Wszystko, co musisz wiedzieć o programach żądających okupu

Dzięki temu artykułowi możesz zaoszczędzić nawet 300 dolarów, bo tyle wynosi przeciętny okup, którego żądają szantażyści za przywrócenie ofiarom zaszyfrowanych lub zablokowanych plików.

Nie tak trudno jest złapać infekcję ransomware. Wcale nie trzeba całymi dniami wyszukiwać darmowych filmów pornograficznych ani otwierać wiadomości spamowych. Aby narazić się na infekcję, nawet nie trzeba robić nic złego. W dalszej części artykułu dowiesz się, jak się chronić przed tym zagrożeniem.

1. Co to jest ransomware?

Ransomware to rodzaj szkodliwych programów, które blokują komputer, tablet lub smartfona — lub szyfrują pliki i żądają zapłaty za ich odszyfrowanie. Zasadniczo istnieją dwa rodzaje programów  ransomware.

Pierwszy to kryptory, które szyfrują pliki – przez co nie można ich otworzyć. Tutaj deszyfrowanie plików wymaga użycia specjalnego klucza — i za niego płaci się okup.

Drugi rodzaj to blokery, które — jak się nietrudno domyśleć — blokują komputer lub inne urządzenie, przez co staje się ono niesprawne. W przypadku blokerów sytuacja ofiar jest nieco lepsza, ponieważ łatwiej jest usunąć blokadę dostępu niż odszyfrować pliki.

2. Ile wynosi przeciętny okup?

Nie istnieje żadna średnia wartość. Niektóre programy z rodziny ransomware żądają 30 dolarów, a niektóre dziesiątek tysięcy dolarów. Duże firmy, w których zazwyczaj do infekcji dochodzi przy użyciu ukierunkowanych ataków phishingowych, są o wiele bardziej narażone na to, że żądana kwota będzie wysoka.

Warto jednak pamiętać, że płacenie okupu nie daje gwarancji na bezpieczne i całkowite odzyskanie plików (o ile w ogóle będzie to możliwe).

3. Czy można odszyfrować pliki, nie płacąc za nie okupu?

Czasami jest to możliwe. Większość programów ransomware używa silnych algorytmów szyfrowania, co oznacza, że bez posiadania odpowiedniego klucza proces deszyfrowania zająłby lata.

Zdarza się, że przestępcy stojący za atakami ransomware popełniają błędy, dzięki czemu organy ścigania mogą przechwycić serwery ataku zawierające klucze deszyfrujące. Wówczas dobrzy ludzie tworzą specjalne programy deszyfrujące.

4. W jaki sposób płaci się okup?

Zazwyczaj okup należy zapłacić w kryptowalucie, czyli w bitcoinach. Tej elektronicznej waluty nie można podrobić. Historia transakcji jest dostępna dla każdego, lecz właściciela portfelu trudno jest zidentyfikować. Dlatego bitcoiny to ulubiony środek płatności cyberprzestępców: zwiększają one szanse na pozostanie bezkarnym.

Niektóre rodzaje ransomware używają anonimowych portfeli internetowych lub nawet płatności mobilnych. Najbardziej zaskakujące jak do tej pory były karty do serwisu iTunes o wartości 50 dolarów.

5. W jaki sposób program ransomware przedostaje się na komputer?

Najczęstszym wektorem infekcji jest poczta e-mail. Ransomware może podszywać się pod przydatny lub ważny załącznik (pilną fakturę, interesujący artykuł, darmową aplikację). Po otworzeniu załącznika komputer zostaje zainfekowany.

Ransomware może przedostać się do systemu także podczas surfowania w internecie. Aby przejąć kontrolę nad systemem, szantażyści wykorzystują luki w systemie operacyjnym, przeglądarce lub aplikacjach. To dlatego tak istotne jest dbanie o to, aby oprogramowanie i system operacyjny były aktualne (a przy okazji: możesz przydzielić to zadanie Kaspersky Internet Security lub Kaspersky Total Security, bo ich najnowsze wersje automatyzują ten proces).

Niektóre programy z rodziny ransomware mogą automatycznie się rozprzestrzeniać poprzez sieć lokalną. Jeśli taki trojan zainfekuje jedno urządzenie w sieci domowej lub firmowej, infekcja przenosi się na pozostałe urządzenia. Jednak są to rzadkie przypadki.

Oczywiście istnieje więcej możliwych scenariuszy infekcji. Pobierasz torrenta, instalujesz wtyczkę i… już.

6. Jakiego rodzaju pliki są najbardziej niebezpieczne?

Najbardziej narażone są pliki wykonywalne (typu EXE lub SCR), a tuż za nimi plasują się te ze skryptami Visual Basic lub JavaScript (posiadające rozszerzenia .VBS i .JS). najczęściej są one spakowane w archiwa ZIP lub RAR, co ma na celu ukrycie ich szkodliwej natury.

Kolejną kategorią niebezpiecznych plików są pliki aplikacji MS Office (DOC, DOCX, XLS, XLSX, PPT itp.). Mogą one zawierać dziurawe makra: jeśli widzisz komunikat o tym, że należy włączyć makra w dokumencie Worda, zastanów się dwa razy, zanim to zrobisz.

Należy także zachować ostrożność w przypadku skrótów plików rozszerzenie .LNK). Windows może dodawać do nich dowolną ikonę, która w połączeniu z niewinnie wyglądającą nazwą pliku może ściągnąć na Ciebie kłopoty.

Ważna informacja: Windows otwiera pliki posiadające nieznane rozszerzenia bez pytania użytkownika i domyślnie ukrywa te rozszerzenia w Eksploratorze Windows. Jeśli więc zobaczysz plik posiadający nazwę np. Ważne_info.txt, pamiętaj, że może to być równie dobrze instalator szkodliwego programu o nazwie Ważne _info.txt.exe. Warto włączyć w ustawieniach systemu Windows wyświetlanie rozszerzeń w celu zwiększenia bezpieczeństwa.

7. Czy można uniknąć infekcji, rezygnując z podejrzanych stron i załączników?

Niestety, nawet najbardziej ostrożni użytkownicy mogą zostać zainfekowani programem ransomware. Na przykład można zainfekować komputer, czytając wiadomości w dużym, znanym portalu internetowym.

Oczywiście sama strona nie będzie serwowała odwiedzającym szkodliwego oprogramowania — chyba że została zhakowana, ale to jeszcze inny przypadek. W tej sytuacji dystrybutorami niepożądanych programów będą sieci reklamowe zhakowane przez cyberprzestępców, a mając na swoim sprzęcie niezałataną lukę, ułatwiasz wstrzyknięcie do systemu szkodliwego programu. Jak widać, kluczowe w tej sytuacji jest posiadanie aktualnego oprogramowania i całkowicie załatanego systemu operacyjnego.

8. Mam komputer Mac, zatem nie muszę się martwić ransomware.

Niestety, ale komputery Mac również mogą zostać zainfekowane (i były już takie przypadki) programami ransomware. Na przykład ransomware KeRanger przedostał się do popularnego klienta torrentów Transmission i przysporzył użytkownikom maków wiele problemów.

Według naszych ekspertów liczba programów ransomware atakujących systemy Apple’a będzie stopniowo się zwiększać. A ponieważ urządzenia tej firmy są stosunkowo drogie, szantażyści mogą dostrzec w ich właścicielach idealny cel na wyłudzenie sporej kwoty.

Istnieją nawet rodzaje programów ransomware, które atakują Linuksa. Przed tym zagrożeniem naprawdę nie ma bezpiecznej przystani.

9. Używam mojego telefonu do przeglądania internetu. Czy to bezpieczne?

Przeglądanie internetu nigdy nie jest bezpieczne 😉 A mówiąc już całkiem poważnie, istnieją kryptory i blokery dla urządzeń z systemem Android, a te drugie są znacznie bardziej rozpowszechnione. Posiadanie na swoim smartfonie antywirusa to nie paranoja.

10. Zatem nie są bezpieczne nawet iPhone’y?

Obecnie nie znamy jeszcze programów ransomware przeznaczonych dla iPhone’ów i iPadów, ale mówimy tu o iPhone’ach, na których nie wykonano jailbreaku. Szkodliwe programy mogą przedostać się do urządzeń, które nie są strzeżone przez ograniczenia sklepów z aplikacjami.

Jednak ransomware dla iPhone’ów może wkrótce się pojawić, przy czym do skutecznej infekcji może nie wymagać systemu po jailbreaku. Co więcej, możemy też wkrótce doświadczyć pojawienia się programów żądających okupu dla Internetu Rzeczy. Cyberprzestępcy będą żądać wysokich kwot za oddanie inteligentnego telewizora czy lodówki.

11. Po czym poznać, że komputer został zarażony programem żądającym okupu?

Infekcja takim programem nie należy do najsubtelniejszych. Oznajmi on swoją obecność mniej więcej w ten deseń:

Lub tak:

Lub tak:

Z kolei blokery ujawniają się tak:

12. Które rodzaje ransomware są najbardziej rozpowszechnione?

Każdego dnia pojawiają się nowe rodzaje programów żądających okupu, więc trudno jest jednoznacznie stwierdzić, który jest najbardziej popularny. Możemy pokusić się o wymienienie kilku charakterystycznych przykładów, np. Petya, która szyfruje cały dysk twardy. Istnieje także СryptXXX, który wciąż wiele potrafi i który unieszkodliwiliśmy dwa razy. TeslaCrypt był najbardziej rozpowszechnionym zagrożeniem typu ransomware w ciągu pierwszych czterech miesięcy 2016 roku, ale jego autorzy niespodziewanie jako jedyni udostępnili publicznie jego klucz główny.

13. Jeśli mój sprzęt zostanie zainfekowany ransomware, co mogę zrobić?

Jeśli Twoje komputer zostanie zablokowany — czyli nie będzie uruchamiał się system operacyjny — użyj naszego Kaspersky WindowsUnlocker. Jest to darmowe narzędzie, które potrafi usuwać blokery i pomaga systemowi Windows uruchamiać się.

Twardszym orzechem do zgryzienia są programy szyfrujące. Najpierw należy pozbyć się szkodliwego programu, uruchamiając skanowanie antywirusowe. Jeśli nie masz na swoim komputerze antywirusa, który zrobi to porządnie, wypróbuj naszą darmową wersję.

Drugi etap polega na przywróceniu plików.

Jeśli posiadasz kopię zapasową swoich plików, możesz jej użyć. To najlepsze, co może się zdarzyć w takich okolicznościach.

Jeśli nie masz kopii zapasowej, możesz spróbować odszyfrować pliki, korzystając ze specjalnych narzędzi deszyfrujących. Wszystkie takie darmowe programy utworzone przez Kaspersky Lab znajdują się na stronie Noransom.kaspersky.com.

Narzędzia takie tworzą również inne firmy antywirusowe. Należy zwrócić uwagę, aby tego typu programy pobierać z wiarygodnych stron, w przeciwnym wypadku narażasz się na infekcję kolejnym szkodliwym programem.

Jeśli nie znajdziesz odpowiedniego programu deszyfrującego, możesz zapłacić okup lub pożegnać się ze swoimi plikami. Nawiasem mówiąc, naszym zdaniem nie warto płacić okupu.

14. Dlaczego nie warto płacić okupu?

Zwyczajnie dlatego, że nie ma gwarancji na odzyskanie plików. Szantażystom nie można ufać. Jako przykład można tu podać autorów Ranscam — program ransomware, który nie podejmował prób deszyfrowania, lecz bez wahania usuwał pliki (mimo że ofiary otrzymywały obietnice, że po wpłaceniu pieniędzy ich pliki zostaną odszyfrowane).

Według naszego badania 20% ofiar programów ransomware, które zapłaciły szantażystom, nigdy nie odzyskało swoich plików.

Po drugie, płacąc okup, wspierasz działalność cyberprzestępczą.

15. Dlaczego program deszyfrujący nie działa, chociaż jest poprawnie wybrany?

Twórcy programów żądających okupu szybko biorą się do pracy, gdy pojawia się odpowiedź ze strony dobrych ludzi: modyfikują oni swoje dzieła tak, aby nasze programy sobie z nimi nie radziły. To gra w kotka i myszkę. Dlatego nie można się nastawiać na to, że dany program deszyfrujący na pewno nam pomoże.

16. Czy w chwili, gdy zauważę proces infekowania, mogę go jakoś przerwać?

Teoretycznie możesz zareagować w porę, wyłączając komputer, usuwając z niego dysk twardy, wkładając go do innego komputera i podejmując próbę wyleczenia go przy użyciu programu antywirusowego. Jednak w natłoku codziennych spraw trudno jest (albo nawet jest to niemożliwe) zauważyć infekcję, ponieważ ransomware działa w ukryciu aż do chwili, gdy będzie gotowe wyświetlić odpowiedni komunikat.

17. Czy wystarczy regularnie tworzyć kopie zapasowe?

Tworzenie kopii zapasowych swoich plików jest bez wątpienia bardzo przydatne, lecz to nie daje w 100% gwarancji na to, że wszystko będzie dobrze. Rozważmy taki przykład: na swoim komputerze ustawiasz automatycznie wykonywanie kopii zapasowych co trzy dni. Program szyfrujący przedostaje się do systemu, szyfruje wszystkie dokumenty, zdjęcia itp. — ale Ty tego nie zauważasz od razu. Gdy dowiadujesz się o sprawie tydzień później, okazuje się, że zaszyfrowane zostały również wszystkie kopie zapasowe. Dlatego trzeba sobie powiedzieć wyraźnie — są one istotne, ale nie mogą być jedynym środkiem ochrony.

18. Czy do zabezpieczenia się przed infekcją wystarczy antywirus?

W większości przypadków odpowiedź brzmi: TAK. Duże znaczenie ma tutaj klasa programu zabezpieczającego. Według niezależnych testów porównawczych przeprowadzonych przez renomowane laboratoria (które są jedynymi wiarygodnymi testami) produkty firmy Kaspersky Lab oferują lepszą ochronę niż konkurencyjne. Jednak żaden antywirus nie ma 100% skuteczności.

W wielu przypadkach automatyczne wykrywanie zależy od tego, jak nowy jest szkodliwy program. Jeśli jego sygnatury nie zostały dodane do antywirusowych baz danych, trojan może zostać wykryty na podstawie analizy zachowania. Jeśli próbuje wyrządzić szkody, natychmiast jest blokowany.

Nasz produkt zawiera moduł o nazwie Kontrola systemu: jeśli wykryje on próbę masowego szyfrowania plików, blokuje szkodliwy proces i cofa wszystkie dokonane zmiany. Z tego powodu nigdy nie należy go wyłączać.

Co więcej, Kaspersky Total Security automatyzuje proces wykonywania kopii zapasowych. Nawet gdy coś pójdzie wyjątkowo źle, z kopii zapasowych będzie można przywrócić to, co jest kluczowe.

19. Czy istnieją jakieś ustawienia, które zwiększają ochronę?

• Zainstaluj dobrego antywirusa. Ale o tym już chyba wspominaliśmy?
• Wyłącz w przeglądarce wykonywanie skryptów, ponieważ należą one do ulubionych narzędzi cyberprzestępców. Na naszym blogu możesz dowiedzieć się, jak to zrobić w przeglądarce Chrome i Firefox.
• Włącz wyświetlanie rozszerzeń w Eksploratorze Windows.
• Ustaw aplikację Notatnik jako domyślną dla plików VBS i JS. System Windows zazwyczaj oznacza niebezpieczne skrypty VBS i JS jako pliki tekstowe, co może zmylić mniej biegłych użytkowników i w konsekwencji uruchomią oni dany skrypt.
• Rozważ włączenie w produkcie Kaspersky Internet Security Trybu zaufanych aplikacji, ograniczając w ten sposób instalację wszelkich programów spoza białej listy. Domyślnie funkcja ta nie jest włączona i wymaga poświęcenia odrobiny czasu na konfigurację, jednak taka decyzja z pewnością się opłaca — zwłaszcza w przypadku osób, które nie są biegłe w zakresie komputerów i mogą niechcący wpuścić szkodliwy program do systemu.