Okup: czy płacić cokolwiek?

Trzy powody, dla których nie warto płacić działającym w cyberprzestrzeni szantażystom — a także porady, jak nie dać się skutecznie zaatakować.

Czasami w artykułach na temat tego, co należy zrobić w przypadku ataku oprogramowania ransomware, czytam na przykład takie porady: Rozważ zapłatę okupu. Wtedy wzdycham, na moich policzkach pojawia się kolor, po czym rezygnuję z dalszego czytania. Dlaczego? Bo nigdy nie wolno płacić szantażystom! I to nie tylko dlatego, że w ten sposób wspieramy ich działalność. Są też inne powody. Wymienię najważniejsze:

Po pierwsze, w ten sposób sponsorujemy tworzenie szkodliwych programów

Zapłata okupu umożliwia działającym w internecie oszustom, szaleńcom, szantażystom, ugrupowaniom cyberprzestępczym itp. kontynuowanie swoich aktywności, przez co dalej negatywnie wpływają oni na życie niewinnych ludzi. W ten sposób zamyka się błędne koło: szyfrują pliki, otrzymują zapłatę, więc szyfrują następne pliki…

Zasadniczo istnieją dwa sposoby na przerwanie im realizacji tego godnego potępienia zajęcia: można ich złapać (i czasami w tym pomagamy), ale można też sprawić, aby ich aktywność była nieopłacalna, co zmusi ich do znalezienia godnego zatrudnienia. Wydaje się, że takie osoby nie zdają sobie sprawy z tego, że programiści zarabiają całkiem przyzwoicie.

Ja więc sprawić, aby takie zajęcie stało się nieopłacalne? Ofiary muszą przestać płacić okup. Ktoś może powiedzieć: Wspaniale, ja też chcę pokoju na świecie, uczciwości i sprawiedliwości dla wszystkich, ale wiele danych jest zaszyfrowanych, przez co sporo firm może zbankrutować. To nie powód, aby się poddawać! Cierpliwości…

Po drugie, swoich danych możesz nie odzyskać

Ugoda z cyberprzestępcami nigdy nie jest wiarygodna – to nie solidna umowa. Znamy już historie o przestępcach, którzy nie respektowali niuansów prawnych; można więc przypuszczać, że fakt zapłaty niekoniecznie będzie równoznaczny z odszyfrowaniem Twoich plików.

Wystarczy przypomnieć sobie ransomware o nazwie ExPetr/NotPetya — w tym przypadku unikatowy identyfikator użytkownika był generowany całkowicie losowo, co uniemożliwiało odszyfrowanie plików. Ba, nie mogli tego zrobić nawet sami atakujący! Zatem nie pomogłyby wszystkie pieniądze świata. Atak z użyciem programu ExPetr/NotPetya nie jest odosobnionym przypadkiem. Cyberprzestępcy nierzadko popełniają błędy w kodowaniu; czasami dzięki takim pomyłkom możemy utworzyć narzędzie deszyfrujące, ale czasami zdarza się, że uniemożliwiają one utworzenie takich narzędzi nawet samym atakującym.

Niedawno ekspert ds. cyberbezpieczeństwa publicznie poprosił ugrupowanie cyberprzestępcze o wyeliminowanie błędu w używanym przez nie trojanie ransomware, ponieważ zainfekowane nim pliki były nieodwracalnie uszkadzane. Nie wiadomo: śmiać się czy płakać! Podsumowując, jeśli zdecydujesz się na zapłacenie okupu, pamiętaj, że nie ma gwarancji, że kiedykolwiek odzyskasz swoje pliki.

Po trzecie, atakujący mogą zażądać kolejnego zastrzyku pieniędzy

Takie sytuacje zdarzały się już wcześniej: szantażyści zaatakowali organizację, która zapłaciła aż 6,5 mln dolarów, aby odzyskać swoje dane. Dwa tygodnie później ci sami przestępcy zaszyfrowali te same dane, za pomocą tych samych metod, a w efekcie uzyskali kolejny hojny okup!

W tym przypadku problem polegał na tym, że dwa tygodnie nie wystarczyły, aby organizacja załatała lukę, dzięki której intruzi dostali się do organizacji za pierwszym razem. Oszuści, którym dopisze szczęście, mogą czuć się zachęceni do podjęcia kolejnej próby, bo prawdopodobnie nadal mają oni dane ofiar (mogli je usunąć, ale raczej tego nie zrobili).

Jedynym sposobem jest kategoryczne powstrzymanie się od płacenia jakiegokolwiek okupu. Jeśli zapłacisz, możesz dostać drugie, trzecie, a nawet czwarte żądanie zapłaty okupu, bo atakujący będą chcieli zrobić z Ciebie łatwe, stałe źródło dochodu.

Co więc należy zrobić?

Powiedzmy, że podjąłeś słuszną decyzję, aby nie płacić oszustom. I co wtedy? Twoje pliki są zaszyfrowane lub skradzione, a przestępcy grożą, że je opublikują. Sytuacja wydaje się patowa. Możesz jednak:

Zachować zimną krew i poszukać narzędzia deszyfrującego. Może już jakieś istnieje i jest dostępne tutaj lub tutaj, a jeśli nie, może pojawić się później. My regularnie je udostępniamy i aktualizujemy w ramach naszego procesu analizowania szkodliwych programów i łapania intruzów.

Porozmawiaj o sytuacji z dostawcą ochrony, którą masz na swoim sprzęcie. Najpierw dowiedz się, jak to się stało, że atak był skuteczny. Później zwróć się o pomoc w odszyfrowaniu plików do producenta oprogramowania ochronnego: może się okazać, że on wie, co należy zrobić, i prawdopodobnie zechce Ci pomóc, bo ceni Cię jako klienta. Ale nie chodzi tylko o to, że taka firma stawia Twoje bezpieczeństwo na pierwszym miejscu — jej reakcja wiąże się też z jej reputacją, co jest bezcenne.

Oczywiście zawsze lepiej jest wzmacniać swoją ochronę, starając się blokować wszelkie infekcje. Ale nigdy nie wolno płacić okupu! Jeśli nikt nie ulegnie, cyberszantażyści będą stopniowo wygaszać swoją aktywność na tym polu, a świat odetchnie z ulgą.

Porady