Ransomware: otázky a odpovědi

Historie ransomware

1989: první známý ransomware, 1989 AIDS Trojan (také známý jako «PC Cyborg»), je vytvořen programátorem Josephem Poppem
2005: v květnu, se objevuje vyděračský ransomware
2006: do poloviny roku 2006, červi jako Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip a MayArchive začínají využívat více sofistikovaných RSA šifrovacích algoritmů s neustále rostoucími velikostmi klíčů
2011: objevuje se červ ransomware napodobující oznámení o aktivaci produktu Windows (Windows Product Activation)
2013: na scénu přichází červ ransomware založený na základech Stamp.EK exploit kit a specifický červ pro operační systém Mac OS X. Za poslední čtyři měsíce roku vylákal CryptoLocker cca 5 milionů USD
2015: Různorodé variace založené na různých platformách způsobují značné škody

Typy ransomware

  • Šifrovací Ransomware

Zašifruje osobní soubory a složky (dokumenty, tabulky, obrázky a videa).

Napadené soubory jsou po zašifrování smazány a uživatelé se zpravidla setkají s textovým souborem s instrukcemi k zaplacení ve stejné složce jako nespustitelné soubory.

Problém odhalíte až v případě, kdy se pokusíte otevřít jeden z těchto souborů.

Některé, ale ne všechny z těchto šifrovacích programů zobrazí zamykací obrazovku (‘lock screen’):

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Ransomware uzamykající obrazovku - WinLocker

Uzamkne obrazovku počítače a požaduje zaplacení.

Prezentuje se jako obrázek přes celou plochu obrazovky, který blokuje všechna ostatní okna.

Žádné osobní soubory nejsou zašifrovány.

Polyransom2

  • Master Boot Record (MBR) Ransomware

Hlavní spouštěcí záznam (Master Boot Record - MBR) je součástí pevného disku počítače, který umožňuje spuštění operačního systému.

MBR ransomware změní původní MBR počítače tak, že nelze běžně zavést operační systém.

Místo toho se objeví na obrazovce výzva k zaplacení výkupného.

Master-Boot.jpg

  • Ransomware šifrující webové servery

Cílí na webové servery a šifruje na nich velké množství souborů.

Známé zranitelnosti v systémech správy obsahu (Content Management Systems) jsou často využívány k umístění ransomware do webových služeb.

Ransomware encrypting web servers

  • Ransomware pro mobilní zařízení (Android)

Mobilní zařízení (většinou Android) mohou být napadena prostřednictvím “drive-by downloads”.

Mohou být také napadena prostřednictvím falešných aplikací, které se vydávají za populární služby jako Adobe Flash nebo antivirový produkt.

Mobile Ransomware

Měl bych zaplatit výkupné, jestliže bylo zařízení napadeno?

Zaplatit výkupné se nikdy nedoporučuje hlavně z důvodu, že není garantováno vyřešení problému. Je známo také množství případů, kdy došlo k nečekané chybě. Například, malware může obsahovat chyby, které učiní Vaše data neobnovitelná i po použití správného klíče.

Navíc, pokud je výkupné zaplaceno, ukáže zločincům, že je ransomware účinný. Ve výsledku zločinci budou pokračovat ve svých aktivitách a hledání nových cest k průnikům do systému, což povede k více nakázám a více penězům na jejich účtech.

Jak probíhá útok ransomware?

Útok ransomware je typicky šířen prostřednictvím příloh e-mailových zpráv, což může být spustitelný soubor, archiv nebo obrázek. Jakmile je příloha otevřena, malware je vpuštěn do uživatelova systému. Zločinci také mohou umístit malware na webové stránky. Když uživatel nevědomky navštíví stránku, malware vnikne do systému.

Nákaza není vždy okamžitě zjistitelná uživatelem. Malware pracuje v tichosti na pozadí, dokud systém nebo mechanismus uzamykání dat nedokončí svoji práci. Poté se ukáže dialogové okno, které oznámí uživateli, že data byla zašifrována a požaduje výkupné k jejich opětovnému odemčení. V tu chvíli je už pozdě zachránit data přes bezpečnostní opatření.

Pro více informací se, prosíme, podívejte na video níže:

Kdo jsou oběti ransomware?

Jakákoliv fyzická a právnická osoba může být obětí ransomware. Zločinci si nevybírají a často se snaží postihnout co nejvíce uživatelů je možné k získání co největšího prospěchu.

Roste počet útoků ransomware na právnické osoby?

Ano, protože zločinci vědí, že organizace raději zaplatí, neboť znepřístupněná data jsou typicky citlivá a životně důležitá pro fungování firmy. Navíc, někdy může být dražší obnovovat zálohy než zaplatit výkupné.

Proč je tak obtížné najít jednoduché řešení proti ransomware?

Ransomware je na vzestupu. Nyní je v oběhu více než 50 druhů tohoto malwaru a rychle narůstá. S každou novou variantou přichází kvalitnější šifrování a nové funkce. Toto není něco, co lze ignorovat!

Jedním z důvodů, proč je tak složité najít jednoduché řešení, je to, že šifrování jako takové není závadové. Jedná se ve skutečnosti o dobrý vynález a mnoho prospěšných programů jej využívá.

První krypto-malware využíval principu symetrické šifry se stejným klíčem pro zašifrování i rozšifrování dat. Zašifrovaná data bylo možné rozšifrovat za pomoci bezpečnostních společností. Časem zločinci začali používat asymetrické šifrování, které užívá dva samostatné klíče - veřejný k zašifrování souborů a soukromý, který je potřeba k dešifrování.

Trojan CryptoLocker je jedním z nejznámějších typů ransomware. I tento využívá algoritmus veřejného klíče (public-key). Vždy, když je počítač napaden, připojuje se na řídící a kontrolní server (command-and-control server) pro stažení veřejného klíče. Osobní klíč je dostupný pouze zločincům, kteří vytvořili CryptoLocker software. Obvykle nemá oběť více než 72 hodin na zaplacení výkupného, než bude jejich soukromý klíč navždy smazán, a bude tak nemožné data dešifrovat.

Proto byste nejprve měli přemýšlet o prevenci. Většina antivirových řešení již obsahuje součást napomáhající identifikaci hrozby ransomware v raném stadiu nákazy bez rizika ztráty citlivých dat. Pro uživatele je důležité přesvědčit se, že je tato funkce v jejich antivirovém programu zapnutá.

Jaké jsou šance, že můžete pomoci obětem ransomware získat zpět přístup k jejich datům?

Projekt "No More Ransom" je na svém počátku, ale průběžně spolupracujeme s dalšími bezpečnostními společnostmi a právo vymáhajícími orgány za účelem nalezení maximálního počtu dostupných klíčů pro co nejširší spektrum variant. Pokud máte informaci, o které si myslíte, že by mohla pomoci, prosíme, podělte se o ni.

Co to je Detektiv Šifra a jak jej použít?

Detektiv Šifra je nástroj navržený za účelem pomoci určit typ ransomware napadajícího Vaše zařízení. To nám umožní zkontrolovat, zda je k dispozici dešifrovací řešení. Prosíme, podívejte se na video níže, jak pracuje:

Váš dešifrovací nástroj nefunguje, přestože jste si jisti, že používáte správný nástroj - proč?

To je možné. Někdy máme pouze podskupinu klíčů, takže, prosíme, sledujte nadále tuto webovou stránku.

Kdy je možné dešifrovat soubory zašifrované ransomware?

Je to možné v následujících případech:

  • Autoři malwaru udělali chybu při jeho implementaci, která umožnila prolomit šifrování. Takovým případem byl ransomware Petya a ransomware CryptXXX.
  • Autoři malwaru projevili lítost a zveřejnili příslušné klíče nebo hlavní klíč (master key), jako v případě TeslaCrypt.
  • Právo-vymáhající orgány zajistily server s uloženými klíči a podělily se o ně. Jedním takovým příkladem je CoinVault.


V některých případech zaplacení výkupného může pomoci, ale neexistuje záruka opětovného zpřístupnění dat. Navíc podporujete zločinecké aktivity, a tudíž se částečně stáváte zodpovědnými za více a více lidí napadených ransomware.

Proč jste se rozhodli spustit projekt "No More Ransom"?

Není tajemstvím, že ransomware šifrující uživatelská data a následně požadující výkupné se v posledních několika letech stal obrovským problémem pro kybernetickou bezpečnost. Stal se tak rozšířeným, že se dá snadno nazvat epidemií. Počet uživatelů napadených ransomware prudce narůstá: 718 000 napadených uživatelů mezi dubnem 2015 a březnem 2016, jde o 5,5 násobný nárůst oproti stejnému období v letech 2014-2015.

Policie nemůže bojovat s kyberzločinem a především s ransomware sama. A bezpečnostní vývojáři to nemohou dělat bez podpory orgánů vymáhajících právo. Odpovědnost za boj proti ransomware se dělí mezi policii, justici, Europol a IT bezpečnostní společnosti, a vyžaduje společné úsilí. Dohromady uděláme vše, co je v našich silách, abychom zpřetrhali systémy zločinců na jejich zbohatnutí a vrátili data oprávněným uživatelům bez nutnosti platit spousty peněz.

Existuje v mé zemi nějaká podobná iniciativa?

"No more ransom" je mezinárodní iniciativou, která demonstruje význam spolupráce mezi veřejným a privátním sektorem v boji proti závažné kybernetické kriminalitě. Tato vzájemná spolupráce boří geografické hranice mezi státy. Hlavním záměrem projektu je sdílet znalosti a vzdělávat uživatele v předcházení útokům ransomware. Věříme, že to skutečně povede k podpoře nápravy škod způsobených obětem po celém světě. Díky obnově přístupu k jejich systémům dáváme naději uživatelům poukázáním na to, že mohou přijmout opatření a vyhnout se tak sponzorování zločinců zaplacením výkupného.

Ve své úvodní fázi portál obsahuje čtyři dešifrovací nástroje pro různé typy malwaru. Všechny nástroje dostupné na webové stránce jsou zdarma a fungují všem uživatelům hrozby zmíněné na webové stránce bez ohledu na to, kde na světě se nacházejí.