitočná, pokiaľ chcete spúšťať podozrivé alebo nedôveryhodné aplikácie bez obáv. Po zatvorení Sandboxu sa údaje bezpečne vymažú.  

Jednoduchšie povedané – ak stiahnete ransomware alebo malware, a spustíte ho v Sandboxe, nič sa nestane. Vyskočí vám upozornenie zo Sandboxu, že systém je zašifrovaný. Stačí ho iba zatvoriť a ransomware sa bezpečne vymaže, čo neovplyvní chod operačného systému.

Ostatné tipy

  • Pri cudzom dokumente nepovoľujte makrá v Exceli, Worde a iných. Zvážte používanie Microsoft Office viewers.
  • Vždy používajte HTTPS, odkaz na použitie doplnku pre Chrome: HTTPS Everywhere.
  • Heslujte archívy, či už používate WinRar alebo 7zip.
  • Pre organizácie zvážte používanie AppLockeru od Microsoftu, nastavenie nie je jednoduché pre laika a vyžaduje skúsenosti a porozumenie informačných systémov.

Záverom

Máte v počítači uložené rodinné fotografie? Hackerom sú možno z vášho pohľadu na nič, no určite by ste boli ochotní za ne zaplatiť, najmä, ak ich nemáte nikde inde zálohované. Ak sa k nim chcete dostať, musíte spomínané výkupné uhradiť. Hrozby ransomwaru vzrastajú každým dňom – za posledné roky ide o nárast až o 600 % útokov.

Navyše, dokonalejšie útoky si vyžadujú zaplatenie tzv. ransom, teda výkupného, v digitálnych menách, takže dolapenie a stíhanie páchateľov je v nedohľadne, čo hackerom dáva ďalšie a ďalšie možnosti na útoky používateľov internetu.

Aké druhy útokov poznáme, ako sa voči nim môžeme chrániť, prípadne čo robiť, ak si takýto útok nevšimneme, sme spolu s rôznymi videonávodmi obsiahli v dnešnom blogu. Ak máte akékoľvek otázky, neváhajte sa na nás obrátiť – vaša bezpečnosť je pre nás na prvom mieste.