Co to jest ransomware? Jak chronić PC przed Petya?

Ransomware atakuje komputery w Polsce i powoduje spustoszenie! Wyjaśniamy jak się ochronić przed ransomware, czym jest ransomware, a także jak działa Petya, WannaCry i podobne oprogramowanie.

Po zaledwie majowym ataku WannaCry pojawiło się nowe złośliwe oprogramowanie typu ransomware rozprzestrzeniające się na całym świecie: Petya. Ransomware Petya blokuje dostęp do plików na "zarażonym" komputerze, dopóki nie zapłacisz okupu. W artykule wyjaśnimy co musisz zrobić, aby chronić swoje cenne dane oraz jak działa ransomware.

Porada skrócona? Zainstaluj porządny antywirus! Ostatnio testowaliśmy ponad 17 różnego rodzaju antywirusów i najlepiej wypadł Bitdefender, który możesz kupić tutaj: Bitdefender Internet Security 2017. Jeśli interesuje Cię szczegółowy test, to znajdziesz go tutaj: Najlepszy antywirus 2017 | Oto ranking top 15 antywirusów | Darmowe i płatne programy

Petya w pigułce – wirus czy ransomware?

Ciekawostką z ostatniej chwili, o której nie piszą media, jest to, że nowa wersja Petya nie jest de facto ransomware! :) Oprogramowanie to widziane było pierwotnie w 2016 roku jak Petya obecnie nazywa się ExPetya lub NotPetya – i nie jest to ransomware.

Choć „nowa” Petya wyświetla podobny komunikat co inne ransomware (i taki jak oryginalna Petya w 2016 roku) i rozkazuje wysłać ofiarom 300USD na konto Bitcoin, okazuje się, że kod, którym zaraża komputer nie zawiera możliwości deszyfrowania – a co za tym idzie – pomimo wpłacenia pieniędzy nie ma żadnych szans na odzyskanie utraconych danych (!)

Wszystko wskazuje więc na to, że obecna epidemia tego „ransomware” jest de facto epidemią wirusa, którego celem nie jest zarabianie, tylko masowy paraliż sieci komputerowych, centrów teleinformatycznych i infrastruktur państwowych (m.in. Ukrainy). Tezę tę potwierdzają nie tylko dziennikarze, ale także laboratoria pracujące nad oprogramowaniem antywirusowym. Na blogu bitdefender.pl czytamy m.in.:

Coraz więcej dowodów wskazuje na to, że kampania GoldenEye / Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych

- Wybór zwykłego, zawodnego dostawcy poczty elektronicznej, która miała pełnić rolę kanału do komunikacji, jest pod względem prowadzenia działalności gospodarczej chybioną decyzją.

- Brak automatyzacji procesu płatności i odzyskiwania klucza sprawia, że atakujący nie są w stanie dotrzymać obietnicy.

- Potwierdzenie płatności jest kompletnie niefunkcjonalne: użytkownik musi ręcznie wpisać bardzo długi, złożony z małych i wielkich liter ‘’personalny klucz instalacyjny’’ + „portfel” , który jak łatwo się domyśleć – jest on bardzo podatny na literówki

Autorzy wirusa/ransomware(?) dopięli jednak swego - wtorek, 27 czerwca, zaczął się jak w dobrym filmie akcji. Ukraińskie banki zaczęły komunikować klientom o problemach z systemem i uniedogodnieniami związanymi z ograniczoną możliwością wypłat w bankomatach, stanęły strony administracji państwowej Ukrainy, ukraińska sieć energetyczna zaczęła mieć problemy z systemem kontroli. Potem było tylko gorzej - o czym możecie przeczytać na stronie computerworld.pl w artykule "Petya Wielki… Problem".

Niezależnie od tego trzeba przyznać, że dawno nie mieliśmy tak ciekawej epidemii wirusa komputerowego – w tej chwili „leżą” już bardzo poważne instytucje czy firmy (w tym także w Polsce). Jeszcze raz doradzamy więc żeby po prostu zaopatrzyć się w dobry antywirus – Bitdefender Internet Security 2017 jest najlepszym wyborem, ale możecie sprawdzić inne typy w naszym teście: Najlepszy antywirus 2017 | Oto ranking top 15 antywirusów | Darmowe i płatne programy

Ale skoro już tu jesteście, to…

Czym jest ransomware?

Przez ostatnich kilka, czy nawet kilkanaście lat mieliśmy czas przyzwyczaić się do złośliwego oprogramowania działającego raczej subtelnie – wirusy, trojany czy botwormy zwykle wkradały się do naszych komputerów po cichu i robiły wszystko, by możliwe jak najdłużej pozostać niezauważone. Z ransomware jest inaczej, bo takie aplikacje natychmiast po zainfekowaniu komputera informują o tym użytkownika, wyświetlając komunikat informujący, że jego pliki zostały zablokowane i jeśli chce je odzyskać, będzie musiał zapłacić okup. W 2016 roku nastąpił prawdziwy wysyp takich wirusów, od Locky’ego, przez Cerbera i Madeba, aż po Maktuba. Ransomware może wyrządzić ogromne szkody.

Jak działa NotPetya i inne ransomware?

Zasada działania ransomware jest prosta – to złośliwy program, który przypomina wirus komputerowy. Jest przeznaczony do skanowania dysków twardych i szyfrowania jak największej liczby plików, dzięki czemu nie można ich uzyskać. Pliki są nadal tam i trzeba zapłacić sumę - okup - aby odzyskać swoje pliki. Zwykle odbywa się to za pośrednictwem kryptowalitu Bitcoin, ponieważ jest anonimowa.

Czasami potrzebna jest ręczna interwencja człowieka, aby hakerzy mogli odszyfrować pliki po zapłaceniu. Ale ponieważ masz do czynienia z przestępcami, nie ma powodu, by sądzić, że zrobią to, co obiecują. Więc większość ekspertów zaleca, aby nie zapłacić.

Jak działa NotPetya? Podobnie jak wiele złośliwych programów, wirus może dostać się na dysk w komputerze użytkownika jako załącznik poczty elektronicznej. Ta metoda polega na wysyłaniu użytkownikom załączników w wiadomościach email – otwierający wiadomość myśli, że załącznik jest przeznaczonym dla niego dokumentem lub innym plikiem, a okazuje się być złośliwym oprogramowaniem.

Ludzie często otwierają te załączniki lub klikają linki z ciekawości, ponieważ nadawca jest kimś w książce adresowej. Także najlepszą radą nie jest otwieranie czegoś, na co nie ufasz całkowicie.

W przypadku NotPetya atak dotyczy administratorów systemów sieci korporacyjnych, ponieważ musi uzyskać dostęp do tych poświadczeń na wysokim szczeblu, aby kontrolować jak najwięcej innych komputerów w sieci.

Oznacza to, że nawet jeśli wszystkie maszyny zostały zabezpieczone wraz z aktualizacją Microsoft z marca, nadal istnieje szansa, że może się udać. Wygląda na to, że NotPetya zaczęła infekować komputery na Ukrainie za pomocą przechwyconej aktualizacji oprogramowania dla ukraińskiego oprogramowania podatkowego, a także poprzez e-maile z wykorzystaniem phishingu.

Najnowsze raporty mówią, że podobieństwo złośliwego oprogramowania do ubiegłorocznego Petya jest głębokie jedynie w warstwie wizualnej. Jednakże, podobnie jak Petya, nowa wersja zastępuje sekcję MBR na dysku twardym komputera - Master Boot Record - co zapobiega uruchamianiu systemu Windows, a także blokuje dostęp do plików.

Jak dotąd nie udostępniono żadnych narzędzi dla ofiar, aby odzyskać dane. Wygląda na to, że będzie to niemożliwe.

Ransomware – skala zagrożeń

Według raportu Trend Micro, w ciągu ostatnich dwóch lat ponad 40% przedsiębiorstw w Europie padło ofiarą szkodliwego oprogramowania typu ransomware, a coraz częstszym celem cyberprzestępców były serwery. Trend Micro zapytało o poziom zagrożenia atakami ransomware ponad 1000 osób odpowiedzialnych za technologie informatyczne w przedsiębiorstwach zlokalizowanych w Wielkiej Brytanii, Hiszpanii, Francji i Niemczech. Okazało się, że wskaźniki infekcji są największe w Wielkiej Brytanii (44%). Następne miejsca zajęły: Hiszpania (41%) oraz Francja i Niemcy (po 40%).

Firmy, które zdecydowały się zapłacić okup, otrzymały mocne ostrzeżenie. Według badania najbardziej skłonni do spełnienia żądań szantażystów byli szefowie działów informatycznych w Wielkiej Brytanii (65%) i Niemczech (60%). Jednakże pomimo zapłaty żądanej sumy aż jedna czwarta firm (26%) spośród nich w Niemczech i jedna piąta w Wielkiej Brytanii nie odzyskała swoich danych. W Hiszpanii i Francji odsetek ofiar, które po opłaceniu okupu nie otrzymały klucza deszyfrującego, był mniejszy (odpowiednio 15% i 17%).

Średnia kwota, jakiej cyberprzestępcy żądali od europejskich firm za odzyskanie danych, była równa 570 euro. Najwięcej wyniosła we Francji (638 euro) i w Wielkiej Brytanii (624 euro).


Zobacz również