Ransomware to rodzaj oprogramowania służącego do wyłudzania okupu od użytkowników komputerów, z reguły poprzez zaszyfrowanie zawartości dysku, która staje się niedostępna dopóki ofiara nie zapłaci. Z przypadkami takiego oprogramowania mamy do czynienia też w Polsce, czego przykładem są wiadomości e-mail rzekomo wysyłane przez Pocztę Polską.

Niestety ataki z użyciem ransomware są coraz częstsze, a ich ofiarami stają się zarówno pojedynczy użytkownicy, jak i firmy. Przedostają się one do komputerów na dwa sposoby: użytkownik otrzymuje fałszywe wiadomości sugerujące wykonanie określonych czynności (np. wejście na spreparowaną stronę internetową) lub wykorzystują luki w oprogramowaniu.

Sposób „dystrybucji” ransomware

Jednym z najbardziej rozpowszechnionych zagrożeń tego rodzaju jest Cryptolocker. Jego twórcy rozsyłają ogromne ilości fałszywych wiadomości do ludzi w wielu krajach, także w Polsce. To oprogramowanie składa się z wiele modułów, m.in. trojana, mechanizmu pobierania dodatkowych plików, funkcji rozsyłania spamu, wykradania haseł i kilku innych. Cryptolocker do komputerów przedostaje się samodzielnie, najczęściej poprzez pocztę elektroniczną, ale występuje także jako komponent pobierany przez inne, złośliwe oprogramowanie. Oprogramowanie to rozprzestrzenia się również przez otwarte porty protokołu RDP. Potrafi infekować pliki, które znajdują się na zmapowanych dyskach oraz kluczach USB. Jeśli użytkownik ma zmapowany lokalnie folder Dropboksa, Cryptolocker potrafi zaszyfrować znajdujące się w nim pliki.

O Cryptolockerze jest głośno, ponieważ jego twórcy ciągle go udoskonalają i w efekcie od dłuższego czasu stanowi on nieustające zagrożenie, atakujące coraz to nowe grupy użytkowników. Hakerzy skupiali się dotąd na USA i Wielkiej Brytanii, ale obecnie porzucili wszelkie geograficzne ograniczenia i aktywnie atakują także użytkowników w Polsce. Początkowo fałszywe wiadomości były kierowane do użytkowników domowych, następnie do małych i średnich firm, a obecnie trafiają także do dużych korporacji.

Szacuje się, że Cryptolockerem są zainfekowane dziesiątki tysięcy komputerów, ale liczba wysłanych fałszywych wiadomości idzie w miliony. Pechowcy, których komputery zostały zainfekowane, mają większość plików zaszyfrowanych. Są to najczęściej dokumenty Office, pliki w formatach Adobe, zdjęcia czy pliki muzyczne. W Cryptolockerze zastosowano dwa typy szyfrowania. Pliki są zaszyfrowane algorytmem AES o długości 256 bitów. Natomiast klucze wygenerowane podczas tego procesu są następnie szyfrowane algorytmem RSA o długości 2048 bitów. Autorzy tego programu są w posiadaniu kluczy prywatnych, które umożliwiają cofnięciu obu etapów szyfrowania. Klucza deszyfrującego nie da się złamać metodą ataku siłowego czy też wydobyć z pamięci zainfekowanej maszyny. Jedyny sposób, aby wejść w jego posiadanie, to zapłacenie okupu.

Zabezpieczenie danych w kopii zapasowej

Aby uniknąć takiej sytuacji, warto podjąć kilka działań zaradczych, dzięki którym ewentualna infekcja Cryptolockerem będzie co najwyżej drobną niedogodnością. Najlepszym środkiem zapobiegawczym jest regularne tworzenie kopii zapasowych, co przy okazji zabezpieczy jeszcze przed wieloma innymi zagrożeniami. Jeśli Cryptolocker zaszyfruje pliki na dysku, będzie można je łatwo odzyskać z backupu. Trzeba jednak pamiętać, że potrafi on szyfrować pliki także na zewnętrznych nośnikach, które są zmapowane jako dyski. Z tego względu kopie zapasowe należy tworzyć w takich lokalizacjach, które w komputerze użytkownika nie mają przypisanej litery dysku.

Znając specyfikę działania Cryptolockera, również można zmniejszyć ryzyko infekcji. Warto ustawić w Windows wyświetlanie rozszerzeń plików (standardowo są one ukrywane). Szkodnik często ma rozszerzenie PDF.EXE. Przy standardowych ustawieniach Windows użytkownik może więc sądzić, że ma do czynienia z plikiem PDF. Kolejnym krokiem jest filtrowanie wiadomości e-mail mających w załączniku plik EXE. Można to zrobić, np. na serwerze pocztowym, blokując wszystkie takie wiadomości. Cryptolocker często infekuje komputery, wykorzystując Remote Desktop Protocol (RDP), wbudowane w Windows narzędzie umożliwiające korzystanie ze zdalnego pulpitu. Jeśli nie ma potrzeby korzystania z RDP, warto wyłączyć to narzędzie. Odpowiednie instrukcje można znaleźć w Microsoft Knowledge Base.

Warto pamiętać o aktualizacji oprogramowania

Dodatkowym zabezpieczaniem jest zablokowanie możliwości uruchamiania plików zapisanych w folderach AppData oraz LocalAppData. To właśnie tam Cryptolocker przechowuje swój kod. Skala problemów związanych z tym szkodnikiem sprawiła, że powstał pakiet narzędzi zabezpieczających – Cryptolocker Prevention Kit. Automatyzuje on proces ustawiania zasad grupy w celu wyłączenia uruchamiania plików w folderach AppData oraz LocalAppData, jak również w folderach tymczasowych używanych przez programy do dekompresji plików ZIP. To narzędzia jest stale aktualizowane wraz z ewolucją Cryptolockera.

Kolejne wskazówki dotyczą ogólnych dobrych praktyk bezpieczeństwa, ale odnoszą się również do Cryptolockera. Twórcy szkodliwego oprogramowania często wykorzystują fakt, że użytkownicy nie aktualizują oprogramowania, w którym pozostają niezałatane luki. Dlatego dbanie o instalację aktualizacji znacząco zmniejsza ryzyko zainfekowania szkodliwym oprogramowaniem. Niektórzy producenci regularnie udostępniają aktualizacje (np. Microsoft i Adobe robią to w drugi wtorek każdego miesiąca), ale jeśli zachodzi potrzebą, łatki bezpieczeństwa publikują szybciej. Jeśli to możliwe, trzeba włączyć automatyczne pobieranie aktualizacji lub pobierać łatki bezpośrednio ze stron producentów.

Jeśli użytkownikowi zdarzy się uruchomić plik, który podejrzewa, że może być Cryptolockerem, ale jeszcze nie pojawił się charakterystyczny ekran tego programu, trzeba jak najszybciej odłączyć taki komputer od sieci. Jest szansa, że uda się to zrobić, że zanim skomunikuje się on z centralnym serwerem Command&Control i skończy szyfrowanie plików. Wtedy można podjąć próbę odzyskania plików, które nie zostały jeszcze zaszyfrowane. Nie jest to w pełni skuteczna metoda, ale nic więcej na szybko nie da się zrobić.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn