Dzisiaj o Ransomware czyli jak ktoś może chcieć zaszyfrować Twoje dane a następnie z wielką uprzejmością poprosić Cię o pieniądze.
Ransomware to zbitka słów z języka angielskiego Ransom – okup a software – oprogramowanie. Generalnie mamy dwa typy takich zagrożeń. Pierwszy z nich jest mało skuteczny, przez co mało znany i rzadko stosowany. Polega na zablokowaniu dostępu do komputera. Przy odrobinie wiedzy „informatycznej” jesteśmy w stanie dosyć szybko to obejść, w związku z czym to nie jest problem. Problemem jest drugi typ, który polega na zaszyfrowaniu Twoich danych. Jest bardziej zaawansowany i dużo bardziej skuteczny, dlatego to właśnie nim się dzisiaj zajmiemy.
Kto jest narażony?
Głównie większe firmy, szpitale, instytucje, elektrownie będą celem ataku, bo lepiej zapłacą. Często bardziej krytyczna infrastruktura i często zaniedbywanym działem IT jak szpitale, wodociągi, urzędy, różnie to może być. Różne są cele ataku, ale wbrew pozorom nie jesteśmy całkiem bezpieczni będąc indywidualnym użytkownikiem czy też małą firmą, ponieważ przypadkiem możemy dostać „odłamkiem”. Poza tym im więcej zainfekowanych tym większe szanse na prawdopodobieństwo zapłacenia okupu. Czyli zdecydowanie nie powinniśmy się czuć bezpieczni. To nie jest dobry pomysł.
Jak może się zdarzyć, że zostaniemy zaszyfrowani?
Jest wiele możliwości, ale na ogół sprowadza się do kilku podstawowych. Na przykład pierwszy z nich, standardowy powiedzmy: klikanie w dziwne linki w różnych zakamarkach Internetu, w których w zasadzie nie powinno nas być. Drugi z takich standardowych to jest klikanie w linki z maili przychodzących również nie wiadomo skąd? Klikanie i wpisywanie tam jakichkolwiek danych zdecydowanie odradzam. Idąc dalej: otwieranie załączników z poczty, rzekomo wiadomego pochodzenia. Zwróćcie proszę uwagę, że nagłówkami w mailu da się manipulować i może się Wam wydawać, że jest to mail od znajomej Wam osoby na przykład z fakturą lub innym dokumentem, w oczekiwanym wręcz załącznikiem a tak naprawdę może być złośliwym oprogramowaniem. Także nie jest to zupełnie bezpieczne. Kolejną rzeczą jest instalowanie oprogramowania gier z Internetu, z dziwnych źródeł, nie znanych. Tego również po prostu nie powinniśmy robić, to jest proszenie się o kłopoty. Ale tutaj uwaga! Można by było wpaść na taki dziwny pomysł w postaci: ja jestem sprytny, ja nie klikam, nic mi się nie stanie. W zdecydowanej większości wypadków tak będzie, natomiast byłbym daleki od całkowitego spokoju. Zwróćcie uwagę, że używane przez nas oprogramowanie na przykład przeglądarka czy jakiekolwiek inne programy, ich kod może zostać złamany. Fakt, że ufamy temu oprogramowaniu ponieważ używamy go od lat, przez co nie mamy szans niczego podejrzewać a mogą nam zrobić naprawdę problem. Przeglądarka, plug in z przeglądarki, czy też tego typu oprogramowanie. Poza tym, jeżeli już używamy programu to dwa takie dosyć klasyczne przykłady: Team Viewer-bardzo wielu użytkowników korzysta, generalnie jest to dobre oprogramowanie, natomiast jakiś czas temu, to przeszło w miarę bez echa, ale mieli dosyć poważny problem, który sprawił, że tak naprawdę udało się dostać przez nieuprawnionych użytkowników praktycznie do każdego komputera z zainstalowanym i działającym oprogramowaniem Team Viewer. To tylko przykład, dlaczego nie powinniśmy mieć cały czas włączonego na pasku Team Viewer. Następna rzecz Solar Winds. Mniej znana firma w Europie. Zajmują się zarządzaniem, infrastrukturą i monitoringiem.
Również jej oprogramowanie zostało przejęte a żeby było śmieszniej, dosyć sporo ich oprogramowania było zainstalowane na komputerach samego Microsoft. Przez co napastnicy przez przejęcie Solar Winds, de facto przejęli bardzo wiele komputerów z samego Microsoft. Poza tym pamiętajmy, że oprogramowanie które mamy aktualnie zainstalowane, może się okazać, że ktoś odkryje dziury w takim oprogramowaniu, które nigdy wcześniej nie było znane. Co znowu doprowadza nas do momentu, że potencjalnie jesteśmy narażeni.
Chciałem tym samym podsumować, że to nie jest wcale tak, że my musimy. Znaczy, przepraszam, na ogół jest tak, że to my musimy coś zrobić, kliknąć, potwierdzić, dotknąć. Ale nie zawsze tak jest. Nie należy się czuć bezpiecznym. To generalnie prowadzi w złą stronę.
W praktyce, jeżeli atak jest przeprowadzony skutecznie, znaczy zaszyfruje już nam dane, to na ogół jest to przeprowadzone „dobrze”. Czasami zdarza się, że klucze wypływają po jakimś czasieszyfrujące, czy też przestępcy popełniają jakiś duży błąd umożliwiający odszyfrowanie, ale zdecydowanie nie liczyłbym na to. Nawet jeżeli jest na to jakakolwiek szansa, to trwa, ale zdecydowanie jest mało prawdopodobne.
Czy płacić?
Generalnie nie powinniśmy tego robić. Natomiast będzie niejeden przypadek, kiedy nie będziemy przygotowani z jakiegoś powodu na taką opcję. Nie będziemy mieli kopii bezpieczeństwa, nie będziemy mieli strategii przygotowanej by wiedzieć co zrobić w takim przypadku. Może się okazać, że jedyną opcją będzie jednak zapłacenie. Pamiętajmy jednak o jednej rzeczy: zapłata wcale nie równa się odzyskaniem danych. Choć część tych „przedsiębiorców” zdaje się postępować dosyć honorowo. Jest jeszcze jeden problem, czyli raz, że dane zostały zaszyfrowane a dwa, że nie mamy żadnej pewności, że ktoś kto dostał się na nasz komputer i zaszyfrował go, że nie wyeksportował ich do siebie i sam nie jest w ich posiadaniu. To następny dosyć poważny problem. Następna sprawa, jeżeli chcemy płacić, to róbmy to szybko. Bo może się zdarzyć, zdarzało już się, że serwery zarządzające takim procederem są odnajdywane i zamykane, co sprawia, że taką infrastrukturą przestępcy nie mogli zarządzać i mimo szczerych chęci zapłaty, nie byli w stanie odszyfrować danych „klientów”.
Jak się chronić?
Sprawa jest złożona. Jeżeli ktokolwiek stwierdzi, że jesteście całkowicie bezpieczni, że ich antywirus czy jakiekolwiek inne oprogramowanie sprawia, że wszystko jest ok, że nie ma się cym przejmować to ja bym się cofnął krok lub dwa i się zastanowił. Bezpieczeństwo to jest złożona sprawa. Myślę, że powinniśmy to potraktować jako cebulę ze Shreka. Czyli, że ma warstwy. Im więcej tych warstw tym lepiej. Nigdy nie starałbym się polegać tylko na jednej rzeczy. Najważniejsza i najbardziej podstawowa rzecz to antywirus. To jakiej firmy, to jest mniej ważne niż to, że jest i będzie to jakiś w miarę znany i w miarę popularny antywirus i że jest aktualizowany. To naprawdę może nam ułatwić wiele rzeczy. Następna sprawa, to aktualizacja oprogramowania, nie tylko antywirusowego ale również Windows czy innego oprogramowania, którego używamy. Już wspominałem wcześniej, są przypadki, że są wykrywane problemy w oprogramowaniu i w najnowszych aktualizacjach są one wychwytywane i poprawiane. Przez co jakby, mimo tego, że problem został wykryty to często jest naprawiany. Jeżeli nie uaktualniamy oprogramowania, to potencjalnie narażamy się na potencjalne wykorzystanie wykrytych już problemów. To samo tyczy się routerów wi-fi, drukarek, ja wiem, że to dziwnie brzmi, ale to są wszystkie rzeczy przez które da się dostać do naszej sieci wi-fi i potencjalnie zrobić krzywdę naszym danym, naszym komputerom czy nawet urządzeniom.
Kolejna sprawa, którą każdy powinien zrobić to wymiana swojego DNS na 1112 od Claudflare. To działa w ten sposób, że jeżeli my zmienimy nasz DNS to jeżeli będziemy próbowali otworzyć stronę, która potencjalnie jest nam zagrożeniem lub potencjalnie może nam zrobić krzywdę, ten DNS sprawi, że ten komputer się do niej nie dostanie. To jest bardzo fajne rozwiązanie i praktycznie żadnym kosztem można je dosyć szybko wdrożyć a naprawdę podwyższa poziom naszego bezpieczeństwa.
Jedna z następnych rzeczy. Ten przysłowiowy rozsądek: nie klikajmy, nie reagujmy na duży shake na milion dolarów tylko musimy się gdzieś zalogować, albo jakiś książę albański lub jeszcze inne radości tego typu, nie klikajmy, nie próbujmy nawet reagować na tego typu maile czy też smsy. Z bardziej zaawansowanych technologicznie rozwiązań, idealnym byłoby, że jeżeli już chcemy instalować jakieś dziwne oprogramowanie, chodzić po dziwnych miejscach w Internecie to albo róbmy to na innym komputerze, tak wiem, następny komputer to kłopot. Ale można sobie zainstalować na przykład wirtualną maszynę i na niej próbować dziwnych rzeczy. To jest jakieś rozwiązanie. Wiem, bardziej skomplikowane, ale jednak zalecane.
Następna rzecz, może już nie dal indywidualnych użytkowników, systemy wykrywania włamań. O tym też już robiłem odcinek. To jest sposób już bardziej zaawansowany, może być konieczny. Następna najważniejsza rzecz, czyli backup. Jeśli dane są w jednym miejscu, to jest samoistne proszenie się o kłopoty. Zdarzają się różne rzeczy. Awarie, Randsomware czy cokolwiek innego. Backap jest po prostu tą rzeczą, którą zawsze musimy zrobić. Żeby backup był backup’em, to musi być po pierwsze: na trzech różnych urządzeniach, czyli u nas i w dwóch miejscach z kopiami. W dwóch różnych miejscach geograficznych. Pamiętajmy, zdarzają się dosyć nieciekawe rzeczy: pożary, kradzieże itd. Jeżeli mamy backup w tym samym komputerze, albo w tym samym pomieszczeniu, to może się okazać bardzo kłopotliwe, bo będziemy szczerze przekonani, że wszystko działa, wszystko jest tak jak trzeba a może się okazać nieprzyjemną informacją podczas kradzieży, zalania, pożaru czy czegokolwiek innego. Równie ważna rzecz, ten nasz backup musi mieć możliwość odtworzenia sprzed dnia, dwóch, trzech, czterech. Zwróćcie proszę uwagę, że jeżeli mamy automatyczną synchronizację danych, ale nie mamy możliwości sięgnięcia wstecz, to jeżeli nam oprogramowanie zaszyfruje dane w jakimś miejscu, to w miejscu, gdzie zostanie zsynchronizowane również dane zostaną zaszyfrowane. Nawiązuję do tego, że często w rozmowach spotykam się z tym, że: ja mam dwa dyski w komputerze, zatem spokojnie. No tak, spokojnie, tylko, że zadaniem tych dwóch dysków jest to, żeby się wzajemnie synchronizować. Jeżeli na jednym będę mieć coś zaszyfrowane, to z automatu szyfruje się na drugim dysku.
Podsumowując
Co możemy zrobić zawsze przed? Po bywa na ogół bardzo mało skuteczne. Miejmy zawsze plan co zrobić? Co zrobić, jeżeli zepsuje mi się komputer, jeżeli zaszyfruje mi dane, jeżeli zepsuje mi się dysk, cokolwiek, to w głowie ułóżmy sobie taki plan zanim cokolwiek się stanie. Jeżeli rozważacie całościowy plan ochrony swoich danych na wypadek awarii lub złośliwego działania, czy właśnie Randsomeware zgłoście się po darmowe konsultacje i pamiętajcie: backup, backup, backup i jeszcze raz backup.