Jak se účinně bránit ransomwaru

8.2.2019

Dodržíte li přesně doporučení popsaná v tomto článku, nikdy nebudete platit výkupné, vždy dostanete vaše data zpět a minimalizujete výpadky na takovou dobu, kterou jste ochotni akceptovat.

Co je ransomware

Ransomware je škodlivý kód (malware), který je vytvořen za účelem obohacení útočníka. Funguje na principu vydírání uživatelů. Poškození uživatelé jsou nuceni zaplatit za zpřístupnění (dešifrování vlastních dat).

Jak ransomware funguje

Jakmile se ransomware infiltruje do počítače nebo počítačové sítě, zašifruje veškerá data na lokálních discích, externích discích, v síťových úložištích, na NASu i data na ostatních strojích. Díky děravým protokolům (obvykle skrze neaktualizované systémy) se ransomware může dostat i na místa v síti a zařízení, která jsou jinak velmi dobře zabezpečena a obvykle nepřístupná. Velmi zákeřné je také to, že šifrování nemusí započít ihned po nákaze, ale až s časovým odstupem. Jakmile jsou veškerá data zašifrována, útočník požádá o výkupné. Obvykle se na monitorech poškozených strojů objeví výzva k zaplacení určité částky do určité doby a běží odpočet (například zaplaťte 5 Bitcoinů do 72 hodin na určitý Bitcoinový účet). Pokud se stanete obětí ransomwarového útoku a přijdete o veškerá data, systémy i zálohy, pak nezbývá než výkupné zaplatit. Po zaplacení výkupného by útočníci měli poslat dešifrovací klíč. Po jeho zadání by mělo proběhnout dešifrování vašich dat a tedy jejich navrácení do původní podoby.

Proč je teď ransomwaru tak moc a je o něm slyšet všude?

Jednoduše proto, že to funguje a je to velmi snadný způsob, jak nekalým způsobem vydělat nepoctivé peníze. Zatímco dříve se úspěšní ransomwaroví útočníci rekrutovali z řad velmi dobrých programátorů, kteří měli dost zkaženou povahu na to, aby se tímto způsobem obohatili, dnes už stačí jen ten zkažený charakter. To proto, že ransomware se dá koupit nebo dokonce pronajmout. Když tedy může být úspěšným útočníkem téměř kdokoli, útoků logicky přibývá.

Pošlou útočníci po zaplacení skutečně funkční dešifrovací klíče?

Na to nelze obecně odpovědět. Zkušenosti našich zákazníků i partnerů jsou rozporuplné. Zatímco někteří zaplatili dokonce několikrát a následně úspěšně dešifrovali data, některým klíče nikdy nepřišly. Záleží to útok od útoku. Známé jsou dokonce případy očividně „nepovedeného ransomwaru“ kdy proběhlo šifrování, ale spojení pro platby a komunikaci nebylo funkční, takže k dešifrování nedošlo.

Jedna rada – zkuste se s útočníkem předem spojit a požádejte jej o důkaz, že skutečně vládne nad vašimi daty. Požádejte útočníka ať dešifruje část dat, nebo vám poskytne nějakou část poškozených dat (třeba několik souborů). Z toho vyplyne jednak to, jestli se s útočníkem lze spojit a jestli vám vůbec může pomoct. Pokud je požadována malá částka – třeba 100 až 500 dolarů (obvykle masový útok na velký počet uživatelů) nemusí se útočník hlásit a přesto mohou být dešifrovací klíče zaslány, protože obsluha je automatizovaná. Pokud jste ale velkou, nebo dobře prosperující organizací, na kterou byl spáchán cílený útok a požadovaná částka se pohybuje v řádu tisíců dolarů, pak se s vámi útočník ve svém zájmu pravděpodobně bavit bude. Potom stačí zaplatit, doufat, dešifrovat, poučit se a ochránit se před příštím útokem.

Může ransomware zaútočit i na nás?

Ano. A pokud se tak ještě nestalo, s velkou pravděpodobností k tomu dojde velmi brzy. Jedním z aktuálních trendů v oblasti ransomwaru je cílení na lokální uživatele a organizace. To totiž útočníkům zvyšuje šanci na úspěch. Na emaily, které jsou napsány špatnou angličtinou, vyzývající k otevření podezřelé přílohy se už dnes nachytá jen málokdo. Ale pokud přijde panu řediteli email od renomované právní kanceláře (emailová adresa je samozřejmě podvržena) psaný pěknou právnickou češtinou, o tom, že s ohledem na neuhrazenou fakturu bude v následujících dnech na danou firmu podána žaloba k soudu, s velkou pravděpodobností pan ředitel otevře zavirovanou přílohu, ve které se má nacházet neuhrazená faktura. A protože v mnoha firmách má nejvyšší vedení nastavena plná, tedy administrátorská práva, šifrování může začít. Další častou metodou jsou například útoky skrze RDP protokol, kdy se útočník snaží hrubou silou prolomit přístup na vzdálenou plochu. Pokud se to podaří, spuštění ransomwaru nic nebrání.

10 + 1 pravidel pro účinnou obranu proti ransomwaru

1) Nejčastějším způsobem nakažení je skrze email a infikovanou přílohu nebo odkaz  v emailu vedoucí na zavirovaný obsah. To nejmenší, co můžete udělat, je nastavení přísnějšího filtrování pošty.

2) Největším rizikem jsou uživatelé. Není složité přesvědčit nepoučeného uživatele, aby pod nějakou záminkou otevřel přílohu. Takovou přílohou může být například údajně neproplacená faktura zaslaná na fakturační oddělení, údajný životopis zaslaný na personální oddělení, údajná objednávka zaslána na obchodní oddělení, nebo údajné potvrzení o doručování zásilky. Nedávejte proto administrátorská práva uživatelům, kteří je nemají mít.

3) Poučte uživatele a opakovaně je školte o bezpečném chování. Především pak ty uživatele, kteří mají nastavena vyšší práva.

4) Aktualizujte. Aktuální systém většinou znamená záplatovaný a méně děravý systém (ne vždy samozřejmě). V pravidelně aktualizovaných systémech je vždy nižší riziko, že bude systém ransomwarem napaden a šířen dále.

5) Využívejte aktivní ochranu proti ransomwaru jako jsou antiviry a bezpečností software. Nebo využijte aktivní ochranu proti ransomwaru, která je přítomná ve všech zálohovacích řešeních Acronis. Výhodou aktivní ochrany Acronis je to, že je specializovaná přímo na ransomware. Aktivní ochrana může detekovat a zastavit šifrování i šíření ransomwaru nebo alespoň zmírnit napáchané škody. Aktivní ochrana Acronis navíc dokáže automaticky, z mezipaměti souborového systému obnovit již zašifrované soubory. Na strojích, kde nemáte placené zálohovací řešení Acronis, instalujte alespoň bezplatnou aktivní ochranu proti ransomwaru – Acronis Ransomware Protection (Bezplatná aktivní ochrana obsažena v Acronis Ransowmare Protection je určena pouze pro operační systémy Windows 7, 8, 10. Aktivní ochrana v placených zálohovacích řešeních Acronis chrání i serverové operační systémy a virtuální infrastrukturu).

6) Využijte pasivní ochranu – zálohováním. Žádná aktivní ochrana nezaručí 100% obranu proti ransomwaru. Vždy je to boj mezi vývojáři aktivní ochrany a tvůrci ransomwaru. Aktivní ochrana tak pouze zvyšuje šanci na odolání útoku. Vytvářejte proto zálohy a ukládejte je na bezpečné místo. Pokud bude nejhůř, data i systémy obnovíte ze záloh. Podmínkou je, aby byly zálohy uloženy „bezpečně“ viz následující body 7 a 8.

7) Chraňte zálohy. Pokud se ransomware dostane k zálohám (chytřejší ransomware se o to pokouší nejdříve) bez milosti je zašifruje také. Pokud využíváte zálohovací řešení Acronis, pak máte k dispozici navíc aktivní ochranu proti ransomwaru. Ta mimo jiné nedovolí z napadených strojů šifrovat zálohy vytvořené Acronisem (tzv. Acronis self defense systém).

8) Schovejte zálohy. Zálohy nemusíte aktivně chránit, pokud se k nim ransomware nedostane. Neukládejte proto zálohy do úložišť, kam mají všichni přístup. To nejhorší, co můžete udělat je ukládat zálohy volně hned vedle dat uživatelů. Je třeba vyčlenit nějaký prostor pro zálohy a oddělit jej. Je třeba přesně určit práva. Pokud budete zálohy vytvářet pomocí software Acronis, nastavte, aby do daného úložiště měl přístup jen Acronis a aby bylo vyžadováno pověření zabezpečené heslem. Toto heslo, potažmo úložiště pro zálohy, nepoužívejte pro žádné další účely.

9) Kopie záloh ukládejte na místo, kde jim ransomware nemůže ublížit. Ideálním místem je cloudové úložiště společnosti Acronis – Acronis Cloud Storage. Proč to tak je? Protože komunikace mezi klientskými zařízeními a cloudovým úložištěm je realizována proprietárním mechanismem za pomocí ověřování mimo jiné skrze platné certifikáty a není tedy žádná šance, aby ransomware zálohy v Cloudu poškodil či zašifroval. To znamená, že i kdyby byla zrovna organizace pod útokem a do cloudového úložiště Acronis by se poslala zavirovaná záloha, ostatní zálohy uložené v cloudu budou v pořádku. Poslední, nakaženou zálohu nebude možné použít pro obnovu. Ale bude možné použít jakoukoli jinou, dříve vytvořenou zálohu, jejíž obsah již není zašifrovaný.

Když to srovnáme s obvyklými offsite úložišti typu public cloud nebo private cloud, dostupnými skrze běžně používané protokoly, pak je jasné, že otevřením spojení v době probíhajícího útoku dojde k ohrožení i těch záloh, které jsou uloženy v sekundárním úložišti mimo organizaci. Dále pak může ransomware získat přístup do těchto úložišť, podobně jako do místních úložišť. Ransomware tak může zašifrovat i zálohy, které máte uloženy na druhém konci světa. Takové sekundární úložiště pak organizaci ochrání pouze před haváriemi primárního úložiště záloh, ale na ransomware to bohužel nestačí.

10) Pokud splníte všechny předcházející body, pak můžete klidně spát. Máte totiž 100% jistotu, že nebudete platit výkupné. Máte jistotu, že nepřijdete o data. Máte jistotu, že i kdyby ransomware zašifroval půl organizace, dokážete nakonec systémy opět zprovoznit (samozřejmě zabere to čas). Pokud vám to nestačí, přečtěte si bod 11.

11) Bod pro fajnšmekry – pokud nejste ochotni tolerovat výpadky způsobené ransomwarem nebo jinou příčinou (garantujete plynulý provoz, provozujete kritické systémy, každá hodina výpadku vám generuje obrovské ztráty) podívejte se na kombinaci podnikového zálohovacího řešení Acronis Backup a Acronis Disaster Recovery. Tento systém dokáže v okamžiku havárie (způsobené například ransomwarem) spustit kritické stroje v cloudu společnosti Acronis a převzít tak veškeré služby, které je nutné provozovat. Po opětovném zprovoznění produkčního prostředí přepnete téměř bez výpadku (počítejte 1 – 2 minuty offline) fungování zpět na produkční stroje v organizaci. Na ty se na pozadí nahrají aktuální data z dočasně běžících cloudových strojů a následně dojde k přepnutí.

Přehled řešení společnosti Acronis na ochranu proti ransomwaru

Pro koho je řešení vhodné Řešení vhodná pro domácnosti Řešení vhodná pro organizace
Název řešení Acronis
Ransomware
Protection
Acronis
True Image
Standard
Acronis
True Image
Advanced
Acronis
True Image
Premium
Acronis
Backup
Acronis
Backup
+
Acronis
Cloud
Storage
Acronis
Backup
+
Acronis
Disaster
Recovery
Placené řešení
Pro ochranu počítačů,
stanic a notebooků
Pro ochranu serverů, virtuální
a cloudové infrastruktury
Ochrana proti šifrování
dat a šíření ransomwaru
Tvorba a ukládání záloh
do lokálních a síťových úložišť
Ochrana proti
zašifrování záloh Acronis
Odesílání záloh do odděleného
cloudového úložiště Acronis
5 GB 250 GB 1 000 GB Dle vlastní
volby
Dle vlastní
volby
Spuštění identické kopie
kritického stroje v cloudu
Přenesení čerstvé kopie stroje
zpět do produkce

Názvy řešení – v horní části tabulky jsou odkazy (kliknutím přejdete na dané řešení)

Potřebujete konkrétní radu?

•  Potřebujete s ochranou proti ransomwaru poradit?
•  Zajímá vás, jak by taková ochrana mohla vypadat u vás?
•  Chcete na vlastní oči vidět, jak chráníme systémy u nás?

Neváhejte nás kontaktovat na čísle +420 596 912 961, nebo piště na email info@acronis.cz