Co je Ransomware?

Jeden z novějších typů malwaru je známý jako ransomware. Ransomware je obzvláště ošklivý typ malwaru, protože prochází a zašifruje každý soubor ve vašem počítači a poté vám zobrazí poznámku o výkupném. Chcete-li své zařízení odemknout, musíte zaplatit výkupné, abyste poté obdrželi odemykací kód. Historicky většina ransomwarových kampaní skutečně dešifruje soubory, jakmile je výkupné zaplaceno, protože publicita o hackerech, kteří dodržují svůj konec dohody, je důležitou součástí přesvědčování lidí, aby zaplatili.

Poznámka: Obecně se doporučuje, abyste výkupné neplatili. Tím stále dokazujete, že ransomware může být ziskový, ale také nezaručuje, že znovu získáte přístup ke svým datům.  

Tip: Šifrování je proces kódování dat pomocí šifrovací šifry a klíče. Zašifrovaná data lze dešifrovat pouze pomocí dešifrovacího klíče.

Jak to funguje?

Jako každý malware se i ransomware musí dostat do vašeho počítače, aby mohl fungovat. Existuje mnoho potenciálních metod infekce, ale některé z nejběžnějších metod jsou infikované stahování na webových stránkách, malová reklama a škodlivé přílohy e-mailů.

Tip: Malvertising je způsob doručování škodlivého softwaru prostřednictvím reklamních sítí.

Po stažení do počítače začne ransomware šifrovat soubory na pozadí. Některé varianty tak učiní tak rychle, jak je to možné, můžete si všimnout, že to ovlivňuje výkon vašeho systému, ale pak máte málo času s tím něco udělat. Některé varianty ransomwaru budou šifrovat data pomalu, aby se snížila šance, že si toho všimnete v akci. Několik variant ransomwaru leželo v nečinnosti několik týdnů nebo měsíců, aby mohly být zahrnuty do všech záloh, které by mohly být použity k obnovení systému.

Tip: Ransomware se obvykle vyhýbá šifrování důležitých systémových souborů. Windows by měl stále fungovat, ale všechny osobní soubory atd. budou zašifrovány.

Jakmile ransomware zašifruje vše v počítači, jeho posledním krokem je vytvoření poznámky o výkupném, obvykle na ploše. Poznámka o výkupném obecně vysvětluje, co se stalo, poskytuje pokyny, jak zaplatit výkupné a co se stane, pokud tak neučiníte. Obecně je také stanovena lhůta s hrozbou zvýšení ceny nebo smazání klíče sloužícího k nabádání lidí k platbě.

Řada variant ransomwaru poskytuje funkci, která vám umožňuje dešifrovat malý počet souborů jako gesto „dobré vůle“, které dokazuje, že vaše soubory lze dešifrovat. Platební metodou bude obvykle bitcoin nebo různé jiné kryptoměny. Výkupné obecně poskytuje řadu odkazů na stránky, kde si můžete koupit příslušné kryptoměny, ve snaze usnadnit lidem jejich placení.

Jakmile poskytnete platbu nebo někdy doklad o platbě, obvykle vám bude poskytnut dešifrovací klíč, který můžete použít k dešifrování svých dat. Bohužel existují některé varianty, které nikdy nedešifrují, i když platíte –  jinými slovy NEPLATIT, ale hledat jiná řešení.

Proces šifrování na vašem počítači se obecně provádí pomocí náhodně generovaného symetrického šifrovacího klíče. Tento šifrovací klíč je poté zašifrován pomocí asymetrického šifrovacího klíče, pro který má tvůrce ransomwaru odpovídající dešifrovací klíč. To znamená, že pouze tvůrce ransomwaru může dešifrovat heslo, které potřebujete k dešifrování počítače.

Tip: Existují dva typy šifrovacích algoritmů, symetrický konec asymetrický. Symetrické šifrování používá stejný šifrovací klíč k šifrování i dešifrování dat, zatímco asymetrické šifrování používá k šifrování a dešifrování dat jiný klíč. Asymetrické šifrování umožňuje jedné osobě poskytnout více lidem stejný šifrovací klíč a zároveň zachovat jediný dešifrovací klíč.

Některé varianty ransomwaru také obsahují podpůrné funkce, které vám umožní kontaktovat osobu, která podvod provozuje. To je navrženo tak, aby vám pomohlo projít procesem platby, ale někteří lidé byli úspěšní při pokusu o snížení ceny.

Tip: V některých případech bude ransomware nasazen jako sekundární infekce, aby se pokusil zakrýt existenci jiného viru, který mohl skrytě krást jiná data. Záměrem je v tomto případě především zašifrovat soubory protokolu a ztížit reakci na incident a forenzní proces. Tento typ útoku se obecně používá pouze při vysoce cílených útocích proti podnikům, nikoli běžným uživatelům počítačů.

Jak se chránit

Pravděpodobnost, že se nakazíte ransomwarem a jiným malwarem, můžete snížit tím, že budete na internetu opatrní. Neměli byste otevírat přílohy e-mailů, které jste neočekávali, i když odesílateli důvěřujete. V kancelářských dokumentech byste nikdy neměli povolovat makra, zvláště pokud byl dokument stažen z internetu. Makra dokumentů Office jsou běžnou metodou infekce.

Blokátor reklam, jako je uBlock Origin, může být dobrým nástrojem ochrany před malvertisí. Měli byste se také ujistit, že stahujete soubory pouze z legitimních a důvěryhodných webových stránek, protože malware se často může skrývat v infikovaných stažených souborech a vydávat se za bezplatné verze placeného softwaru.

Mít a používat antivirový nebo antimalwarový software je obecně dobrou obranou proti malwaru, který dokáže překonat vaši první obrannou linii.

Pomoc, jsem nakažený!

Pokud se ocitnete v pozici, kdy ransomware ovládl váš počítač, možná budete moci ransomware odemknout zdarma. Značné množství ransomwarových schémat bylo špatně navrženo a/nebo již bylo odstraněno orgány činnými v trestním řízení.

V těchto případech je možné, že hlavní dešifrovací klíč byl identifikován a je k dispozici. EC3 (Evropské centrum pro počítačovou kriminalitu) Europolu má nástroj nazvaný „ Crypto Sheriff “, který lze použít k identifikaci typu ransomwaru, který máte, a poté vás propojit se správným dešifrovacím nástrojem, pokud takový existuje.

Jednou z nejlepších ochran, kterou můžete mít proti ransomwaru, jsou dobré zálohy. Tyto zálohy by měly být uloženy na pevném disku, který není připojen k počítači nebo ke stejné síti jako počítač, aby se zabránilo jejich infekci. Záloha by měla být připojena k postiženému počítači až po odstranění ransomwaru, jinak bude také zašifrována.