Ransomware na komputerze. Jak się bronić?
Przestępcy, na przestrzeni wieków, wypracowali szereg różnorodnych technik zastraszania. Jednym z najbardziej brutalnych sposobów na zaszantażowanie danej grupy społecznej jest uprowadzenie jej członka. Porwania dla okupu zdarzają się także dziś, i co ciekawe, nie dotyczą jedynie uprowadzania osób w celu uzyskania korzyści finansowych. Cyberprzestępcy wykorzystują swoje umiejętności do tego, aby tworzyć oprogramowanie przejmujące komputer użytkownika. Internauta, w pewnym momencie, staje się swoistym zakładnikiem: musi opłacić okup, bo w innym przypadku oszuści zablokują jego programy, hasła i pliki zapisane na dysku.
Do tego typu przestępczych działań służy oprogramowanie określane jako ransomware. Jest to szczególnie niebezpieczny typ złośliwego programu, który potrafi dezaktywować zawirusowany komputer. Wskazuję, czym charakteryzuje się ransomware, w jaki sposób chronić się przed tym zagrożeniem oraz czy opłacenie okupu może w jakikolwiek sposób pomóc. Zaczynajmy!
Czym jest oprogramowanie ransomware?
Ransomware to rodzaj przebiegłego oprogramowania wirusowego, który ogranicza dostęp ofiary do funkcji swojego urządzenia. Hakerzy, za jego pomocą, są w stanie całościowo lub częściowo dezaktywować funkcjonalność komputera. Rzekomym warunkiem, którego spełnienie poskutkuje przywróceniem dostępu, jest zapłacenie okupu dla sprawców. Stąd też wzięła się nazwa tego typu programów. Ransom to z języka angielskiego okup, zaś drugi człon terminu odnosi się do hasła software, ponieważ program musi zostać dostarczony z środowiska zewnętrznego. Do opisania tego zjawiska wykorzystuje się także określenia: rogueware oraz scareware. Ransomware należy do jednej z form złośliwego oprogramowania, która wykorzystywana jest na szeroką skalę w Internecie. Szkodliwe oprogramowanie blokuje dostęp do twojego komputera, wymuszając opłacenie okupu, za możliwość przywrócenia jego sprawności. Organy ścigania bardzo często rozkładają ręce na wieść o infekcji ransomware – ustalenie tożsamości i lokalizacji sprawcy jest trudne, o ile nie jest praktycznie niemożliwe.
W jaki sposób dochodzi do infekcji ransomware?
Ransomware to zagrożenie funkcjonujące przede wszystkim w sieci. Proces zainfekowania urządzenia przez ransomware przebiega bardzo podobnie, jak w przypadku innych typów złośliwego oprogramowania. Najczęstszą przyczyną infekcji ransomware jest pobranie załącznika w podejrzanej wiadomości e-mail. Sprawcy rozsyłają spam, który często wygląda tak, jak każdy inny newsletter. W załączeniu wiadomości znajdują się zawirusowane pliki, np. w formie PDF lub DOC. Innym sposobem na pobranie ransomware jest przejście pod podejrzany link w sieci, wysłany np. przez obcą osobę za pośrednictwem komunikatora internetowego. Ransomware występuje także tam, gdzie znajdują się treści pornograficzne i bazy nielegalnych plików, np. z muzyką czy grami komputerowymi. Infekcja twojego komputera może wynikać m.in. z:
- otworzenia podejrzanego załącznika w wiadomości e-mail;
- przeglądania różnych stron w sieci, które wymuszają pobranie pliku;
- podłączenia do komputera zainfekowanego nośnika danych, np. pendrive i otwarcie pliku;
- pobrania fałszywej aktualizacji programu z Internetu.
Złośliwe oprogramowanie ransomware. Rys historyczny
Pierwsze przypadki ataków za pomocą ransomware odnotowywano jeszcze w latach 80. XX wieku w Stanach Zjednoczonych. Wykorzystywano wówczas oprogramowanie określane jako PC Cyborg (określane również jako AIDS), które dopiero po pewnym czasie od pobrania uaktywniało się na komputerze. Ransomware żądało, dokładnie po 90 ponownych uruchomieniach systemu, zapłacenie okupu za dalszą możliwość korzystania z komputera. Oprogramowanie szyfrujące PC Cyborg było stosunkowo łatwe do złamania, wobec czemu problem ówczesnego ransomware dosyć szybko przeszedł do historii. Złośliwe aplikacje w kolejnych latach ewoluowały, dokonując szyfrowania już nie tylko części plików na komputerze, ale atakując cały system. Wszystko wskazuje na to, że oprogramowanie ransomware wciąż będzie rozwijane przez hakerów. W 2014 ujawniono pierwsze przypadki zagrożenia danych na urządzeniach mobilnych, wobec czego złośliwe aplikacje mogą funkcjonować w wielu środowiskach.
Na jakich zasadach przebiega atak ransomware?
Bezpośrednim efektem działania ransomware jest pojawiający się screen locker (najczęściej, choć nie zawsze), czyli komunikat na wyświetlany na ekranie, który uniemożliwia użytkownikom pominięcie powiadomienia. Problem wydawałby się prosty do usunięcia, gdyby nie stosowane przez przestępców szyfrowanie (niegdyś symetryczne, dziś asymetryczne). Działanie można porównać do zamknięcia drzwi na zamek – bez posiadania klucza deszyfrującego (klucza prywatnego) nie jesteśmy w stanie zniwelować problemu. Pierwszy rodzaj szyfrowania był stosunkowo łatwy do rozwikłania – odszyfrowania mógł dokonać sam użytkownik, ponieważ klucz prywatny znajdował się w systemie operacyjnym ofiary. Hakerzy opracowali nowy rodzaj ataku, ze zmienioną specyfiką działania szyfrów. Działanie asymetryczne polega na wykorzystaniu dwóch kluczy: publicznego (szyfrującego) i prywatnego (wytrychu do odszyfrowania) w metodzie RSA. W skrócie polega to na tym, że klucz-wytrych trafia docelowo na serwer hakera i jednocześnie zostaje usunięty z pamięci lokalnej zainfekowanego komputera. Jeszcze bardziej zaawansowanym sposobem na szyfrowanie jest metoda hybrydowa, która polega na połączeniu kilku metod szyfrowania w różnych konfiguracjach, w tym także na np. zdalnym serwerze. Przez tak złożoną specyfikę usunięcie lub zapobieganie ransomware jest mocno utrudnione.
Oprogramowanie wymuszające – przykłady ransomware
Ransomware stanowi pewną grupę zagrożeń przymuszających użytkowników do zapłacenia okupu. Celem ataku jest system operacyjny lub jego część (np. dane pliki). Oprogramowanie ransomware dzieli się na różne formy, które różnią się od siebie sposobem działania i powagą zagrożenia. Złośliwe oprogramowanie typu ransomware może przybierać formę scareware, czyli nieznośnych, wyskakujących okienek. Powiadomienie za pomocą nagłych, niepożądanych pop-up’ów ma działanie przede wszystkim psychologiczne. Użytkownicy, w obawie o swoje dane, są skorzy zapłacić okup. Typowy scareware nie wykrada danych, a opłacenie swoistego haraczu nie skutkuje pozbyciem się problemu. Wśród innych, przykładowych typów ransomware można wyróżnić m.in.:
- Crypto ransomware. To bardzo problematyczny dla ofiary rodzaj ransomware, który potrafi zaszyfrować pliki lokalne, a nawet te, które zostały umieszczone w chmurze. Złamanie szyfru przez osobę inną niż haker jest praktycznie niemożliwe. Podczas ataku na komputery hakerzy kradną dane użytkownika, hasła i szyfrują system operacyjny tak, aby żadne systemy antywirusowe nie były w stanie odpowiedzieć na zagrożenie.
- Doxware. Ten typ ransomware ma zdolność do tworzenia kopii zapasowej danych na komputerze cyberprzestępcy. Zainfekowanie złośliwym oprogramowaniem doxware skutkuje bardzo często szantażem. Haker, po dokonaniu skutecznego ataku, ma dostęp do danych wrażliwych i może, np. w przypadku nieopłacenia okupu, upublicznić kompromitujące informacje.
Ataki ransomware – dlaczego są niebezpieczne?
Zainfekowanie komputera złośliwym oprogramowaniem typu ransomware może być niezwykle stresującym doświadczeniem. Wielu użytkowników ulega presji cyberprzestępców, i w zamian za dostęp do komputera, zleca dyspozycję przelewu. Specjaliści z FBI wskazują, że nie należy absolutnie tego robić – zastrzyk finansowy napędza przestępców do dalszej aktywności. Nie warto przyjmować propozycji zapłacenia okupu, nawet jeśli mielibyśmy stracić informacje pozostające na dysku twardym. Warto, co jakiś czas, wykonywać kopię zapasową systemu – tak, by w razie zagrożenia móc bezpiecznie odciąć przestępców od potencjalnego źródła finansowania. Ransomware to:
- silna broń psychologiczna, która zmusza użytkowników do zapłacenia okupu,
- ryzyko ingerencji w system twojego komputera,
- narzędzie, które pozwala cyberprzestępcom szyfrować dane użytkowników.
Nowoczesne typy ransomware projektowane są przede wszystkim w kontekście działalności firm. Znane są przypadki zamykania międzynarodowych firm w wyniku oddziaływania oprogramowania typu ransomware. Wirus jest w stanie wyrządzić mnóstwo szkód finansowych i organizacyjnych. W skrajnych przypadkach praca w zinformatyzowanych przedsiębiorstwach może po prostu „stanąć”.
Niebezpieczne ataki ransomware w przeszłości
Skala zagrożeń związanych z funkcjonowaniem ataków ransomware jest niemierzalna. Część użytkowników nie zgłasza faktu działania cyberprzestepców, dlatego nie sposób precyzyjnie oszacować skalę problemu. Co jakiś czas do przestrzeni publicznej przebijają się komunikaty o aktywności hakerów. Znanym atakiem ransomware był w 2007 roku WinLock, który blokował dostęp do systemu wyświetlając filmy pornograficzne na ekranie komputera. Po opłaceniu fałszywego rachunku za pomocą wiadomości SMS, komputer ofiary został odblokowywany. Sześć lat później, czyli w 2013 roku, powstał kolejny ransomware siejący spustoszenie w zainfekowanych komputerach. Wykorzystywał on technologię wojskową w kontekście szyfrowania danych. W 2017 roku funkcjonował zaś Petya, który wyrządził mnóstwo szkód prężnie działającym firmom na całym świecie. Jego autorzy skierowali atak w kierunku dużych międzynarodowych graczy, w tym na przedsiębiorstwo Maersk, będące globalnym potentatem transportowym.
W jaki sposób wykryć obecność złośliwego oprogramowania ransomware?
Atak ransomware może przebiegać na różne sposoby, jednakże częścią wspólną zagrożeń tego typu jest próba wyłudzenia pieniędzy przez hakerów. Ransomware jest w stanie zadziałać niemalże natychmiast po otwarciu pliku, ale równie dobrze może zafunkcjonować z opóźnieniem na komputerze, np. po jego uruchomieniu za kilka godzin. Zależy to przede wszystkim od charakterystyki oprogramowania. Cechą oprogramowania ransomware jest wyświetlanie komunikatu, np. w postaci zablokowanego ekranu lub wyskakujących okienek, o konieczności uiszczenia opłaty w zamian za rzekome „usługi naprawcze”.
Jak pozbyć się złośliwego oprogramowania typu ransomware?
Zapłacenie haraczu nie zawsze skutkuje odblokowaniem dostępu do komputera, dlatego nie jest to skuteczna metoda radzenia sobie z problemem. Ransomware można stosunkowo łatwo usunąć, gorzej sprawa wygląda z odzyskaniem zablokowanych danych. Dobry program antywirusowy potrafi skutecznie usunąć ransomware. W przypadku rozległej infekcji można dokonać reinstalacji systemu. Antywirus gorzej sobie radzi za to ze skutkami ataku – często odzyskanie zablokowanych danych jest po prostu nieosiągalne. Warto, zanim dojdzie do ataku, zabezpieczyć się wykonując kopię zapasową systemu.
Ochrona przed ransomware – czy oprogramowanie antywirusowe wystarczy?
Zapobieganie ransomware polega na wnikliwym i ostrożnym korzystaniu z sieci. Niedoświadczeni użytkownicy muszą zacząć zdawać sobie sprawę z zagrożeń, których źródłem może być Internet. Infekcja złośliwym oprogramowaniem to niestety nic trudnego – na nasze skrzynki mailowe bardzo często trafiają podejrzane wiadomości z zawirusowanymi załącznikami. Najskuteczniejszą ochroną przed zagrożeniami ransomware jest dobry program antywirusowy. Najlepiej, jeśli posiada opcję tworzenia automatycznych kopii zapasowych danych – tak, aby w razie problemów można było odzyskać pliki. Antywirus powinien być zainstalowany nie tylko na urządzeniach stacjonarnych, ale także na sprzęcie mobilnym. Smartfony czy tablety również mogą stać się celem ataku złośliwego oprogramowania.