Z tym zagrożeniem mamy do czynienia również w Polsce. Przykładem tego są ostatnie, bardzo popularne wiadomości e-mail rzekomo wysyłane przez Pocztę Polską. Niestety ataki z użyciem ransomware są coraz częstsze. Tego rodzaju szkodniki przedostają się do komputerów na dwa sposoby: użytkownik otrzymuje fałszywe wiadomości sugerujące wykonanie określonych czynności (np. wejście na spreparowaną stronę internetową) lub wykorzystują luki w oprogramowaniu.
Jak chronić się przed ransomware – wirusami szyfrującymi pliki na dyskach
Kategoria: Komputer w firmie
Data: 30-05-2016 r.
Ransomware to rodzaj oprogramowania służącego do wyłudzania okupu od użytkowników komputerów, z reguły poprzez zaszyfrowanie zawartości dysku, która staje się niedostępna, dopóki ofiara nie zapłaci.
Jednym z najbardziej rozpowszechnionych zagrożeń tego rodzaju jest Cryptolocker. Jego twórcy rozsyłają ogromne ilości fałszywych wiadomości do ludzi. To oprogramowanie składa się z wiele modułów, m.in. trojana, mechanizmu pobierania dodatkowych plików, funkcji rozsyłania spamu, wykradania haseł i kilku innych. Cryptolocker do komputerów przedostaje się samodzielnie, najczęściej poprzez pocztę elektroniczną, ale występuje także jako komponent pobierany przez inne, złośliwe oprogramowanie. Jeśli masz zmapowany lokalnie folder Dropboxa, Cryptolocker potrafi zaszyfrować znajdujące się w nim pliki.
O Cryptolockerze jest głośno, ponieważ jego twórcy ciągle go udoskonalają i w efekcie od dłuższego czasu stanowi on nieustające zagrożenie, atakujące coraz to nowe grupy użytkowników. Początkowo hakerzy skupiali się na USA i Wielkiej Brytanii, ale obecnie porzucili wszelkie geograficzne ograniczenia i aktywnie atakują także użytkowników w Polsce. Pechowcy, których komputery zostały zainfekowane przez szkodnika, mają w większości swoje pliki zaszyfrowane. Są to najczęściej dokumenty Office, pliki w formatach Adobe, zdjęcia czy pliki muzyczne. W Cryptolockerze zastosowano dwa typy szyfrowania. Pliki są zaszyfrowane algorytmem AES o długości 256 bitów. Natomiast klucze wygenerowane podczas tego procesu są następnie szyfrowane algorytmem RSA o długości 2048 bitów. Autorzy szkodnika są w posiadaniu kluczy prywatnych, które umożliwiają cofnięcie obu etapów szyfrowania. Klucza deszyfrującego nie da się złamać metodą ataku siłowego czy też wydobyć z pamięci zainfekowanej maszyny. Jedyny sposób, aby wejść w jego posiadanie, to zapłacenie okupu.
Twórz kopie zapasowe
Aby uniknąć takiej sytuacji, warto podjąć kilka działań zaradczych, dzięki którym ewentualna infekcja Cryptolockerem będzie co najwyżej drobną niedogodnością. Najlepszym środkiem zapobiegawczym jest regularne tworzenie kopii zapasowych, co przy okazji zabezpieczy jeszcze przed wieloma innymi zagrożeniami
dla danych. Jeśli Cryptolocker zaszyfruje pliki na dysku, będzie można je łatwo odzyskać z backupu. Trzeba jednak pamiętać, że szkodnik potrafi szyfrować pliki także na zewnętrznych nośnikach, które są zmapowane jako dyski. Z tego względu kopie zapasowe należy tworzyć w takich lokalizacjach, które w komputerze użytkownika nie mają przypisanej litery dysku.
► Wskazówka Dodatkowym zabezpieczaniem jest zablokowanie możliwości uruchamiania plików zapisanych w folderach AppData oraz LocalAppData. To właśnie tam Cryptolocker przechowuje swój kod. Skala problemów związanych z tym szkodnikiem sprawiła, że powstał pakiet narzędzi zabezpieczających Cryptolocker Prevention Kit (www.thirdtier.net/downloads/CryptolockerPreventionKit.zip). Automatyzuje on proces ustawiania zasad grupy w celu wyłączenia uruchamiania plików w folderach AppData oraz LocalAppData, jak również w folderach tymczasowych używanych przez programy do dekompresji plików ZIP. To narzędzie jest stale aktualizowane wraz z ewolucją Cryptolockera.
Aktualizacja oprogramowania
Kolejne wskazówki dotyczą ogólnych dobrych praktyk bezpieczeństwa, ale odnoszą się również do Cryptolockera. Twórcy szkodliwego oprogramowania często wykorzystują fakt, że użytkownicy nie aktualizują oprogramowania, w którym pozostają niezałatane luki. Dlatego dbanie o instalację aktualizacji znacząco zmniejsza ryzyko zainfekowania szkodliwym oprogramowaniem. Niektórzy producenci regularnie udostępniają aktualizacje (np. Microsoft i Adobe robią to w drugi wtorek miesiąca), ale jeśli zachodzi potrzeba, łatki bezpieczeństwa publikują najszybciej, jak się da. Jeśli to możliwe, trzeba włączyć automatyczne pobieranie aktualizacji lub pobierać łatki bezpośrednio ze stron producentów.
Ostatnia deska ratunku
Jeśli użytkownikowi zdarzy się uruchomić plik, który podejrzewa, że może być Cryptolockerem, ale jeszcze nie pojawił się charakterystyczny ekran tego programu, trzeba jak najszybciej odłączyć taki komputer od sieci (przewodowej i bezprzewodowej). Jest szansa, że uda się to zrobić, zanim szkodnik skomunikuje się z centralnym serwerem C&C i skończy szyfrowanie plików. Wtedy można podjąć próbę odzyskania plików, które nie zostały jeszcze zaszyfrowane. Nie jest to w pełni skuteczna metoda, ale nic więcej na szybko nie da się zrobić.
Mariusz Jendra
Zobacz także:
Tagi: firma, komputer w firmie, windows 10
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
