Ransomware – co to jest i jak się przed nim zabezpieczyć?

Co to jest ransomware i jak działa?

Wyobraźmy sobie, że spędziliśmy miesiące nad pracą magisterską tylko po to, by na koniec komputer wyświetlił nam komunikat o zaszyfrowaniu plików i żądaniu okupu za odzyskanie do nich dostępu. Tak właśnie działa ransomware. Co to konkretnie oznacza?

Ransomware jest oprogramowaniem typu malware, a więc celem jego istnienia jest działanie na szkodę użytkownika. Ten rodzaj złośliwego programu jest wykorzystywany przez hakerów pragnących wyłudzać pieniądze od swoich ofiar. Jego działanie polega na szyfrowaniu danych przechowywanych na komputerze. Jeśli ofiara chce uzyskać klucz do odkodowania swoich cennych informacji, musi zapłacić przestępcy okup. Cena za odzyskanie plików może sięgać nawet kilkuset dolarów.

Wyróżnia się kilka głównych rodzajów ransomware różniących się stopniem złośliwości:

• screen-locker – obecnie raczej niespotykany ze względu na brak skuteczności. Działał poprzez blokowanie ekranu, ale dawał się usunąć dzięki odpowiedniej wiedzy technicznej;
• crypto-ransomware – o wiele bardziej dokuczliwa odmiana ransomware. Szyfruje pliki ofiary, wykorzystując do tego technologie używane między innymi przez banki. Nic więc dziwnego, że takie dane są właściwie niemożliwe do odkodowania;
• disk-encryption – program szyfruje cały plik i sprawia, że niemożliwe jest nawet uruchomienie systemu operacyjnego.

Jak rozprzestrzenia się ransomware?

Zainfekowanie komputera oprogramowaniem ransomware nie różni się za bardzo od infekcji innym typem malware. Program może zostać pobrany na urządzenie na przykład przez phishing – rodzaj oszustwa, w którym przestępca podszywa się pod zaufaną osobę lub organizację i rozsyła maile zawierające złośliwe załączniki.

Niektórzy przestępcy dokładają wszelkich starań, by ich nielegalna działalność przyniosła jak największe rezultaty. Kupują więc reklamy na wiarygodnych stronach o dużej popularności. Bannery mogą przekierowywać na witryny ze złośliwym oprogramowaniem albo korzystać ze słabości przeglądarek internetowych. Ransomware można także pobrać wraz z pirackimi narzędziami ściąganymi z tak zwanych torrentów.

Ransomware można również nabyć poprzez odwiedzanie podejrzanych witryn internetowych oraz klikanie niepewnych linków. Po infekcji program sam wyświetla informacje na temat uiszczenia opłaty za odzyskanie dostępu do danych albo przekazuje dane ofiary hakerowi, który następnie się z nią kontaktuje.

Każdy może stać się pokrzywdzonym przez atak ransomware, ale szczególnie narażone są:

• organizacje zajmujące się wrażliwymi danymi, których upublicznienie stanowiłoby dla nich potężny cios, na przykład firmy przechowujące dane o zdrowiu pacjentów;
• organizacje zajmujące się działalnością polityczną;
• duże korporacje o pokaźnych rezerwach finansowych (ze względu na wysokie prawdopodobieństwo uiszczenia okupu);
• osoby fizyczne przechowujące i przetwarzające wrażliwe dane finansowe i inne;
• obywatele krajów określanych jako zamożne oraz organizacje zarejestrowane w tych krajach (istnieje większe prawdopodobieństwo, że zapłacą okup);
• osoby i organizacje korzystające z nieaktualnego oprogramowania i kiepsko zabezpieczonych sieci.

Jak pozbyć się ransomware?

Zazwyczaj zaszyfrowanie danych jest działaniem trwałym. To znaczy, że po infekcji ransomware odzyskanie wszystkich plików i informacji może być bardzo trudne lub wręcz niemożliwe. Dobrej jakości aplikacje anti-malware są w stanie wykryć i usunąć złośliwy program, ale nie pomogą w razie zakodowania danych – do tego potrzeby jest klucz, który posiada jedynie twórca szkodliwego oprogramowania.

Ransomware – jak się zabezpieczyć przed atakiem?

Ponieważ usunięcie szkód spowodowanych przez ransomware jest bardzo trudne, lepiej w jego przypadku zapobiegać niż leczyć. Istnieje kilka zasad, którymi warto kierować się podczas korzystania z komputera i Internetu, by ochrona przed ransomware była skuteczna:

• Zawsze trzeba zachowywać czujność i nie dać się podejść oszustom wykorzystującym techniki psychologiczne (np. przestępcom uprawiającym phishing);
• Nigdy nie należy wchodzić w podejrzane linki ani odwiedzać niepewnych witryn internetowych, a tym bardziej pobierać z nich narzędzi i plików;
• Należy dbać o to, by oprogramowanie antywirusowe było aktualne oraz regularnie instalować aktualizacje zabezpieczeń systemowych;
• Powinno się pilnować tego, by systemowa zapora sieciowa (firewall) była zawsze włączona;
• W razie infekcji ransomware odzyskanie plików może być niemożliwe, dlatego jednym ze skuteczniejszych zabezpieczeń przed utratą informacji jest regularne wykonywanie kopii zapasowych systemu i danych. Kopie powinno się przechowywać w zakodowanej chmurze albo na urządzeniu niepodłączonym do komputera (na przykład na dysku zewnętrznym);
• Przechwałki w Internecie mogą przyciągnąć uwagę cyberprzestępców, dlatego osoby zajmujące się wrażliwymi danymi nie powinny dyskutować o nich w social mediach;
• Należy zawsze używać silnych haseł i starać się, by nie były one powtarzalne;
• Warto skorzystać z usługi VPN online. Dzięki niej połączenie z Internetem jest zaszyfrowane, a cyberprzestępcy nie są w stanie namierzyć ofiary.

Czy VPN skutecznie chroni przed ransomware?

Sam VPN nie stanowi zamiennika dla oprogramowania antywirusowego – nie blokuje infekcji ransomware ani nie skanuje całego komputera w poszukiwaniu szkodliwych plików. NordVPN oferuje jednak unikalne narzędzie o nazwie Threat Protection zwiększające ochronę użytkownika.

Threat Protection to rozwiązanie zmniejszające prawdopodobieństwo zainfekowania urządzenia złośliwym oprogramowaniem. Funkcja zapobiega odwiedzaniu podejrzanych witryn internetowych – blokuje je i wyświetla komunikat ostrzegawczy, dzięki czemu użytkownik zdaje sobie sprawę z zagrożenia. Narzędzie skanuje również pobierane pliki, a także blokuje moduły śledzące i irytujące reklamy.

Jak jeszcze VPN zwiększa ochronę przed złośliwym oprogramowaniem? Technologia ta czyni użytkownika mniej podatnym na ataki dzięki temu, że ukrywa adres IP oraz szyfruje dane o połączeniu. Hakerzy tworzący złośliwe oprogramowanie nie są wtedy w stanie zlokalizować swojej ofiary. VPN to jednak nie wszystko – sam użytkownik musi być w stanie rozpoznać próbę działania na swoją szkodę, na przykład maile phishingowe.

Wirtualna sieć prywatna nie chroni użytkownika przed nim samym, więc pobieranie plików z podejrzanych źródeł może skutkować zainfekowaniem ransomware i blokadą plików na urządzeniu.

Atak ransomware – co zrobić, gdy do niego dojdzie

Infekcja urządzenia oprogramowaniem ransomware należy do problematycznych zjawisk, a jej skutki są trudne do usunięcia. Oto co powinno się zrobić, gdy już do niej dojdzie:

• Należy upewnić się, czy potencjalny ransomware nie jest w rzeczywistości tylko scarewarem – oprogramowaniem straszącym zaszyfrowaniem plików;
• Złośliwe oprogramowanie należy natychmiast usunąć przez program antywirusowy lub całkowite wyczyszczenie dysku. Spowoduje to utratę plików, ale te prawdopodobnie i tak nie będą już do odzyskania;
• Nie należy opłacać okupu, którego żądają hakerzy. Nie ma pewności, że przestępcy dotrzymają słowa i zwrócą dostęp do danych. Ponadto uiszczenie opłaty zachęci ich do prowadzenia dalszych nielegalnych działań;
• Powinno się jak najszybciej skontaktować z policją i zgłosić popełnienie przestępstwa.