Kto przywróci zaszyfrowane dane firmowe? Nikt

Na rynku istnieje wiele firm obiecujących odszyfrowywanie danych, jednak czasami zatrudnienie jej może okazać się gorszym pomysłem niż zapłacenie cyberprzestępcom.

Jak pokazuje niedawny incydent w norweskiej firmie Norsk Hydro, ransomware jeszcze krąży w internecie i nieustanni poszukuje ofiar. Być może zagrożenie to nadal istnieje, bo wiele osób uważa, że w przypadku ataku programu żądającego okupu dane będzie można przywrócić. W tym celu wystarczy zwrócić się o pomoc do firmowego specjalisty ds. IT lub jakiegoś zewnętrznego eksperta — a w ostateczności do odpowiedzialnego za sytuację cyberprzestępcy (oczywiście w zamian za zapłacenie okupu). Co więcej, na rynku istnieje wiele firm obiecujących odszyfrowywanie danych. Jednak czasami zatrudnienie jej może okazać się gorszym pomysłem niż zapłacenie cyberprzestępcom.

Dlaczego złym pomysłem jest zatrudnienie firmy, która daje 100% gwarancji na to, że odszyfruje nasze dane?

Gdy szukasz informacji na temat szyfrujących programów ransomware, pojawia się wiele ogłoszeń umieszczonych przez firmy, które obiecują przywrócenie danych bez względu na okoliczności. Z reguły na ich stronach można znaleźć obszerne wyjaśnienia, dlaczego nie warto płacić atakującym, jak również informacje o stosunkowo kreatywnych metodach odszyfrowywania. Mimo że strony takie wyglądają dość przekonująco, nie zawsze wiadomo, co w trawie piszczy.

Współczesne algorytmy szyfrowania są tak utworzone, że każda osoba może przekształcić ważną informację w nic nieznaczący zestaw znaków, a sytuację może odwrócić tylko osoba posiadająca specjalny klucz. Innymi słowy, jeśli atakujący nie popełnią błędów, nikt inny nie będzie w stanie odszyfrować zmienionych przez nich plików — ani administrator systemu, ani globalny gigant z branży IT.

Zatem każdy, kto daje całkowitą gwarancję odszyfrowania, prawdopodobnie kłamie. W zeszłym roku nasi koledzy znaleźli jedną z takich firm. Jak się okazało, za „usługi odszyfrowywania” pewna firma żądała od ofiar dużych pieniędzy, a w tym samym czasie negocjowała z atakującymi zdobycie kluczy deszyfrujących po niższej cenie. W efekcie ofiara nie tylko płaciła atakującym, ale także sponsorowała innych oszustów.

Dlaczego nie warto płacić okupu

Płacenie szantażystom wydaje się drogą najłatwiejszą. Wiele osób tak właśnie postępuje i rzeczywiście odzyskuje swoje dane. Na przykład w 2016 roku oprogramowanie ransomware o nazwie Locky sparaliżowało działanie centrum medycznego Hollywood Presbyterian Medical Center (HPMC), a biorąc pod uwagę zdrowie — a w niektórych przypadkach nawet życie — pacjentów, zarząd podjął trudną decyzję o zapłaceniu okupu w wysokości 17 tys. dolarów, aby jak najszybciej odzyskać zaszyfrowane pliki.

Jednak najłatwiejsza droga nie zawsze jest najlepsza, zwłaszcza jeśli stawką nie jest życie. Po pierwsze, takie pieniądze zwykle wspierają tworzenie jeszcze bardziej wyrafinowanych szkodliwych programów (które następnie atakują kolejne osoby). Po drugie, obietnic o odszyfrowaniu plików po zapłacie nie można traktować wiarygodnie. Szpital miał szczęście, jednak w większości przypadków atakujący zwyczajnie zabierają pieniądze i nigdy nie odszyfrowują plików. Czasami po prostu tego nie potrafią.

Dlaczego firmy z branży bezpieczeństwa nie mogą odszyfrować Twoich danych

Oczywiście istnieją firmy, które nieustannie poszukują sposobów na przywrócenie zaszyfrowanych danych — jedną z nich jesteśmy my. Jednak przywrócenie informacji jest możliwe tylko wtedy, gdy atakujący nie zaimplementowali poprawnie zwykłego algorytmu lub popełnili jakieś błędy. Gdy uda nam się utworzyć narzędzie służące do odszyfrowywania, udostępniamy je za darmo na stronie https://noransom.kaspersky.com/pl/. Jednak takie przypadki stanowią raczej wyjątek, a nie regułę.

Zatem najlepsze, co możesz zrobić, to unikać infekcji. W tym celu możesz użyć naszego zestawu narzędzi, na przykład nowo zaktualizowanego rozwiązania Kaspersky Anti-Ransomware Tool for Business. Może ono działać równolegle z produktami innych producentów, tworząc dodatkową warstwę ochrony na stacjach roboczych i serwerach działających z systemem Windows Server.

Zaktualizowane narzędzie Kaspersky Anti-Ransomware Tool for Business nie tylko chroni firmowe urządzenia przed szyfrującymi szkodliwymi programami (zarówno znanymi, jak i nowymi), ale także wykrywa inne zagrożenia — w szczególności złośliwe koparki kryptowalut, potencjalnie niebezpieczne programy i pornware. Narzędzie można pobrać nieodpłatnie ze strony: https://www.kaspersky.pl/anti-ransomware-tool.

Porady