Rady a tipy

Vše, co potřebujete vědět o ransomwaru a jak se před ním ochránit

Charlotte Empey, 5. března 2018

Ransomware je typ škodlivého softwaru, který si bere váš počítač jako rukojmí. Sepsali jsme pro vás detailní příručku, ve které se dozvíte, co to je ransomware, jak funguje, jak se před ním ochránit a jak se jej případně zbavit.

Kyberbezpečnost je dnes pro firmy i jednotlivce jedním z témat číslo jedna. Naše počítače, mobilní přístroje, zařízení pro chytrou domácnost či produkty IoT jsou zranitelné vůči různým útokům. Avast jen v roce 2017 zablokoval 35 miliard útoků na počítače a 208 milionů útoků na mobilní zařízení s Androidem. Co je jednou z největších bezpečnostních hrozeb dnešní doby? Ransomware.

Co je to ransomware?

Ransomware je typ škodlivého softwaru (neboli malwaru), který zamyká vaše soubory či dokonce celý počítač a za jejich odemčení požaduje výkupné.

avast_prevents_ransomware_pc_laptop.pngBuď zašifruje soubory tak, že je nelze otevřít, nebo zcela uzamkne počítač, abyste přišli o přístup ke svým nejdůležitějším fotografiím, videím, finančním dokumentům či práci. Jeho tvůrci posléze za dešifrování vašich souborů požadují výkupné (často v bitcoinech). A pokud nezaplatíte, o svá data přijdete.

Ransomware není žádná novinka. Poprvé se objevil již v roce 1989, avšak tenkrát se mezi počítači šířil na disketách. Dnešní svět je tak propojený, že sehnat si opensourcový ransomwarový kód je velmi snadné. Finanční zisky, které následně z jeho šíření plynou, jsou potenciálně velmi vysoké. Proto si ransomware získal takovouanti-malware_security_avast.png popularitu.

Dá se ransomware považovat za virus? 

Pojem virus zná většina z nás. Používáme jej k označování všech forem malwaru. Ve skutečnosti se však jedná pouze
o jeden konkrétní druh malwaru. Mezi další druhy patří
červi, trojské koně, spyware či ransomware. Každý druh malwaru má v hledáčku něco jiného. Červi se replikují a zpomalují zařízení. Viry infikují počítače, poškozují tamní soubory
a pak se šíří dál. Trojské koně vytvářejí do počítače tajná zadní vrátka, jež hackerům umožňují přístup k vašim osobním datům. Existuje řada důvodů, proč kyberzločinci tyto druhy malwaru vytvářejí a šíří.

Důvod, proč útočníci vytvářejí ransomware, je zcela zřejmý: finanční zisk. Cílem ransomwaru obvykle nebývá trvale poškodit či smazat vaše soubory nebo dokonce ukrást vaši identitu, ale přesvědčit vás, abyste zaplatili za dešifrovací klíč.

Ransomware v počítačích

Obětí ransomwaru se může stát kdokoli. Nejvýznamnější ransomwarové útoky v roce 2017 cílily na jednotlivce i firmy – velké podniky, nemocnice, letiště či státní správu.

Nejčastějším cílem ransomwarových útoků bývají osobní počítače, neboť hackeři mnohdy zneužívají známé chyby zabezpečení operačního systému Windows.

ransomware_wannacry_protection_by_avast.png

Ransomware WannaCry se v průběhu května 2017 rychle rozšířil po celém světě a postihl více než 100 milionů uživatelů.

Zneužíval známou chybu ve Windows zvanou EternalBlue. Tato chyba hackerům umožňovala spouštět kód na dálku přes požadavek na sdílení souborů a tiskáren Windows. Microsoft sice opravu této chyby vydal již dva měsíce před útokem WannaCry, jenže řada jednotlivců a firem si tuto aktualizaci včas nenainstalovala. Chyba EternalBlue se ve Windows vyskytuje od verze XP, kterou již Microsoft nepodporuje. A právě uživatelé Windows XP byli útokem WannaCry zasaženi nejvíc.

android_phone_with_ransomware.pngRansomware v mobilních zařízeních

Ransomwarové útoky na mobilní zařízení jsou čím dál častější. Počty útoků na zařízení s Androidem mezi lety 2016 a 2017 vzrostly o 50 procent. Ransomware se často do zařízení s Androidem dostává přes aplikace stažené z jiných webových stránek než z oficiálních obchodů. V několika případech se mu však povedlo ukrýt ve zdánlivě legitimních aplikacích v obchodě Google Play.

Ransomware v zařízeních Apple macbook_with_ransomware.png

Ani uživatelé zařízení Apple nejsou v bezpečí. Macům se dříve malwarové útoky spíše vyhýbaly. Vzhledem k rostoucímu tržnímu podílu se však tyto počítače do hledáčku malwarových vývojářů dostávají stále častěji. Dvě bezpečnostní firmy v roce 2017 odhalily ransomwarové a spywarové programy cílící na uživatele zařízení Apple. Jejich tvůrci, pravděpodobně vývojáři se specializací na OS X, dokonce tyto programy bezplatně zveřejnili na darknetu. Útočníci se uživatelům Maců také dostali do účtů v iCloudu a prostřednictvím služby Find My iPhone jim zablokovali přístup do jejich počítačů.

Druhy ransomwaru types_of_ransomware_avast_protects_against.png

Ransomware se objevuje v řadě variant, které spojuje jedna společná vlastnost – požadování výkupného. (V roce 2017 jsme se setkali s několika případy, kdy byly určité instituce napadeny ransomwarem, avšak cílem těchto útoků nebyl finanční zisk. Ransomware nejspíš posloužil jako zástěrka špionáže nebo jiného druhu kybernetického útoku

crypto-malware_Protection_avast.png 
  • Krypto-malware - Nejběžnější druh ransomwaru (tzv. kryptografický ransomware) šifruje soubory. K počítači se můžete i nadále přihlásit, avšak soubory máte zašifrované. Nejlepším příkladem tohoto druhu ransomwaru je WannaCry.


  • Doxware - Doxware přenáší vaše citlivé soubory do útočníkova počítače. Daný útočník vám poté vyhrožuje, že pokud nezaplatíte výkupné, tyto soubory zveřejní. Představte si, že by někdo chtěl vaše osobní fotografie a videa volně zveřejnit na internetu! Příkladem doxwaru je ransomware Ransoc.

  • Scareware - avast_prevents_scareware.pngScareware je falešný software, který oznamuje, že ve vašem počítači nalezl problémy, a za jejich opravu požaduje peníze. Může vaši obrazovku zaplavit vyskakovacími okny či výstrahami nebo vám dokonce může uzamknout počítač, dokud nezaplatíte.

Jedním z důvodů, proč je ransomware tak oblíbeným druhem malwaru, je snadná dostupnost jeho kódu na internetu. Avast zjistil, že přibližně jedna třetina všech „nových“ variant ransomwaru vznikla na základě veřejně dostupného opensourcového kódu. Hackeři neustále vylepšují jak kód svého ransomwaru, tak i šifrování, takže určité druhy ransomwaru se mohou objevit i několikrát po sobě. Jako příklad uveďme ransomware Petna.

Hlavním cílem útočníků je rozšířit ransomware do co nejvíce zařízení a vydělat na něm co nejvíce peněz. Proto tito lidé hledají alternativní způsoby, jak své dílo šířit dál.

stopping_petya_ransomware_on_laptops.png

Ukázkovým příkladem je ransomware Popcorn Time, který oběť žádá, aby infikovala další dva uživatele. Když oba tito uživatelé zaplatí výkupné, původní oběť dostane své soubory zdarma zpět.

Jak se taková infekce dostane do mého počítače? how_does_my_device_get_infected_with_ransomware.png

Ransomware na rozdíl od virů dokáže na zařízení zaútočit bez vašeho přičinění. Virus vyžaduje, aby si uživatel stáhl infikovaný soubor nebo aby klikl na infikovaný odkaz. Ransomware naopak umí zranitelný počítač napadnout sám od sebe.

protecting_against_exploits.png
  • Sady exploitů
    Útočníci vyvíjejí takzvané sady exploitů. Tyto sady obsahují předem připravený kód, jenž zneužívá chyby zabezpečení popsané výše, jako je EternalBlue. Tento druh ransomwaru dokáže infikovat jakýkoli síťový počítač se zastaralým softwarem. Jednoho dne zapnete počítač a světe, div se! Všechny vaše soubory jsou uzamčené.

  • Sociální inženýrstvíanti-phishing_avast.png
    Další druhy malwaru se snaží váš počítač infikovat metodou pokusu a omylu. Útoky využívající sociální inženýrství (nebo phishing) se vás snaží přimět, abyste si ransomware stáhli jako soubor v příloze nebo přes webový odkaz. Tyto útoky obvykle mívají formu e-mailu od zdánlivě spolehlivého odesílatele
    a v příloze obsahují něco, co na první pohled vypadá jako objednávka, účtenka, faktura či důležité upozornění, případně obsahují podobně se tvářící odkaz. Soubory v příloze mohou vypadat jako soubor PDF či dokument aplikace Excel nebo Word, ale ve skutečnosti se jedná o zamaskované spustitelné soubory. Uživatel si stáhne soubor, klikne na něj a začnou se dít nekalé věci. (Někdy se zpočátku neděje vůbec nic. Určité druhy ransomwaru se totiž v počítači na nějakou dobu ukryjí, aby nebylo možné přesně určit, kdy a jak k nim uživatel přišel.) 

    malvertising_ransomware.png
  • Škodlivé reklamy
    Škodlivé reklamy, taktéž malvertising, jsou dalším způsobem šíření malwaru – tentokrát prostřednictvím reklamních sítí. Falešné reklamy se mohou zobrazovat dokonce na důvěryhodných webových stránkách. A když na ně uživatel klikne, stáhne si do počítače ransomware.

Soubory stažené bez vědomí uživatele jsou škodlivé soubory, které si uživatel do počítače stáhne, aniž by se tomu sám přičinil. Některé méně důvěryhodné webové stránky zneužívají chyby v neaktualizovaných prohlížečích či aplikacích a tajně do počítače stahují malware, zatímco si prohlížíte internet. Pokaždé, když se ransomware spustí v nově napadeném zařízení, obvykle začne měnit soubory (či jejich strukturu) tak, že znovu budou čitelné či použitelné až poté, co je obnovíte do původního stavu. K zabezpečení své komunikace s řídicím počítačem (zařízením, které zločinec používá k ovládání počítače své oběti) používá šifrování. Toto šifrování obsahuje nebo umožňuje získat dešifrovací klíč potřebný k vrácení souborů či souborového systému do původního stavu.

Jakmile ransomware vaše soubory zašifruje, na obrazovce zobrazí žádost o výkupné, která obsahuje požadovanou částku, způsob převodu peněz či místo, kam je máte převést, a lhůtu, do které tak máte učinit. Když tuto lhůtu nedodržíte, začne požadovat vyšší částku. A když se některý ze zašifrovaných souborů pokusíte otevřít, zobrazí se vám chybová zpráva, že daný soubor je poškozený či neplatný nebo že jej nelze najít.

Jak mohu ransomware odstranit?

Odstranění samotného ransomwaru není nijak náročné. Pokud jste byli napadeni šifrovacím ransomwarem, ale k počítači se stále dokážete přihlásit, restartujte počítač do nouzového režimu (návod) a malware najděte a smažte pomocí antivirového programu.

Pokud vám ransomware zcela uzamkl počítač, máte na výběr ze tří možností, jak postupovat: můžete přeinstalovat operační systém, můžete z externího či spustitelného disku provést antivirovou kontrolu počítače, případně můžete pomocí nástroje na obnovení systému obnovit Windows do původního stavu před útokem ransomwaru. Jak obnovit systém v počítačích s Windows:

Obnovení systému Windows 7:

  • Při spouštění počítače stiskněte klávesu F8, čímž zobrazíte nabídku Rozšířené možnosti spuštění.
  • Vyberte možnost Opravit tento počítač a stiskněte klávesu Enter.
  • Přihlaste se do Windows pomocí uživatelského jména a hesla. Pokud přihlašovací údaje nepoužíváte, přihlaste se bez nich.
  • Vyberte možnost Obnovení systému.

Obnovení systému Windows 8, 8.1 a 10:

  • Při spouštění počítače držte stisknutou klávesu Shift. Zobrazí se obrazovka obnovení systému (pokud se nezobrazí, restartujte počítač).
  • Vyberte možnost Odstranit potíže.
  • Vyberte možnost Upřesnit možnosti.
  • Vyberte možnost Obnovení systému.

Následující postup je určen pro zařízení s Androidem a slouží k odstranění aplikací, které možná obsahují malware, přes nouzový režim. Poznámka: Tento postup se v závislosti na zařízení může lišit.

Odstranění malwaru ze zařízení s Androidem:

  • Zařízení restartujte do nouzového režimu. Na několik sekund stiskněte vypínací tlačítko, dokud se nezobrazí nabídka. Zvolte možnost Vypnout. Zobrazí se dialogové okno s dotazem, zda chcete zařízení spustit v nouzovém režimu. Tuto možnost vyberte a potvrďte ji výběrem tlačítka OK. Pokud tento postup nebude fungovat, zařízení vypněte a znovu zapněte. Jakmile se zapne, současně podržte vypínací tlačítko, tlačítko Domů a tlačítko zvýšení hlasitosti, dokud se nezobrazí možnost přechodu do nouzového režimu.
  • Škodlivé a/nebo podezřelé či neznámé aplikace odinstalujte. V nouzovém režimu otevřete nastavení. Poté zvolte možnost Aplikace nebo Správce aplikací (záleží na konkrétním zařízení). Najděte dříve zmiňované podezřelé aplikace a všechny je odinstalujte.

Ačkoliv ransomware na  zařízeních Mac není tak častou hrozbou, občas se mu nevyhnete. Odstranit jej můžete podobným způsobem přes nouzový režim.

Odstranění malwaru z Macu:

  • Nouzový režim aktivujte následujícím způsobem: zapněte Mac a jakmile se ozve spouštěcí tón, stiskněte a podržte klávesu Shift. Až se zobrazí logo Apple, klávesu Shift uvolněte. Systém Mac OS X se spustí v nouzovém režimu.
  • Odstraňte malware pomocí antivirového softwaru.

    how-can_i_recover_my_files_from ransomware_attack.png

Jak mohu své soubory obnovit?

Odstraněním ransomwaru bohužel přístup ke všem svým zašifrovaným souborům nezískáte. Náročnost obnovení vašich dat závisí na úrovni šifrování. Pokud jste byli napadeni jednoduchým ransomwarem, který používá základní šifrování, měl by vám pomoci některý z bezplatných nástrojů na dešifrování ransomwaru od Avastu. Pokud jste však byli napadeni sofistikovanějším šifrovacím ransomwarem, jako je WannaCry, možná už uzamčené soubory zachránit nedokážete.

Asi si teď myslíte, že své soubory nejsnadněji získáte zpět tím, že zaplatíte výkupné. Řada lidí nakonec zaplatí, a proto se ransomware stal mezi malwarovými útočníky tak populární. Dokud bude kybernetickým zločincům vydělávat, budou vymýšlet další.

Nemáte ovšem žádnou záruku, že útočník ve skutečnosti dodrží slovo a po zaplacení vaše soubory dešifruje. Jednoduše může vzít peníze a už se neozve. Případně, když zjistí, že jste ochotní zaplatit, může výkupné náhle zvýšit. A ochota zaplatit z vás činí cíl pro další potenciální útoky.

Některé varianty ransomwaru jsou tak špatně naprogramované, že soubory po zašifrování již není možné obnovit. Jedním z příkladů takového ransomwaru je Petna. Takže když zaplatíte, nemáte žádnou jistotu, že své soubory ještě někdy uvidíte.

ransomware_protection_avast.png Ochrana před ransomwarem:
 Jak útoku   předejít

  Před ransomwarovými útoky se nejlépe ochráníte tak, že    jim budete předcházet. Proto se řiďte těmito radami:

  1. Aktualizujte operační systém a aplikace. Víme, že všechna ta upozornění na aktualizace Windows obtěžují, ale není radno je ignorovat. (Neignorujte ani aktualizace mobilních zařízení a produktů IoT.) Řada systémových aktualizací obsahuje bezpečnostní opravy, bez nichž by vaše zařízení nebyla dostatečně chráněna. Pokud stále používáte starší operační systém, který už není společností Microsoft podporován (například Windows XP), jste malwarovými útoky ohroženi nejvíce a měli byste zvážit přechod na novější verzi systému.
  2. Dále je nutné aktualizovat počítačový software, především webové prohlížeče a zásuvné moduly.
    Back up your files diagram.png
  3. Zálohujte své soubory. Systém pravidelně zálohujte na externí zařízení – na pevný disk USB, na jednotku NAS nebo do cloudu. Přinejmenším zálohujte alespoň své nejdůležitější a nejcennější soubory, ať jsou chráněny jak před malwarem, tak před selháním pevného disku. Dnešní úložiště dat jsou levná a na trhu je k dispozici spousta různých disků USB či jednotek NAS. Taktéž si můžete vybrat z řady bezplatných cloudových úložišť, jako jsou Dropbox, Disk Google, MEGA nebo OneDrive.
  4. Používejte pravidelně aktualizovaný antivirus. Avast nabízí různé programy na ochranu před ransomwarem a dalším malwarem (Avast Free Antivirus je zdarma!). Firmy si mohou pořídit náš nový software Avast Business pro ochranu koncových zařízení, který nabízí špičkové zabezpečení dat, zařízení a identity v různých cenových variantách. Poskytovatelům správy IT nabízíme produkty Managed Workplace a CloudCare, ve kterých je veškeré potřebné zabezpečení integrováno. Kybernetičtí zločinci svůj malware neustále zdokonalují, ale Avast s nimi drží krok. Proto svůj antivirový software pravidelně aktualizujte.
  5. Dávejte si pozor na manipulativní útoky, které zneužívají sociální inženýrství. Možná vám to přijde jako samozřejmost, ale pamatujte si, že odkazy a soubory z neznámých zdrojů byste nikdy neměli otevírat. Pokud obdržíte e-mail s pochybnou přílohou, jednoduše jej neotevírejte a rovnou jej smažte. Pokud odesílatele daného e-mailu znáte, raději si u něj ověřte, zda je příloha pravá. Také si dávejte pozor na zprávy, které se vás snaží přimět, abyste kliknuli na odkaz vedoucí na škodlivé webové stránky. Na takové odkazy můžete narazit v e-mailech, v SMS nebo dokonce na sociálních sítích. A pokud někde zadáváte své osobní údaje, několikrát si překontrolujte, zda daná webová stránka používá protokol HTTPS. Jak to zjistíte? V prohlížeči hledejte symbol zeleného visacího zámku. Podle něj poznáte, že je daný web zabezpečený.