Oprogramowanie szyfrujące pliki w celu wymuszenia okupu, o którym rozpisują się serwisy poświęcone bezpieczeństwu i nie tylko, paraliżuje działalność firm. Wyjaśniamy, o co w tym chodzi i co możesz zrobić, żeby ochronić swoją organizację. Pod koniec 2015 r. doradca ds. bezpieczeństwa F-Secure Sean Sullivan przewidział, że 2016 będzie rokiem wymuszeń. Jak dotychczas, ma absolutną rację.
Kryptograficzny ransomware – oprogramowanie szyfrujące pliki w celu wymuszenia okupu – w ostatnich miesiącach okupuje nagłówki gazet i paraliżuje działalność małych i dużych firm oraz instytucji. Brak alternatywy skłania wiele ofiar do zapłacenia okupu, co wprawdzie pozwala odzyskać dostęp do komputera, ale jednocześnie zachęca przestępców do kontynuowania działalności.
Oto krótki przewodnik po oprogramowaniu wymuszającym okup – czym jest i co możesz zrobić, żeby ochronić swoją organizację.
Co robi ransomware?
Kryptograficzny ransomware szyfruje pliki w komputerze, modyfikując je w taki sposób, że użytkownik nie może uzyskać do nich dostępu bez klucza pozwalającego na ich prawidłowe odszyfrowanie. Przestępcy domagają się okupu w zamian za udostępnienie klucza. Kiedy złośliwe oprogramowanie zainfekuje jeden komputer, może rozprzestrzenić się na inne urządzenia w sieci, uniemożliwiając prowadzenie normalnej działalności.
Okupem często bywają bitcoiny, wirtualna waluta, która trudno wyśledzić. Napastnik zwykle wyznacza termin zapłaty. Po jego upływie okup często wzrasta i wyznaczany jest nowy termin. Jeśli minie i ten drugi termin, jest bardzo prawdopodobne, że napastnicy usuną klucz. W takim przypadku zapewne nigdy nie uda się odzyskać danych.
Jak ransomware infekuje komputer?
Użytkownicy mogą natknąć się na ransomware w różnych miejscach, najczęściej w poczcie e-mail w postaci załącznika. Plik albo udaje dokument z pilnymi informacjami lub pożądaną treścią, albo znajduje się w archiwum ZIP o mylącej nazwie. Metoda ta wymaga, aby podstępem skłonić użytkownika do otwarcia załącznika i wykonania złośliwego pliku. Wiadomości e-mail mogą rozprzestrzeniać ransomware nie tylko w załącznikach, ale również za pośrednictwem złośliwych łączy (więcej na ten temat w następnym akapicie).
Innym typowym sposobem dystrybucji ransomware’u jest dołączenie go do pakietu exploitów. Użytkownicy są narażeni na kontakt z pakietami exploitów, kiedy odwiedzają złośliwą witrynę (na przykład za pośrednictwem łącza w wiadomości e-mail). Pakiet exploitów bada komputer użytkownika pod kątem usterek lub luk w zabezpieczeniach, które często występują w przestarzałym oprogramowaniu.
W przypadku znalezienia luki w zabezpieczeniach pakiet exploitów pobiera i instaluje ransomware w komputerze użytkownika. Może się to stać zupełnie bez wiedzy przeciętnego użytkownika.
Jaki wpływ ma ransomware na firmę?
Napastnicy zwykle żądają okupu w wysokości od 300 do 500 dolarów za komputer. Jeśli zainfekowanych zostanie 20 komputerów, kwota może sięgnąć 10 000 dolarów. Bywa też, że cyberprzestępcy atakujący konkretne firmy żądają jednego łącznego okupu (interesujące omówienie monetyzacji kryptograficznego ransomware’u można znaleźć w tym poście na blogu F-Secure Labs).
Ale pieniądze, których domagają się przestępcy, to tylko niewielka część rzeczywistych kosztów. Prawdziwe szkody są wynikiem przestoju sieci (utrata produktywności, niewykorzystane okazje biznesowe, ograniczona satysfakcja klientów, pogorszenie wizerunku marki) oraz przywracania systemów (zasoby, które pochłania reagowanie na atak i naprawa lub wymiana systemów).
Jak odzyskać pliki?
F-Secure odradza płacenie okupu. Choć jest to jeden ze sposobów na odzyskanie systemów, lepiej zawczasu przygotować się na atak – przez regularny backup. W ten sposób, jeśli ktoś Cię zaatakuje, można się odprężyć i przywrócić pliki z kopii zapasowych. Gdyby każdy wykonywał kopie zapasowe swoich plików, ransomware przestałby być sensownym modelem biznesowym dla przestępców.
Jeśli Twoje pliki są pod kontrolą napastnika, a nie masz kopii zapasowych, warto zajrzeć do sieci i sprawdzić, czy istnieje narzędzie deszyfrujące dla ransomware’u, za pomocą którego Cię zaatakowano. Dobrym punktem wyjścia jest ta lista, chociaż narzędzia deszyfrujące są zwykle dostępne tylko dla wczesnych wersji niektórych rodzin. Trzeba też pamiętać, że napastnicy zmieniają taktykę i używają ransomware’u, dla którego nie stworzono narzędzia deszyfrującego.
Możesz również opisać swoją sytuację na forum pomocowym, takim jak Bleeping Computer, gdzie znajdziesz wątki poświęcone programom Locky, TeslaCrypt, CryptoWall, Petya, CryptXXX, Locker i wielu innym.
Jak nie paść ofiarą ransomware’u?
Lepiej zapobiegać, niż leczyć, co jest niewątpliwie prawdą w przypadku ransomware’u. Jeśli podejmiesz środki zaradcze i przygotujesz się na atak,
Podejmij odpowiednie środki ostrożności, aby przygotować się na atak i skutecznie go odeprzeć. Oto kilka porad, jak niew celu przygotowania i uniknąć ataku na szkodnika i będziesz o wiele lepiej. Oto nasze wskazówki, aby utrzymać ochronić firmę przed ransomware:
- Regularnie wykonuj kopie zapasowe danych swojej organizacji. Przechowuj kopie offline, żeby również nie uległy infekcji. Ponadto od czasu do czasu testuj ich przywracanie, żeby upewnić się, że naprawdę działają. Jeśli zostaniesz zaatakowany, dzięki dobrym kopiom zapasowym szybko staniesz na nogi bez płacenia przestępcom.
- Korzystaj z niezawodnego rozwiązania zabezpieczającego, które chroni wszystkie punkty końcowe i zapewnia wiele warstw obrony. F-Secure Protection Service for Business to wielowarstwowe rozwiązanie, które chroni przed wszystkimi znanymi programami wymuszającymi okup i potrafi również blokować zupełnie nowe zagrożenia dnia zerowego. Ponieważ nowe warianty ransomware’u pojawiają się ostatnio dość często, jest to istotne.
- Aktualizuj oprogramowanie we wszystkich punktach końcowych, żeby zapobiec exploitom. Dzięki zautomatyzowanym narzędziom do zarządzania poprawkami, takim jak F-Secure Software Updater (dołączone do Protection Service for Business), jest to łatwe.
- Szkól pracowników w zakresie bieżących taktyk socjotechnicznych używanych do rozprzestrzeniania ransomware’u. Naucz ich traktować nieufnie załączniki i łącza w wiadomościach e-mail, zwłaszcza od nieznanych nadawców. Upewnij się, że rozumieją swoją rolę w ochronie danych firmy.
- Ogranicz użycie wtyczek do przeglądarek. Wyłączaj te, które bywają częstym celem ataków, takie jak Flash Player i Silverlight, kiedy nie są używane.
- Zarządzaj dostępem. Zezwalaj na używanie kont administracyjnych tylko tym pracownikom, którzy naprawdę potrzebują dostępu administracyjnego, i tylko wtedy, gdy jest to rzeczywiście potrzebne. Ponadto uprawnienia dotyczące plików, katalogów i udziałów sieciowych powinny być skonfigurowane tak, aby użytkownicy nie dysponowali większym poziomem dostępu, niż naprawdę potrzebują – ci, którzy muszą tylko wyświetlać niektóre pliki, nie potrzebują dostępu w trybie do zapisu.
- Wprowadź kontrolę aplikacji, żeby programy nie mogły uruchamiać się z lokalizacji typowych dla ransomware’u (na przykład z tymczasowych folderów popularnych przeglądarek internetowych). Korzystaj też z „białych list”, które pozwalają uruchamiać tylko znane i zaaprobowane programy.
- Klasyfikuj i rozdzielaj dane. Ograniczaj możliwości poruszania się „na boki” w Twojej sieci, oddzielając podsieci i dane różnych jednostek biznesowych.
- Wyłącz obsługę makr w plikach Office otrzymanych pocztą e-mail.
- Używaj bramy filtrującej pocztę i skonfiguruj ją tak, aby blokowała wykonywalne załączniki.