Facebook Google Plus

Cryptolocker – co to za zagrożenie oraz jak się przed nim bronić ?

O malwarze, klasyfikowanym obecnie jako ransomware (od angielskiej zbitki słów ransom i software – okup i oprogramowanie), głośno zrobiło się już kilka lat temu. W 2013 roku najgłośniejszy wirus należący do tej kategorii – CryptoLocker – pozwolił swoim twórcom podczas pierwszego swojego ataku „zarobić” aż 27 milionów dolarów. Jak szacuje Bitdefender na jednej kampanii rozsyłania CryptoLockera przestępcy są w stanie uzyskać nawet 325 mln dol. Ataku i żądania zapłaty okupu nie ustrzegło się nawet FBI.

Czym zatem jest ransomware? Bardzo dobrze wyjaśnia to już sama jego nazwa. Ten rodzaj złośliwego oprogramowania ma na celu wyłudzić pieniądze od swojej ofiary. Atak wirusa polega na zablokowaniu dostępu do plików, dokumentów lub nawet na przejęciu całego komputera bądź firmowego serwera. Wszystkie dane, do których ten rodzaj malware’u blokuje dostęp są zazwyczaj szyfrowane, a na ekranie pojawia się komunikat, co musi zrobić właściciel cennych plików, aby je odzyskać. Zwykle cyberprzestępcy domagają się przelania pieniędzy na ich konto i w zamian obiecują wysłanie ofierze klucza oraz instrukcji jak odszyfrować dane. Coraz częściej, do pozyskiwania okupu wykorzystuje się platformę cyfrowej waluty Bitcoin. Pozwala to cyberprzestępcom ominąć oficjalny obieg pieniądza. Jest to dla nich bezpieczniejsze i często uniemożliwia policji wykrycie, kto fizycznie stoi za przeprowadzonym atakiem.

Rodzaje ransomware

Obecnie znane są trzy różne rodzaje złośliwego oprogramowania typu ransomware. Pierwszy z nich to tzw. screen-locker. Malware ten blokuje użytkownikowi dostęp do urządzenia poprzez zablokowanie ekranu. Jest to dość irytujące, ale można się pozbyć samodzielnie tego złośliwego oprogramowania, jeżeli ofiara posiada wystarczającą wiedzę techniczną lub dysponuje odpowiednim pakietem antywirusowym.

Ponieważ ten rodzaj ransomware’u okazał się mało skuteczny w wyłudzaniu pieniędzy, dlatego cyberprzestępcy zaczęli stosować malware typu crypto-ransomware. Szyfruje on wybrane typy plików, np. zdjęcia i dokumenty Word, na lokalnym dysku ofiary. Coraz częściej zakodowuje on również pliki w innych lokalizacjach, do których ma dostęp – w tym pliki znajdujące się na serwerach oraz w chmurze. Następnie oferowany jest klucz do odszyfrowania danych, który przekazywany jest przez cyberprzestępców ofierze po uiszczeniu odpowiedniej opłaty. Przeważnie wartość żądanego okupu oscyluje w przedziale od 150 do 900 dolarów.

Niestety, crypto-ransomware wykorzystuje ten sam typ szyfrowania co oprogramowanie chroniące transakcje bankowe lub wojskową komunikacje. Pliki szyfrowane są przy użyciu algorytmów AES 256 dlatego realnie dane są nie do odzyskania (chyba, że jest się gotowym na atak, ale o tym później). Szacuje się, że oprogramowanie crypto-ransomware jest odpowiedzialne za wyłudzenie od ofiar ponad miliarda dolarów rocznie. Trzeci rodzaj ransomware to tzw. disk-encryptor. W odróżnieniu od crypto-ransomware oprogramowanie typu disk-encryptor zaszyfrowuje cały dysk ofiary i w ten sposób blokuje dostęp do całego komputera nie pozwalając na uruchomienie się systemu operacyjnego.

W tym miejscu należy wspomnieć o wirusie Spora, który pojawił się pod koniec zeszłego roku. Działa on nietypowo. Malware typu ransomware niemal zawsze korzysta z serwerów CnC (Command-and-Control). Serwer taki odpowiedzialny jest za wygenerowanie klucza prywatnego i publicznego. Zainstalowany na komputerze ransomware pobiera klucz publiczny i szyfruje za jego pomocą dane, klucz prywatny, służący do odszyfrowania informacji przechowywany jest cały czas przez serwer CnC i udostępniany jest ofierze w momencie, gdy ta zapłaci okup.

Spora atakuje swoje ofiary nie kontaktując z serwerów CnC, a pliki są szyfruje w trybie offline. Korzysta przy tym z publicznego klucza RSA, zaszytego w programie, ale nie używa go do szyfrowania plików przechowywanych na komputerze ofiary, lecz do zaszyfrowania unikalnego klucza AES, który jest generowany lokalnie na komputerze ofiary. Chcąc zapłacić okup, ofiara musi wysłać zaszyfrowany klucz AES do witryny wskazanej przez cyberprzestępców. Ci wykorzystują wówczas prywatny klucz RSA do odszyfrowania klucza AES i odsyłają go z powrotem do ofiary, która może już przy jego pomocy odszyfrować swoje pliki.

Niebezpieczeństwo czai się wszędzie

Najczęściej oprogramowanie ransomware dostaje się na nasz komputer po otworzeniu załącznika z maila lub kliknięciu w odnośnik, kierujący do specjalnie spreparowanej strony. Oszuści mają różne psychologiczne metody, aby zachęcić nas do otworzenia załącznika lub kliknięcia na link. Może to być np. informacja o przesyłce kurierskiej lub o zaległościach podatkowych, bądź też śmieszny filmik z kotkiem czy link do nagich zdjęć celebrytki. W ten sposób namawiają nas do otworzenia załącznika z niebezpiecznym oprogramowaniem, lub kliknięcia w link prowadzący do instalatora wirusa. Co gorsza, programy antywirusowe, nie zawsze są w stanie wychwycić taki atak. Wyjątkiem jest może Bitdefender który ma 99% skuteczności.

Ransomware przenosi się też przez złośliwe reklamy wyskakujące w przeglądarkach internetowych, poprzez strony WWW, najczęściej z treściami pornograficznymi i nielegalnym oprogramowaniem bądź wykorzystywane są do tego zewnętrzne nośniki danych, takie jak klucze USB. W ostatnim wypadku, bardzo często atak jest profilowany pod konkretną ofiarę – osobę lub firmę. Twórcy ransomware dołączają też swoje złośliwe oprogramowania do pirackiego kontentu, który użytkownicy komputerów chętnie pobierają z torrentów lub stron internetowych z warezami czy też z filmami, muzyką i telewizyjnymi serialami.

O tym, że nie można czuć się bezpiecznym, nawet jeśli w ogóle nie odwiedza się podejrzanych stron, świadczy fakt, że ransomware trafiał również na bardzo popularne strony internetowe z wiadomościami. Wśród stron WWW, które zostały w swojej historii zaatakowane ransomware’em wymienić można m.in. msn.com, nytimes.com, bbc.com, theweathernetwork.com czy newsweek.com.

Jak się bronić

Jak widać, motywacją cyberprzestępców są pieniądze, a zagrożeni, bez wyjątku, są wszyscy użytkownicy. Jeżeli zaatakuje nas wirus typu ransomware, w pierwszej kolejności należy wyłączyć komputer. Część złośliwego oprogramowania, najpierw wyświetla komunikat o infekcji, a później szyfruje nasze pliki. W takiej sytuacji możemy zapobiec zaszyfrowaniu przynajmniej części danych. Pliki należy wówczas odzyskiwać podłączając dysk do innego komputera, który nie jest podpięty do sieci, tak aby wyeliminować możliwość połączenia się wirusa z serwerem CnC. Bez tego nie jest on w stanie szyfrować plików.

Podstawą ochrony jest jednak dobry program antywirusowy ( polecamy z miejsca Bitdefender ) i komputerowa higiena. Nie klikajmy w każdy odnośnik i nie otwierajmy wszystkich załączników w wiadomościach e-mail, na portalach społecznościowych oraz w komunikatorach. Należy też unikać logowania się na konto z uprawnieniami administratora. Na co dzień powinniśmy pracować na koncie użytkownika, a konto administracyjne powinno być wykorzystywane wyłącznie wtedy, kiedy jest to niezbędne – na przykład przy instalacji oprogramowania.

W firmach istotne jest też prawidłowe przydzielanie uprawnień do zasobów w firmowej sieci i wykorzystywanej przez użytkowników firmowej chmurze. Bardzo częstym błędem jest przydzielanie dostępu do wszystkich firmowych zasobów kierownictwu firmy. Osoby te są najczęściej narażone na spersonalizowane ataki cyberprzestępców, a niejednokrotnie zdarzało przy atakach ransomware, że z laptopa prezesa były szyfrowane wszystkie pliki z dokumentami na wszystkich firmowych serwerach i we wszystkich lokalizacjach, paraliżując w ten sposób działalność całej firmy na kilka dni, do chwili zapłacenia okupu.

Backup – najważniejsza linia obrony

Najlepszym sposobem zabezpieczenia firmy przed atakiem ransomware jest backup. W razie infekcji często dużo łatwiej jest bowiem sformatować cały dysk twardy i wczytać dane z kopii bezpieczeństwa, niż męczyć się z usuwaniem wirusa lub zapłacić cyberprzestępcom okup. Backup pozwala sprawnie i bez kłopotu cofnąć się do chwili sprzed ataku. Dodatkowo w takich rozwiązaniach jak Xopero QNAP Appliance, która współpracuje z serwerami NAS firmy QNAP, możliwe jest uruchomienie obrazu odzyskiwanego komputera w środowisku wirtualnym z klucza USB. Obraz pobrany z serwera NAS uruchamiany jest wówczas w bezpiecznym środowisku wirtualnym, w którym możemy bez problemu sprawdzić, czy odzyskiwane dane nie są zarażone. Software ransomware często, przed zaszyfrowaniem danych, przez kilka dni ukrywa swoją obecność na komputerze ofiary.

Dobrym rozwiązaniem jest prowadzenie automatycznego backupu w chmurze. Warto pamiętać, że w chwili ataku szyfrowane są dane we wszystkich dostępnych z poziomu systemu operacyjnego lokalizacjach – w tym na zewnętrznych i sieciowych nośnikach, w tym przenośnych dyskach twardych czy serwerach NAS (w przypadku QNAP NAS bardzo przydatna jest wtedy funkcja odzyskiwania systemu/danych z wcześniej wykonanej migawki). Backup wykonywany w chmurze nie jest dostępny w prosty sposób z poziomu użytkownika. Ransomware nie ma więc do zbackupowanych danych bezpośredniego dostępu.
Do wykonywania backupu w chmurze warto korzystać z automatycznych narzędzi, wykonujących tą operację za nas. Nie musimy wówczas pamiętać o fizycznym zrobieniu backupu, gdyż ten wykona się w tle bez naszego udziału zawsze o wyznaczonej porze lub w chwili gdy komputer bądź sieć nie są obciążone.

Warto pamiętać, że technologia backupu może bez problemu zabezpieczać przed atakiem ransomware nie tylko komputery i laptopy poszczególnych użytkowników, ale również serwery – fizyczne i wirtualne. W ten sposób zyskujemy pewność, że w razie kłopotów szybko sobie z nimi poradzimy nie płacąc przy tym cyberprzestępcom ani jednej złotówki.