Image
20.8.2016 0 Comments

Ransomvér: Platiť či neplatiť? Ako sa brániť?

Ak sa pohybujete v kruhoch, ktoré sa zaoberajú digitálnou bezpečnosťou, téma ransomvéru sa vám už môže zdať trochu obohratá. Rastúci počet jeho obetí po celom svete, nové schopnosti a trendy pri jeho šírení či popularita medzi útočníkmi z neho však robia jednu z najväčších kybernetických hrozieb súčasnosti. A tá určite stojí za pozornosť.

Začnime pekne po poriadku. Čo vlastne ransomvér je? Ide o typ škodlivého kódu (ak chcete, počítačového vírusu), ktorý vám zablokuje zariadenie alebo zašifruje jeho obsah a žiada za jeho uvoľnenie výkupné. Rozdeľujeme ho do dvoch skupín: lockscreen a šifrovací kryptoransomvér.

Prvý menovaný používateľovi zamkne obrazovku grafikou, čím bráni v používaní počítača, smartfónu či tabletu. Kryptoransomvér je pre obete oveľa ničivejší. Nepripraví ich síce o prístup do zariadenia, všetky súbory však zašifruje a tým znemožní ich ďalšie používanie. No ak máte tento teoretický úvod už zvládnutý, pravdepodobne vás skôr zaujíma, ako vyzerá situácia v skutočnosti. Na trhu pôsobí niekoľko „rodín“, pričom niektoré sú implementované lepšie, iné horšie, od čoho závisia aj zisky ich operátorov.

K tým najúspešnejším ešte pred niekoľkými mesiacmi patril aj TeslaCrypt. V máji však skončil, a to aj napriek tomu, že ešte stále má v moci súbory desaťtisíce ľudí po celom svete. Na jeho miesto nastúpili ďalší konkurenti. Silné postavenie mal neslávne známy a mimoriadne nebezpečný Locky, ktorý šarapatí už od začiatku tohto roka. Aj napriek kvalitnej implementácii a šíreniu prostredníctvom rozsiahlych spamových vĺn ho však v rozmachu začal porážať agresívny Crysis, ktorý dokáže šifrovať na pevných, odpojiteľných aj sieťových diskoch. To síce nie je oproti konkurencii nič výnimočné, no na rozdiel od nej sa takto zameriava prakticky na všetko okrem seba samého a niekoľko málo častí operačného systému. Takéto správanie pritom môže viesť až k nestabilite infikovaného počítača, keďže Crysis môže zasiahnuť aj súbory nevyhnutné na jeho fungovanie. Po tom, čo dokončí svoju škodlivú aktivitu, na plochu umiestni textový súbor alebo obrázok (v závislosti od variantu), ktorý obeti poskytne kontaktné e-mailové adresy kyberzločincov. Až z nich mu po napísaní e-mailu prídu ďalšie inštrukcie. Útočníci požadujú za dekryptor 400 až 900 eur, vyplatených v anonymnej kryptomene bitcoin.

Ako sa teda Crysis šíri? V menšej miere bol tento škodlivý kód prestrojený za neškodne vyzerajúce inštalačné súbory, ako napríklad WinRar alebo MS Excel. Vo väčšine si však obete hľadal rovnako ako väčšina jeho ransomvérových konkurentov – cez infikované prílohy e-mailov so zdvojenými príponami (ako je napríklad .pdf.exe). Tento prístup sa spolieha na štandardné nastavenie Windows, ktoré nezobrazí poslednú z nich, čím však zakryje skutočnú funkciu súboru.

Vlny Nemucodu

S témou ransomvéru v týchto dňoch úzko súvisia aj ďalšie škodlivé kódy, jeden z nich je aj downloader Nemucod. Hrozba ukrytá za týmto menom sa pokúšala stiahnuť a nainštalovať viaceré druhy škodlivého kódu vrátane Lockyho a TeslaCryptu (ešte pred ukončením činnosti).

Útočníci pritom škodlivý obsah správy veľmi dobre maskovali, vydávajúc ho za oznámenie o predvolaní na súd, zaslanie faktúry alebo iný oficiálny dokument. Škodlivý kód ukryli do priloženého súboru .zip, ktorého obsahom bol spustiteľný javascriptový súbor. Ak sa používateľ nechal nachytať a klikol naň, do zariadenia si stiahol nebezpečný malvér.

Podobná technika je pritom bežná aj v súčasnosti, niekedy však útočníci využívajú ešte rafinovanejší prístup a priložia infikované súbory MS Office. Tie si po otvorení vyžiadajú od svojej obete povolenie spustiť makrá a následne sťahujú škodlivý obsah. Používatelia, a to najmä vo firmách, ktorí sa s podobnými e-mailmi a obsahom vo svojej schránke stretávajú bežne, pritom nemusia zaregistrovať rozdiel a správu otvoria.

Zašifrovanie ransomvérom však môže pre spoločnosť znamenať nielen komplikácie v dennom chode, ale aj nedostupnosť dát a následné finančné škody a poškodenú reputáciu. Zamestnanci by preto mali dostávať výcvik, v ktorom sa dozvedia, ako podobné hrozby identifikovať. Aj jedno nesprávne kliknutie totiž môže znamenať problémy pre celú firemnú sieť a všetky počítače v nej.

Android na muške

Ešte donedávna bol ransomvér problém pre používateľov počítačov, no autorov malvéru začínajú lákať aj ďalšie platformy. Odhliadnuc od faktu, že sa v tomto roku objavili už aj prvé skutočne funkčné príklady výpalníckeho škodlivého kódu pre Mac a niekoľko verzií proof-of-concept (prípady, ktoré dokázali, že je to možné) pre Linux, na mušku sa dostávajú najmä mobilné zariadenia.

Konkrétne hovoríme o operačnom systéme Android, na ktorom beží viac ako 80 percent smartfónov po celom svete. Práve jeho veľké pokrytie z nich robí atraktívny cieľ s potenciálne vysokou výnosnosťou. Používatelia si do nich navyše ukladajú zoznamy kontaktov a cenné dáta, ktorých prípadné zablokovanie či strata dokáže mnohých donútiť siahnuť do peňaženky.

Aj keď pri niektorých to spočiatku vyzeralo len na snahu napodobniť úspech na počítačoch, postupné úpravy a aktualizácie zo strany tvorcov škodlivého kódu z nich urobili skutočne nebezpečné hrozby, ktoré sa len ťažko zo zariadenia odstraňujú. Dobrý príklad je Simplocker z roku 2014. Jeho prvé varianty síce používateľovi zašifrovali súbory, ale ako názov napovedá, dal sa jednoducho prekonať. Útočníci totiž nechali kľúč potrebný na ich odomknutie uložený v zariadení. S pomocou odborníkov tak nebol veľký problém získať svoje dáta späť.

Odvtedy sa však objavilo už viac ako 50 nových variantov, ktoré postupne „zlepšili“ všetko od grafiky cez maskovanie až po šifrovanie a ako „bonus“ zvýšili cenu výpalného z 15 na 500 dolárov.

Pridali navyše aj nové obranné mechanizmy, ktoré sa snažia udržať ransomvér v zariadení vďaka prideleniu administrátorských práv. Používateľovi sa na tento účel zobrazí nevinne vyzerajúca obrazovka s logom Googlu, ktorá ho nabáda aktualizovať si softvér. Pod ňou sa však ukrýva druhá skutočná obrazovka, ktorá pridelí práva ransomvéru a komplikuje, prípadne znemožňuje jeho odstránenie.

Podobnú formu sebaobrany pritom používa aj lockscreen  Lockerpin. Ten obrazovku smartfónu nevyplnil len požiadavkou o výkupné, ale nastavil aj náhodný štvormiestny PIN kód a zablokoval obrazovku. Zneužil na to legitímnu bezpečnostnú funkciu zariadenia.

Ak sa aj obeť rozhodla zaplatiť, nemuselo jej to pomôcť. Kód sa totiž pri niektorých variantoch neodosielal útočníkom a neuložil sa ani v zariadení. Bez využitia ďalších aplikácií na manažovanie mobilného zariadenia bolo preto takmer nemožné získať prístup do zariadenia bez toho, aby používateľ musel obnoviť továrenské nastavenia.

Nové trendy a triky ransomvéru

Autori ransomvéru na svojich obetiach len v minulom roku dokázali zarobiť milióny dolárov (niektoré odhady dokonca hovoria o desiatkach či stovkách miliónov). Práve tieto financie im dovoľujú ďalej rozvíjať ich škodlivý kód a dávať mu nové schopnosti. Mnohé z nich nútia infikovaných používateľov zaplatiť čo najskôr.

Už pomerne tradičný prístup je využitie časomiery, ktorá odpočítava čas na vykonanie platby. Ak ho obeť nedodrží, vyhrážajú sa útočníci zvýšením výkupného (niekedy aj niekoľkonásobným) či definitívnym zablokovaním alebo vymazaním súborov.

Vo veľkej časti prípadov však súborom už nič ďalšie nehrozí. Vďaka šifrovaniu sú nedostupné, a tak ich prípadné vymazanie na situácii nič nemení. Nájdu sa však aj výnimky. Jeden z agresívnych ransomvérov posledných mesiacov, pomenovaný Jigsaw, totiž skutočne tieto hrozby splnil a súbory v hodinových intervaloch s rastúcou rýchlosťou vymazával.

Ak sa navyše obeť snažila počítač reštartovať, „za trest“ jej vymazal 1000 súborov. Ďalšia novinka je kombinovanie viacerých ransomvérov do akýchsi balíčkov. Rôzne typy a verzie výpalníckeho škodlivého kódu totiž majú väčšiu šancu, že infekcia sa naozaj uskutoční a zariadenie úspešne zašifruje.

Jeden z najnebezpečnejších nových trendov je však ponúkanie ransomvéru ako služby (Ransomware as a Service), čo otvára dvere aj kriminálnikom bez programátorských či hlbších počítačových schopností. Kód je totiž dostupný od jeho autorov za poplatok či podiel na zisku a aj menej skúsený útočník si ho potrebuje iba stiahnuť, upraviť žiadosť o výkupné podľa svojich potrieb (môže napríklad prispôsobiť požadovanú sumu, text či spôsob platby) a rozoslať ho do sveta.

Práve vďaka podobným „zlepšeniam“ sa z ransomvéru stáva ešte rozšírenejší fenomén. Vysoká výnosnosť, pomerne jednoduchá dostupnosť v kombinácií so zraniteľnosťou používateľov pritom motivuje stále viac útočníkov, aby sa zapojili. Práve tomu by mali zodpovedať aj opatrenia na druhej strane – na úrovni bežného používateľa, firiem či organizácií.

Ako sa brániť?

Prevencia je lepšia ako riešenie následkov. Ak si teda budete zálohovať svoje cenné dáta (ideálne na disku, ktorý nie je pripojený do siete) ransomvér vás nemá čím prekvapiť. Stačí počítač vyčistiť a dáta nanovo nakopírovať.

Druhý krok pri ochrane vášho zariadenia pred infekciou je aktualizácia operačného systému a programov, ktoré používate. Vyhnete sa tým riziku, že zraniteľnosti v starších verziách niekto zneužije.

Tretia neoddeliteľná súčasť dobrej prevencie je používanie spoľahlivého antivírusového riešenia, ktoré používa cloud alebo inú formu rýchlej reakcie, a to tak na počítači (kde sú na to používatelia už rokmi zvyknutí), ako aj na mobilnom zariadení. Práve ono vás dokáže chrániť aj pred vlastnými chybami, ako je nesprávne kliknutie v e-maile či na webe.

Tieto rady sú užitočné najmä pre bežného používateľa, no v biznise nemusia stačiť. Preto by firmy mali okrem už uvedených opatrení dbať najmä na tréning svojich zamestnancov a naučiť ich rozoznávať nebezpečné obsahy v ich e-mailovej schránke aj on-line.

Pomôcť im môžu aj niektorými nastaveniami systémov, ako napríklad zobrazovaním skrytých súborových prípon. Vďaka tomu môže používateľ vidieť aj rizikové zdvojené prípony (napríklad .pdf.exe). Riziko infekcie ďalej znižuje aj filtrovanie spustiteľných súborov (.exe, .js, .bat a ďalších).

Ak vaša firma navyše využíva vzdialený prístup k počítaču cez Remote Desktop Protocol, vypnite ho v prípade, že nie je potrebný. Aj túto utilitu totiž útočníci dokážu zneužiť na nainštalovanie ransomvéru.

V prípade, že nič z uvedeného nefungovalo, kontaktuje technickú podporu vášho antivírusového programu. Odborníci v týchto firmách majú množstvo skúseností a viaceré druhy ransomvéru dokážu obísť či vytvoriť pre svojho klienta špecializovaný dekryptor.

Platiť či neplatiť?

Odporúčame výkupné neplatiť. Zaplatenie vám síce môže prinavrátiť dáta, poznáme však mnoho prípadov, v ktorých dešifrovací kľúč vôbec nefungoval alebo nebol úspešný pri dešifrovaní všetkých súborov.

Autori malvéru, samozrejme, nepraktizujú legálny biznis. Nemajú preto žiadnu právnu povinnosť urobiť to, čo vám v žiadosti o výkupné sľubujú.

Nemáte takisto záruku, že po odšifrovaní zariadenia sa nevrátia a opäť nezašifrujú. Navyše každý dolár na ich účte ich podporuje vo vývoji stále nebezpečnejších foriem výpalníckeho škodlivého kódu.

Ondrej Kubovič, ESET, špecialista na digitálnu bezpečnosť


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá