Zagrożenie, jakim jest ransomware – czyli sposób na wyciąganie pieniędzy od firm, ale także od użytkowników domowych – rośnie bardzo szybko. Nie jesteśmy jednak bezbronni i możemy skutecznie zabezpieczyć się przed tego rodzaju zagrożeniem.

Jest wiele dróg, którymi to szkodliwe oprogramowanie może dostać się do komputera. Najczęściej jest to socjotechnika lub podatności w aplikacjach/ aplikacje, które umożliwiają dyskretne zainstalowanie się szkodnika w komputerze ofiary. Skutki działania ransomware mogą być jednak bardzo poważne. Ransomware – rodzaj malware – infekując komputer blokuje jego podstawowe funkcje i zmusza użytkownika do zapłacenia haraczu, w zamian za przywrócenie kontroli nad systemem operacyjnym i dostępu do zgromadzonych danych.

Szkolenia, kopie zapasowe, punkty przywracania, aktualizacje

Można jednak skutecznie przygotować system, aby zminimalizować szkody wywołane działaniem ransomware nie stanowiło istotnego problemu. Jedną z najefektywniejszych metod ochrony są szkolenia dla pracowników, zwiększające świadomość i wiedzę na temat zagrożeń. Zabezpieczają one przed pokusą otwierania podejrzanych plików, poprzez które instaluje się malware. Nie należy jednak poprzestawać tylko na tym. Warto podjąć też inne działania zabezpieczające. Absolutnie podstawową sprawą jest regularne tworzenie kopii zapasowych!

Gdyby doszło do zaszyfrowania plików przez ransomware, utracone zostaną co najwyżej pliki utworzone po zapisaniu ostatniej kopii zapasowej. Trzeba dodać, że niektóre rodzaje tego szkodliwego oprogramowania, np. popularny Cryptolocker, szyfrują pliki na wszystkich nośnikach, które mają w Windows przypisaną literę dysku. Dotyczy to też nośników USB, zmapowanych dysków sieciowych i chmurowych.

Jeśli w Windows była włączona funkcja przywracania systemu, utworzone przez nią punkty przywracania również mogą okazać się bardzo pomocne, aby odzyskać dane w niezaszyfrowanej postaci. Niestety, niektóre ransomware kasują pliki punktów przywracania. Co więcej, zaszyfrowane przez tego typu malware mogą zostać również kopie zapasowe. Dzieje się tak, jeśli były zapisane na nośniku mającym swoją literę dysku w zainfekowanym systemie. Z tego względu backup powinien być przechowywany w lokalizacji niedostępnej dla ransomware.

Twórcy komputerowych zagrożeń wykorzystują fakt, że w komputerach często działa nieaktualne oprogramowanie zawierające znane luki. Dlatego instalowanie aktualizacji, jak tylko się pojawią, znacznie zmniejsza ryzyko, że dojdzie do zaszyfrowania plików przez ransomware. Jeśli to możliwe, warto korzystać z mechanizmu automatycznych aktualizacji.

Jak najszybciej odizolować komputer z ransomware

Gdyby doszło do zaszyfrowania danych na firmowym serwerze plików, warto ustalić, z którego komputera to nastąpiło (jeśli użytkownik nie zgłosi się sam). W tym celu trzeba odszukać w katalogach z zaszyfrowanymi danymi pliki zawierające w nazwie słowo „decrypt”, np. „how_decrypt.html” lub „decrypt_instruction.html”. Sprawdzenie, kto jest właścicielem tych plików umożliwi zidentyfikowanie komputera (lub komputerów), który został zainfekowany. Należy go odłączyć od sieci do czasu usunięcia szkodnika, np. poprzez wykonanie pełnego skanowania wykonanego aktualnym oprogramowaniem antywirusowym.

Trzeba jednak pamiętać, że oprogramowanie antywirusowe stosowane do usuwania skutków ataku – jak również jako narzędzie zapobiegające infekcji ransomware – nie gwarantuje pełnej ochrony. Nowe wersje szkodliwego oprogramowania pojawiają się bardzo szybko. Eksperci oceniają, że firmy antywirusowe identyfikują od 80% do 90% zagrożeń aktywnych w Internecie. Ważną linią obrony jest zapora sieciowa. Większość ransomware opiera się na zdalnych instrukcjach i komunikacji z centralnym serwerem (Command & Conquer). Firewall może zablokować taką komunikację.

Poszukiwanie śladów malware i podstawowe zabezpieczenia

Warto podjąć też inne kroki, które zmniejszą ryzyko infekcji. Ransomware często jest dystrybuowany w formie plików z podwójnym rozszerzeniem, np. „.PDF.EXE”, wykorzystując fakt, że Windows standardowo ukrywa rozszerzenia plików. Zmiana tego ustawienia, aby rozszerzenia plików były widoczne, zwiększa szanse, że użytkownik rozpozna podejrzany plik. Jeszcze lepszym pomysłem jest zablokowanie przesyłania wiadomości e-mail z załączonymi plikami wykonywalnymi EXE, np. na serwerze pocztowym czy w narzędziu używanym do skanowania wiadomości. Niedogodności związane z przesyłaniem plików EXE można obejść, kompresując je w plikach ZIP lub RAR czy też wymieniając się nimi poprzez usługi chmurowe.

Można pójść o krok dalej i w ogóle ograniczyć możliwość uruchamiania programów w komputerze tylko do zaufanych plików wykonywalnych umieszczonych na tzw. białej liście. Mechanizm białych list może również posłużyć do wyświetlania w przeglądarce internetowej ostrzeżeń o potencjalnie groźnych domenach, których otwarcie nastąpi dopiero po potwierdzeniu przez użytkownika. Zabezpieczenie to wykorzystuje publicznie dostępne bazy danych o niebezpiecznych domenach aktualizowane w czasie rzeczywistym, a także lokalne białe listy.

W Windows lub w systemie IPS można utworzyć reguły, które będą zapobiegać czynnościom typowym dla ransomware. Jedną z nich jest uruchamianie plików wykonywalnych zapisanych w katalogach App Data i Local App Data. W zdecydowanej większości przypadków taka reguła nie zakłóci działania uprawnionych aplikacji. Gdyby się jednak taka trafiła, można dodatkowo utworzyć dla niej wykluczenie. Ransomware często dostaje się do komputerów, wykorzystując protokół Remote Desktop Protocol (RDP). Jest on wbudowany w system Windows i umożliwia zdalny dostęp do pulpitu. Jeśli nie korzysta się z niego, można go wyłączyć, co zabezpieczy przed zagrożeniami wykorzystującymi podatność tego narzędzia. Szczegółowe instrukcje na ten temat można znaleźć w bazach wiedzy Microsoftu.

Można też sięgnąć po narzędzia, które ułatwią ochronę przed ransomware. Dobrym przykładem jest Cryptolocker Prevention Kit, który automatyzuje proces tworzenia zasad grupy (Group Policy) wyłączających uruchamianie i dekompresję plików z katalogów App Data, Local App Data oraz Temp.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn