Jak obliczyli eksperci z Trend Micro, tylko w I półroczu 2016 r. liczba ataków ransomware wzrosła o 172%, a straty poniesione przez przedsiębiorstwa w związku z tymi zdarzeniami sięgnęły na świecie aż 209 mln USD. Można jednak tak przygotować organizację i jej pracowników, aby działanie tego rodzaju malware nie stanowiło istotnego problemu.

Ransomware to szkodliwe oprogramowanie, które służy do wyłudzania okupu. Schemat jego działania jest bardzo prosty. Po zainfekowaniu komputera malware szyfruje w nim pliki, które stają się niedostępne dla ofiary. Następnie wyświetlany jest komunikat o konieczności zapłaty okupu, jeśli użytkownik jest zainteresowany ich odszyfrowaniem. Płatności są realizowane w Bitcoinach, aby atakującemu zapewnić anonimowość. Takie oprogramowanie jest aktywne również w Polsce, a przestępcy potrafią przeprowadzać ataki na dużą skalę.

Ransomware może dostać się do komputera różnymi drogami. Z reguły są to ataki socjotechniczne — np. fałszywe wiadomości sugerujące wykonanie określonych czynności, jak kliknięcie odnośnika, co powoduje pobranie szkodliwego kodu — lub wykorzystanie podatności w aplikacjach, które umożliwiają dyskretne zainstalowanie się malware w komputerze ofiary.

Obrona przed ransomware

Ransomware infekuje komputery, m.in. poprzez protokół RDP (Remote Desktop Protocol), który jest wbudowany w system Windows i umożliwia zdalny dostęp do pulpitu. Warto go wyłączyć, co zabezpieczy przed zagrożeniami wykorzystującymi podatności tego narzędzia. To kolejny powód, aby dbać o instalowanie aktualizacji, jak tylko się pojawią. W przypadku ręcznej aktualizacji najnowsze wersje należy pobierać bezpośrednio ze stron producentów oprogramowania, ponieważ zdarzają się przypadki wyświetlania fałszywych powiadomień o konieczności pobrania aktualizacji.

Mimo rosnącej częstotliwości wyłudzeń firmy wydają się nie wiedzieć, jak prawidłowo na nie reagować. Badania przeprowadzone przez IoD i Barclays wykazały ostatnio, że zgłasza się przełożonym jedynie 28% cyberszantaży. Potwierdza to obserwację, że większa jest skłonność ofiar do zapłaty okupu, niż do zaryzykowania wycieku poufnych danych i utraty reputacji. Jeśli jednak płaci się hakerom bez poświęcenia odpowiedniego czasu na rozważenie innych rozwiązań, przyczynia się to tylko do zaognienia problemu. Rozwiązaniem kwestii cyberszantaży jest odpowiednia troska o system bezpieczeństwa, co jest na pewno lepszym rozwiązaniem niż płacenie okupów. Jednak, oprócz środków technicznych, warto dbać też o szkolenia dla pracowników, które zwiększą wiedzę na temat zagrożeń i pokażą, jakich zachowań unikać podczas korzystania z komputera, aby zmniejszyć ryzyko infekcji.

Podstawowym środkiem niwelowania skutków zaszyfrowania plików przez szkodliwe oprogramowanie jest regularne tworzenie kopii zapasowych. Jeśli dojdzie do ataku, utracone zostaną co najwyżej pliki utworzone po zapisaniu ostatniej kopii zapasowej. Trzeba dodać, że niektóre rodzaje ransomware, np. popularny Cryptolocker, szyfrują pliki na wszystkich nośnikach, które mają w Windows przypisaną literę dysku. Zagrożone są pliki zapisane nie tylko na twardych dyskach, ale również na nośnikach USB, zmapowanych dyskach sieciowych i chmurowych.

System Windows zawiera funkcję przywracania systemu, która tworzy tzw. punkty przywracania. Mogą się one okazać się bardzo pomocne (o ile funkcja ta jest włączona), aby odzyskać dane w niezaszyfrowanej postaci. Nie jest to jednak pewne zabezpieczenie, ponieważ niektóre ransomware kasują pliki punktów przywracania albo szyfrują je, jak również inne rodzaje kopii zapasowych, zapisanych na nośniku mającym literę dysku w zainfekowanym systemie. Dlatego backup należy przechowywać w lokalizacji niedostępnej dla szkodliwego oprogramowania.

Zaszyfrowany serwer plików

Może się zdarzyć, że zaszyfrowane zostaną dane na firmowym serwerze plików. W takiej sytuacji należy ustalić, z którego komputera to nastąpiło. Pomogą w tym pliki HTML zawierające w nazwie słowo „decrypt”, których należy szukać w katalog z zaszyfrowanymi danymi. Sprawdzenie, kto jest właścicielem tych plików, doprowadzi do zidentyfikowania zainfekowanego komputera. Tę maszynę należy niezwłocznie odłączyć od sieci i usunąć z niej malware. Niestety oprogramowanie antywirusowe stosowane do usuwania ransomware nie daje pełnej ochrony, ponieważ nowe wersje szkodliwego oprogramowania pojawiają się bardzo szybko. Według ekspertów antywirus może rozpoznać od 80% do 90% zagrożeń aktywnych w Internecie.

Kolejną ważną linią obrony jest zapora sieciowa. Działanie większości ransomware wymaga komunikacji z centralnym serwerem (tzw. Command & Conquer). Firewall może zablokować taką komunikację. Ransomware często jest dystrybuowany w formie plików z podwójnym rozszerzeniem, np. „.PDF.EXE”, wykorzystując fakt, że Windows standardowo ukrywa rozszerzenia plików. Zmiana tego ustawienia, aby rozszerzenia plików były widoczne, zwiększa szanse, że użytkownik rozpozna podejrzany plik. Warto w ogóle zablokować możliwość przesyłania wiadomości e-mail z załączonymi plikami wykonywalnymi EXE, np. na serwerze pocztowym czy w narzędziu używanym do skanowania wiadomości. Można też ograniczyć uruchamianie programów w komputerze tylko do zaufanych plików wykonywalnych umieszczonych na liście. Dodatkowo w Windows — lub w systemie IPS — można utworzyć reguły, które będą zapobiegać czynnościom typowym dla ransomware. Jedną z nich jest uruchamianie plików wykonywalnych zapisanych w katalogach App Data i Local App Data. W zdecydowanej większości przypadków taka reguła nie zakłóci działania uprawnionych aplikacji. Gdyby się jednak taka trafiła, można dodatkowo utworzyć dla niej wykluczenie. Można też sięgnąć po narzędzia, które ułatwią ochronę przed ransomware. Dobrym przykładem jest Cryptolocker Prevention Kit, który automatyzuje proces tworzenia Group Policy wyłączających uruchamianie i dekompresję plików z katalogów App Data, Local App Data oraz Temp.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn