Czym jest ransomware? Jak się chronić? Jak pozbyć się ransomware? Oto odpowiedzi!

Twórcy oprogramowania wymuszającego okup (ransomware) to przebiegli przeciwnicy, którzy sięgają po najbrudniejsze sztuczki, by wymusić od internautów pieniądze. Na szczęście przeciętny użytkownik nie jest w starciu z wymuszającymi okup aplikacjami ransomware bezbronny. Oto zestaw zasad, zabezpieczeń i narzędzi, które pomogą w zneutralizowaniu ransomware.


Przez ostatnich kilka, czy nawet kilkanaście lat mieliśmy czas przyzwyczaić się do złośliwego oprogramowania działającego raczej subtelnie – wirusy, trojany czy botwormy zwykle wkradały się do naszych komputerów po cichu i robiły wszystko, by możliwe jak najdłużej pozostać niezauważone. Z ransomware jest inaczej, bo takie aplikacje natychmiast po zainfekowaniu komputera informują o tym użytkownika, wyświetlając komunikat informujący, że jego pliki zostały zablokowane i jeśli chce je odzyskać, będzie musiał zapłacić okup.

Jak się bronić?

Po pierwsze, poznaj wroga. Raj Samani, CTO (chief technology officer) europejskiego oddziału Intel Security wyjaśnia, że obecnie w internecie aktywnych jest ok. 400 „rodzin” oprogramowania ransomware, wśród nich są również aplikacje przeznaczone dla systemów OS X oraz Linux. Z danych firmy Datto wynika z kolei, że najpopularniejszym programem tego typu jest obecnie CryptoLocker, wyspecjalizowany w szyfrowaniu prywatnych dokumentów użytkownika. Ale odmian ransmoware’u jest wiele. Są np. aplikacje, które rejestrują obraz z kamery komputera użytkownika, w nadziei, że uda się zarejestrować coś potencjalnie kompromitującego (a następnie wykorzystać to nagranie do szantażowania internauty i wymuszenia od niego „okupu”).

Niezależnie jednak od tego, z jaką aplikacją ransomware możesz mieć do czynienia, istnieje kilka podstawowych zasad pozwalających na zminimalizowanie ryzyka:

• Nie pokładaj jednak przesadnej nadziei w tym, że oprogramowanie antywirusowe zagwarantuje ci 100% ochrony. Zdaniem ekspertów, autorzy większości z nich dopiero uczą się radzenia sobie z ransomware i nie są w stanie całkowicie wyeliminować zagrożenia.

• Upewnij się, że Adobe Flash jest wyłączony lub używaj przeglądarki, w której jest on domyślnie dezaktywowany (np. Google Chrome).

• Wyłącz w pakiecie biurowym Office obsługę makr (można to zrobić z poziomu dostępnego w menu Opcje panelu Centrum Zaufania).

• Nie klikaj niezaufanych odnośników, niezależnie od tego, czy znajdują się na stronie internetowej czy w treści e-maila. Podstawienie użytkownikowi linka do instalatora aplikacji ransomware pozostaje obecnie najpopularniejszą metodą ataku. Datto alarmuje, że większość ofiar sama później wysyła te odnośniki do kolejnych użytkowników, zwiększając w ten sposób ryzyko infekcji.

• Unikaj podejrzanych witryn. Oczywiście złośliwe oprogramowanie można „złapać” również na pozornie bezpiecznych, zaufanych stronach, jednak na tych powszechnie uznawanych za potencjalnie szkodliwe (zawierających pornografię, pirackie oprogramowanie itp.) jest o to zdecydowanie łatwiej.

Jeśli chodzi o skuteczne narzędzia do wykrywania ransmomware’u, warto rozważyć np. Malwarebytes 3.0 – ceniony program zabezpieczający, którego autorzy deklarują, że są w stanie skutecznie wykrywać i eliminować wiele ransomware’ów. Godny sprawdzenia jest również RansomFree, wyposażony w funkcję „anti-ransomware”. Warto jednak zaznaczyć, że w większości wypadków za funkcje związane ze zwalczaniem ransomware’u trzeba zapłacić. Owszem, na rynku dostępne darmowe aplikacje (np. Bitdefender Anti-Ransomware Tool), jednak zwykle chronią one użytkownika tylko przed kilkoma najpopularniejszymi odmianami takiego oprogramowania.

Ransomware CryptoLocker

Ransomware CryptoLocker

Backup – skuteczny, choć nie idealny

Zasada działania większości oprogramowania ransomware jest stosunkowo prosta – takie aplikacje blokują użytkownikowi dostęp do cennych dla niego danych, a następnie… żądają okupu za przywrócenie tego dostępu. W tej sytuacji dobrym rozwiązaniem może być backup. Na przykład do chmury – na rynku dostępnych jest sporo chmurowych usług pozwalających na nieodpłatne przechowywanie pewnej liczby danych (a za dopłatą – znacznie większej). Subskrybuj i skonfiguruj wybraną usługę (np. Box, OneDrive, Dysk Google czy Dropbox), tak aby ochrona objęła krytyczne dane.

mechanizm migawek. Dzięki temu, gdy dojdzie do zablokowania danych, uda się przywrócić ich wcześniejszą, niezaszyfrowaną, wersję. Problem jednak w tym, że dla wielu użytkowników skonfigurowanie takiego systemu może być zbyt skomplikowane. Inną – choć nie tak skuteczną – metodą jest cykliczne (np. raz na tydzień) wykonywanie kopii kluczowych danych na zewnętrzny dysk, który się później odłącza od komputera.

Stało się – jestem ofiarą

Co robić, gdy zło się już dokona, a pliki zostaną zablokowane? Przede wszystkim należy sprawdzić, jaki program zaatakował komputer. Wbrew pozorom to nie będzie trudne – złośliwy program zwykle w niedający się przeoczyć sposób informuje o zainfekowaniu. Na pulpicie wyświetla się komunikat informujący, że dostęp do danych (części lub wszystkich) został zablokowany. Często jest on sformułowany tak, by sugerował, że jest to wynikiem nielegalnych działań użytkownika (pobierania pirackich materiałów, dystrybuowania pornografii itp.). To typowa taktyka autorów ransomware – próbują oni przekonać użytkownika, że znalazł się na celowniku jakichś służb i w ten sposób wymóc na nim okup, często sugerując, że do zapłacenia jest jakaś kara albo grzywna.

To rozwiązanie ma istotną zaletę, pozwala bowiem na stosunkowo proste zidentyfikowanie złośliwego oprogramowania, które zainfekowało komputer (wystarczy opisać w wyszukiwarce ów komunikat). To połowa drogi do rozwiązania problemu, ponieważ wielu dostawców oprogramowania zabezpieczającego przygotowało i udostępniło już narzędzia, pozwalające usunąć z systemu popularne aplikacje ransomware i odszyfrować zablokowane przez nie pliki. Warto ich poszukać – jest duża szansa, że problem uda się rozwiązać już na tym etapie. Świetnym rozwiązaniem do tego celu jest narzędzie o nazwie Cripto Sherif, dostępne na stronie Nomoreransom.org. Pozwala ono skutecznie zidentyfikować złośliwe oprogramowanie na podstawie opisu jego działania oraz dostarcza bogaty zbiór aplikacji do usuwania ransmoware’u.

Sytuacja bez wyjścia?

Niestety, może się też zdarzyć, że komputer zostanie zainfekowany przez ransmoware, z którym twórcy aplikacji zabezpieczających nie nauczyli się jeszcze sobie radzić. W tej sytuacji należy przede wszystkim oszacować straty – sprawdzić, jakie dokładnie pliki zostały zaszyfrowane. Jeśli jakimś cudem nie ma wśród nich np. dokumentów nieustannie potrzebnych do pracy, można rozważyć np. wstrzymanie się od jakichkolwiek działań. Możliwe, że ransomware, który dziś jest w 100% skuteczny i nie da się go usunąć, za dzień czy tydzień zostanie „rozgryziony” przed specjalistów ds. bezpieczeństwa i pojawi się sprawnie działające narzędzie do jego usuwania.

niewesołym wyborem: albo je straci, albo po prostu zapłaci. Eksperci absolutnie odradzają to ostatnie rozwiązanie, jednocześnie przyznając, że w szczególnych sytuacjach niektórzy po prostu płaczą i płacą.

Co zrobić, jeśli jesteśmy w takiej sytuacji? Po pierwsze, należy zażądać od „rekietiera” dowodu, że faktycznie jest w stanie odszyfrować zablokowane przez ransomware pliki. np. wskazując jeden z nich, który chcemy otrzymać jako potwierdzenie. Warto również rozważyć… negocjowanie ceny za odblokowanie. Pamiętajmy, że współcześni cyberprzestępcy to mimo wszystko ludzie interesu, którym zależy na zarobku. Może ten konkretny będzie wolał dostać 25 lub 50% wyjściowej stawki… zamiast niczego?