Co je Ransomware?

Ransomware je typ malwaru (škodlivého softwaru), který se může prezentovat několika různými způsoby, ovlivňující jednotlivé systémy i sítě podniků, nemocnic, letišť a vládních agentur.

Ransomware je neustále vylepšován a od prvního registrovaného výskytu v roce 1989 je stále sofistikovanější. Zatímco jednoduché formáty jsou obvykle nešifrovaný ransomware, ty moderní využívají k zašifrování souborů metody šifrování, které je znepřístupňují. Šifrovací ransomware lze také použít na pevných discích jako způsob, jak zcela uzamknout operační systém počítače a zabránit oběti v přístupu k němu. Konečným cílem je přesvědčit oběti, aby zaplatily za dešifrovací výkupné – které je obvykle požadováno v digitálních měnách, které je obtížné dohledat (jako je bitcoin nebo jiné kryptoměny). Neexistuje však žádná záruka, že útočníci dodrží platby.

Obliba ransomwaru v posledním desetiletí výrazně vzrostla (zejména v roce 2017) a jako finančně motivovaný kybernetický útok je v současnosti nejvýraznější malwarovou hrozbou na světě – jak uvádí Europol (IOCTA 2018).


Jak vznikají oběti?

  • Phishing: opakující se forma sociálního inženýrství. V kontextu ransomwaru jsou phishingové e-maily jednou z nejběžnějších forem distribuce malwaru. Oběti se obvykle nakazí prostřednictvím kompromitovaných e-mailových příloh nebo odkazů, které jsou maskovány jako legitimní. V rámci sítě počítačů může jedna oběť stačit ke kompromitaci celé organizace.

  • Exploit Kits: balíček složený z různých škodlivých nástrojů a předem napsaného exploit kódu. Tyto sady jsou navrženy tak, aby využívaly problémů a zranitelností v softwarových aplikacích a operačních systémech jako způsob šíření malwaru (nejčastějším cílem jsou nezabezpečené systémy se zastaralým softwarem).

  • Malvertising: útočníci využívají reklamní sítě k šíření ransomwaru.


Jak se chránit před útoky ransomwaru?

  • K pravidelnému zálohování souborů používejte externí zdroje, abyste je mohli obnovit po odstranění potenciální infekce;

  • Buďte opatrní s e-mailovými přílohami a odkazy. Neklikejte na reklamy a webové stránky neznámého zdroje;

  • Nainstalujte si důvěryhodný antivirus a udržujte své softwarové aplikace a operační systém aktuální;

  • Povolte možnost „Zobrazit přípony souborů“ v nastavení systému Windows, abyste mohli snadno zkontrolovat přípony svých souborů. Vyhněte se příponám souborů jako .exe .vbs a .scr;

  • Vyhněte se návštěvě webových stránek, které nejsou zabezpečené protokolem HTTPS (tj. adresy URL začínající „https://“). Mějte však na paměti, že mnoho škodlivých webů implementuje protokol HTTPS, aby zmátly oběti, a samotný protokol nezaručuje, že web je legitimní nebo bezpečný.

  • Navštivte NoMoreRansom.org, webovou stránku vytvořenou společnostmi činnými v trestním řízení a IT bezpečnostními společnostmi, které pracují na narušení ransomwaru. Webová stránka nabízí bezplatné dešifrovací nástroje pro infikované uživatele a také rady pro prevenci.


Příklady ransomwaru

GrandCrab (2018)

Poprvé byl viděn v lednu 2018, ransomware si za méně než měsíc způsobil více než 50 000 obětí, než byl narušen prací rumunských úřadů spolu s Bitdefenderem a Europolem (k dispozici je bezplatná sada pro obnovu dat). GrandCrab se šířil prostřednictvím malvertisingových a phishingových e-mailů a byl prvním známým ransomwarem, který požadoval platbu výkupného v kryptoměně DASH. Počáteční výkupné se pohybovalo od 300 do 1500 amerických dolarů.


WannaCry (2017)

Celosvětový kybernetický útok, který infikoval přes 300 000 počítačů za 4 dny. WannaCry se šířil prostřednictvím exploitu známého jako EternalBlue a cílených operačních systémů Microsoft Windows (většina postižených počítačů měla Windows 7). Útok byl zastaven kvůli nouzovým opravám vydaným společností Microsoft. Američtí bezpečnostní experti tvrdili, že za útok je zodpovědná Severní Korea, ačkoli nebyly poskytnuty žádné důkazy.


Bad Rabbit (2017)

Ransomware, který byl šířen jako falešná aktualizace Adobe Flash, která byla stažena z napadených webových stránek. Většina infikovaných počítačů se nacházela v Rusku a infekce závisela na ruční instalaci souboru .exe. Cena za dešifrování byla v té době zhruba 280 amerických dolarů (0,05 BTC).


Locky (2016)

Obvykle distribuován e-mailem jako faktura vyžadující platbu, která obsahovala infikované přílohy. V roce 2016 bylo hollywoodské Presbyterian Medical Center infikováno Lockym a zaplatilo výkupné 40 BTC (tehdy 17 000 amerických dolarů), aby znovu získalo přístup k počítačovým systémům nemocnice.