Jak chronić się przed ransomware – wirusami szyfrującymi pliki na dyskach

Data: 30-05-2016 r.

Ransomware to rodzaj oprogramowania służącego do wyłudzania okupu od użytkowników komputerów, z reguły poprzez zaszyfrowanie zawartości dysku, która staje się niedostępna, dopóki ofiara nie zapłaci.

Z tym zagrożeniem mamy do czynienia również w Polsce. Przykładem tego są ostatnie, bardzo popularne wiadomości e-mail rzekomo wysyłane przez Pocztę Polską. Niestety ataki z użyciem ransomware są coraz częstsze. Tego rodzaju szkodniki przedostają się do komputerów na dwa sposoby: użytkownik otrzymuje fałszywe wiadomości sugerujące wykonanie określonych czynności (np. wejście na spreparowaną stronę internetową) lub wykorzystują luki w oprogramowaniu.

Jednym z najbardziej rozpowszechnionych zagrożeń tego rodzaju jest Cryptolocker. Jego twórcy rozsyłają ogromne ilości fałszywych wiadomości do ludzi. To oprogramowanie składa się z wiele modułów, m.in. trojana, mechanizmu pobierania dodatkowych plików, funkcji rozsyłania spamu, wykradania haseł i kilku innych. Cryptolocker do komputerów przedostaje się samodzielnie, najczęściej poprzez pocztę elektroniczną, ale występuje także jako komponent pobierany przez inne, złośliwe oprogramowanie. Jeśli masz zmapowany lokalnie folder Dropboxa, Cryptolocker potrafi zaszyfrować znajdujące się w nim pliki.

O Cryptolockerze jest głośno, ponieważ jego twórcy ciągle go udoskonalają i w efekcie od dłuższego czasu stanowi on nieustające zagrożenie, atakujące coraz to nowe grupy użytkowników. Początkowo hakerzy skupiali się na USA i Wielkiej Brytanii, ale obecnie porzucili wszelkie geograficzne ograniczenia i aktywnie atakują także użytkowników w Polsce. Pechowcy, których komputery zostały zainfekowane przez szkodnika, mają w większości swoje pliki zaszyfrowane. Są to najczęściej dokumenty Office, pliki w formatach Adobe, zdjęcia czy pliki muzyczne. W Cryptolockerze zastosowano dwa typy szyfrowania. Pliki są zaszyfrowane algorytmem AES o długości 256 bitów. Natomiast klucze wygenerowane podczas tego procesu są następnie szyfrowane algorytmem RSA o długości 2048 bitów. Autorzy szkodnika są w posiadaniu kluczy prywatnych, które umożliwiają cofnięcie obu etapów szyfrowania. Klucza deszyfrującego nie da się złamać metodą ataku siłowego czy też wydobyć z pamięci zainfekowanej maszyny. Jedyny sposób, aby wejść w jego posiadanie, to zapłacenie okupu.

Twórz kopie zapasowe

Aby uniknąć takiej sytuacji, warto podjąć kilka działań zaradczych, dzięki którym ewentualna infekcja Cryptolockerem będzie co najwyżej drobną niedogodnością. Najlepszym środkiem zapobiegawczym jest regularne tworzenie kopii zapasowych, co przy okazji zabezpieczy jeszcze przed wieloma innymi zagrożeniami

dla danych. Jeśli Cryptolocker zaszyfruje pliki na dysku, będzie można je łatwo odzyskać z backupu. Trzeba jednak pamiętać, że szkodnik potrafi szyfrować pliki także na zewnętrznych nośnikach, które są zmapowane jako dyski. Z tego względu kopie zapasowe należy tworzyć w takich lokalizacjach, które w komputerze użytkownika nie mają przypisanej litery dysku.

►  Wskazówka Dodatkowym zabezpieczaniem jest zablokowanie możliwości uruchamiania plików zapisanych w  folderach AppData oraz LocalAppData. To właśnie tam Cryptolocker przechowuje swój kod. Skala problemów związanych z tym szkodnikiem sprawiła, że powstał pakiet narzędzi zabezpieczających Cryptolocker Prevention Kit (www.thirdtier.net/downloads/CryptolockerPreventionKit.zip). Automatyzuje on proces ustawiania zasad grupy w celu wyłączenia uruchamiania plików w folderach AppData oraz LocalAppData, jak również w folderach tymczasowych używanych przez programy do dekompresji plików ZIP. To narzędzie jest stale aktualizowane wraz z ewolucją Cryptolockera.

Aktualizacja oprogramowania

Kolejne wskazówki dotyczą ogólnych dobrych praktyk bezpieczeństwa, ale odnoszą się również do Cryptolockera. Twórcy szkodliwego oprogramowania często wykorzystują fakt, że użytkownicy nie aktualizują oprogramowania, w którym pozostają niezałatane luki. Dlatego dbanie o instalację aktualizacji znacząco zmniejsza ryzyko zainfekowania szkodliwym oprogramowaniem. Niektórzy producenci regularnie udostępniają aktualizacje (np. Microsoft i Adobe robią to w drugi wtorek miesiąca), ale jeśli zachodzi potrzeba, łatki bezpieczeństwa publikują najszybciej, jak się da. Jeśli to możliwe, trzeba włączyć automatyczne pobieranie aktualizacji lub pobierać łatki bezpośrednio ze stron producentów.

Ostatnia deska ratunku

Jeśli użytkownikowi zdarzy się uruchomić plik, który podejrzewa, że może być Cryptolockerem, ale jeszcze nie pojawił się charakterystyczny ekran tego programu, trzeba jak najszybciej odłączyć taki komputer od sieci (przewodowej i bezprzewodowej). Jest szansa, że uda się to zrobić, zanim szkodnik skomunikuje się z centralnym serwerem C&C i skończy szyfrowanie plików. Wtedy można podjąć próbę odzyskania plików, które nie zostały jeszcze zaszyfrowane. Nie jest to w pełni skuteczna metoda, ale nic więcej na szybko nie da się zrobić.

Mariusz Jendra

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 39044 )
Array ( [docId] => 39044 )

Array ( [docId] => 39044 )