Rady a tipy

Ransomware – co to je a jak se před ním chránit

Charlotte Empey, 9. srpna 2019

Opravdu je ransomware tak velkou hrozbou? V tomto průvodci se o ransomwaru dozvíte vše potřebné. Mimo jiné vám povíme, jak se před ním chránit a jak se jej v případě infekce zbavit.

Kybernetická bezpečnost je pro dnešní firmy i jednotlivce jedním z témat číslo jedna. Naše počítače, mobilní přístroje, zařízení pro chytrou domácnost či produkty IoT jsou zranitelné vůči různým útokům. Avast jen v roce 2017 zablokoval 35 miliard útoků na počítače a 208 milionů útoků na mobilní zařízení s Androidem. Co je jednou z největších bezpečnostních hrozeb? Ransomware.

Co je to ransomware?

Ransomware je typ škodlivého softwaru (nebo chcete-li malwaru), který zamyká vaše soubory, či dokonce celý počítač, a za jejich odemčení požaduje výkupné. 

avast_prevents_ransomware_pc_laptopBuď zašifruje soubory tak, že je nelze otevřít, nebo zcela uzamkne počítač, abyste přišli o přístup ke svým nejdůležitějším fotografiím, videím, finančním dokumentům či pracovním souborům. Jeho tvůrci posléze za dešifrování vašich souborů požadují výkupné (často v bitcoinech). A pokud nezaplatíte, o svá data přijdete.

Ransomware není žádná novinka. Poprvé se objevil již v roce 1989, avšak tenkrát se mezi počítači šířil na disketách. Dnešní svět je tak propojený, že je velmi snadné sehnat si opensourcový ransomwarový kód. Finanční zisky, které následně z jeho šíření plynou, jsou potenciálně velmi vysoké. Proto si ransomware získal takovou popularitu.

Dá se ransomware považovat za virusanti-malware_security_avast

Pojem virus zná většina z nás. Používáme jej k označování všech forem malwaru. Ve skutečnosti se však jedná pouze o jeden konkrétní druh malwaru. Mezi další druhy patří červi, trojské koně či spyware. Každý druh malwaru má v hledáčku něco jiného. Červi se replikují a zpomalují zařízení. Viry infikují počítače, poškozují tamní soubory a pak se šíří dál. Trojské koně vytvářejí v počítači tajná zadní vrátka, jež hackerům umožňují zneužít vaše osobní údaje. Existuje řada důvodů, proč kybernetičtí zločinci tyto druhy malwaru vytvářejí a šíří.

Důvod, proč útočníci vytvářejí ransomware, je zcela zřejmý: chtějí peníze. Cílem ransomwaru obvykle nebývá trvale poškodit či smazat vaše soubory, nebo dokonce ukrást vaši identitu, ale přesvědčit vás, abyste zaplatili za dešifrovací klíč.

Ransomware v počítačích

Obětí ransomwaru se může stát kdokoli. Nejvýznamnější ransomwarové útoky v roce 2017 cílily na jednotlivce i firmy – velké podniky, nemocnice, letiště či státní správu.

Nejčastějším cílem ransomwarových útoků bývají osobní počítače, neboť hackeři mnohdy zneužívají známé chyby zabezpečení operačního systému Windows.

World Map

V průběhu května 2017 se ransomware WannaCry rychle rozšířil po celém světě a postihl více než 100 milionů uživatelů. 

Zneužíval známou chybu ve Windows zvanou EternalBlue. Tato chyba hackerům umožňovala spouštět kód na dálku přes požadavek na sdílení souborů a tiskáren Windows. Microsoft sice opravu této chyby vydal již dva měsíce před útokem WannaCry, jenže řada jednotlivců a firem si tuto aktualizaci včas nenainstalovala. Chyba EternalBlue se ve Windows vyskytuje od verze XP, kterou již Microsoft nepodporuje. A právě uživatelé Windows XP byli útokem WannaCry zasaženi nejvíc.

android_phone_with_ransomware Ransomware v mobilních zařízeních

 Ransomwarové útoky na mobilní zařízení jsou čím dál častější. Počet         útoků na zařízeních s Androidem vzrostl mezi lety 2016 a 2017  o 50 procent. Ransomware se často do zařízení s Androidem dostává   přes aplikace stažené z jiných webových stránek než z oficiálních   obchodů. V několika případech se mu však povedlo ukrýt ve zdánlivě legitimních aplikacích v obchodě Google Play.

Ransomware v zařízeních Applemacbook_with_ransomware

Ani uživatelé zařízení Apple nejsou v bezpečí. Macům se dříve malwarové útoky spíše vyhýbaly. Vzhledem k rostoucímu tržnímu podílu se však tyto počítače do hledáčku malwarových vývojářů dostávají stále častěji. Dvě bezpečnostní firmy odhalily v roce 2017 ransomwarové a spywarové programy cílící na uživatele zařízení Apple. Jejich tvůrci, pravděpodobně vývojáři se specializací na OS X, dokonce tyto programy bezplatně zveřejnili na darknetu. Útočníci se uživatelům Maců také dostali do účtů v iCloudu a prostřednictvím služby Find My iPhone jim zablokovali přístup do jejich počítačů.

Druhy ransomwarutypes_of_ransomware_avast_protects_against

Ransomware se objevuje v řadě variant, které spojuje jedna společná vlastnost – požadování výkupného. (V roce 2017 jsme se setkali s několika případy, kdy byly určité instituce napadeny ransomwarem, avšak cílem těchto útoků nebyl finanční zisk. Ransomware nejspíš posloužil jako zástěrka špionáže nebo jiného druhu kybernetického útoku.)

    • Krypto-malware– nejběžnější druh ransomwaru (tzv. kryptografický  crypto-malware_Protection_avast ransomware), který, jak název napovídá, šifruje soubory. K počítači   se můžete i nadále přihlásit, avšak soubory máte zašifrované.   Nejlepším příkladem tohoto druhu ransomwaru je WannaCry.
    • Locker – tento druh ransomwaru zcela uzamkne počítač, abyste
      se k němu locker_ransomware_protection_by_avastnemohli přihlásit. Příkladem je ransomware Petya, který se poprvé objevil v roce 2016 a v roce 2017 se vrátil v mnohem pokročilejší variantě. Uzamkne počítač tak, že na pevném disku zašifruje hlavní tabulku souborů.
    • Doxware – Doxware přenáší vaše citlivé soubory do útočníkova
      počítače. Daný doxware_ransomwareútočník vám poté vyhrožuje, že pokud nezaplatíte výkupné, tyto soubory zveřejní. Představte si, že by někdo chtěl vaše osobní fotografie a videa volně zveřejnit na internetu! Příkladem doxwaru je ransomware Ransoc.
    • Scareware – scareware je falešný software, který oznamuje,
      že ve vašem počítačiavast_prevents_scareware nalezl problémy, a za jejich opravu požaduje peníze. Může vaši obrazovku zaplavit vyskakovacími okny či výstrahami nebo vám dokonce může uzamknout počítač, dokud nezaplatíte.

Jedním z důvodů, proč je ransomware tak oblíbeným druhem malwaru, je snadná dostupnost jeho kódu na internetu. Avast zjistil, že přibližně jedna třetina všech „nových“ variant ransomwaru vznikla na základě veřejně dostupného opensourcového kódu. Hackeři neustále vylepšují jak kód svého ransomwaru, tak i šifrování, takže určité druhy ransomwaru se mohou objevit i několikrát po sobě. Jako příklad uveďme ransomware Petna.

Hlavním cílem útočníků je rozšířit ransomware do co nejvíce zařízení a vydělat na něm co nejvíce peněz. Proto tito lidé hledají alternativní způsoby, jak své dílo šířit dál.

essential-guide-ransomware-petya_laptop


Ukázkovým příkladem je ransomware Popcorn Time, který oběť žádá, aby infikovala další dva uživatele. Když oba tito uživatelé zaplatí výkupné, původní oběť dostane své soubory zdarma zpět.

Jak se taková infekce dostane do mého počítače?how_does_my_device_get_infected_with_ransomware

Ransomware na rozdíl od virů dokáže na zařízení zaútočit bez vašeho přičinění. Virus vyžaduje, aby si uživatel stáhl infikovaný soubor nebo aby klikl na infikovaný odkaz. Ransomware naopak umí zranitelný počítač napadnout sám od sebe.

 

  • exploits_avast_orange_iconSady exploitů – útočníci vyvíjejí takzvané sady exploitů. Tyto sady obsahují předem připravený kód, jenž zneužívá chyby zabezpečení popsané výše, jako je EternalBlue. Tyto druh ransomwaru dokáže infikovat jakýkoli síťový počítač se zastaralým softwarem. Jednoho dne zapnete počítač a světe, div se! Všechny vaše soubory jsou uzamčené.

  • Sociální inženýrství – další druhy ransomwaru se snaží váš
    počítač infikovat anti-phishing_avast_orange_iconmetodou „pokus omyl“. Útoky využívající sociální inženýrství (nebo phishing) se vás snaží přimět, abyste si malware stáhli jako soubor v příloze nebo přes webový odkaz. Tyto útoky obvykle mívají formu e-mailu od zdánlivě spolehlivého odesílatele a v příloze obsahují něco, co na první pohled vypadá jako objednávka, účtenka, faktura či důležité upozornění, případně obsahují podobně se tvářící odkaz. Soubory v příloze mohou vypadat jako soubor PDF či dokument aplikace Excel nebo Word, ale ve skutečnosti se jedná o zamaskované spustitelné soubory. Uživatel si stáhne soubor, klikne na něj a začnou se dít nekalé věci. (Někdy se zpočátku neděje vůbec nic. Určité druhy ransomwaru se totiž v počítači na nějakou dobu ukryjí, aby nebylo možné přesně určit, kdy a jak k nim uživatel přišel.)

  • malvertising_avast_orange_iconŠkodlivé reklamy, taktéž malvertising, jsou dalším způsobem šíření malwaru – tentokrát prostřednictvím reklamních sítí. Falešné reklamy se mohou zobrazovat   dokonce na důvěryhodných webových stránkách. A   když na ně uživatel klikne, stáhne si do počítače   ransomware.

Soubory stažené bez vědomí uživatele jsou škodlivé soubory, které si uživatel do počítače stáhne, aniž by se tomu sám přičinil. Některé méně důvěryhodné webové stránky zneužívají chyby v neaktualizovaných prohlížečích či aplikacích a tajně do počítače stahují malware, zatímco si prohlížíte internet.

Pokaždé, když se ransomware spustí v nově napadeném zařízení, obvykle začne měnit soubory (či jejich strukturu) tak, že znovu budou čitelné či použitelné až poté, co je obnovíte do původního stavu. K zabezpečení své komunikace s řídicím počítačem (zařízením, které zločinec používá k ovládání počítače své oběti) používá šifrování. Toto šifrování obsahuje nebo umožňuje získat dešifrovací klíč potřebný k vrácení souborů či souborového systému do původního stavu. 

Jakmile ransomware vaše soubory zašifruje, na obrazovce zobrazí žádost o výkupné, která obsahuje požadovanou částku, způsob převodu peněz či místo, kam je máte převést, a lhůtu, do které tak máte učinit. Když tuto lhůtu nedodržíte, začne požadovat vyšší částku. A když se některý ze zašifrovaných souborů pokusíte otevřít, zobrazí se vám chybová zpráva, že daný soubor je poškozený či neplatný nebo že jej nelze najít.

Jak mohu ransomware odstranit? 

Odstranění samotného ransomwaru není nijak náročné. Pokud jste byli napadeni šifrovacím ransomwarem, ale k počítači se stále dokážete přihlásit, restartujte počítač do nouzového režimu (návod) a malware najděte a smažte pomocí antivirového programu.

Pokud vám ransomware zcela uzamkl počítač, máte na výběr ze tří možností, jak postupovat: můžete přeinstalovat operační systém, můžete z externího či spustitelného disku provést antivirovou kontrolu počítače, případně můžete pomocí nástroje na obnovení systému obnovit Windows do původního stavu před útokem ransomwaru. Jak obnovit systém v počítačích s Windows:

Obnovení systému Windows 7:

  • Při spouštění počítače stiskněte klávesu F8, čímž zobrazíte nabídku Rozšířené možnosti spuštění.
  • Vyberte možnost Opravit tento počítač a stiskněte klávesu Enter.
  • Přihlaste se do Windows pomocí uživatelského jména a hesla. Pokud přihlašovací údaje nepoužíváte, přihlaste se bez nich.
  • Vyberte možnost Obnovení systému.

Obnovení systému Windows 8, 8.1 a 10:

  • Při spouštění počítače držte stisknutou klávesu Shift. Zobrazí se obrazovka obnovení systému (pokud se nezobrazí, restartujte počítač).
  • Vyberte možnost Odstranit potíže.
  • Vyberte možnost Upřesnit možnosti.
  • Vyberte možnost Obnovení systému.

Zařízení s Androidem:
Následující postup je určen pro zařízení s Androidem a jedná se jen o obecné kroky k odstranění malwaru po aktivaci nouzového režimu a odinstalaci podezřelých aplikací.  Tento postup se v závislosti na zařízení může lišit.

  • Spuštění systému Android v nouzovém režimu:
    Najděte tlačítko napájení a stiskněte je a držte několik sekund, dokud se nezobrazí nabídka. Zvolte možnost Vypnout.  Jakmile se otevře dialogové okno s výzvou ke spuštění Androidu v nouzovém režimu, vyberte tuto možnost a stiskněte tlačítko OK. Pokud tento postup nebude fungovat, zařízení vypněte a znovu zapněte. Jakmile se zapne, stiskněte a podržte nabídku, tlačítko snížení hlasitosti, tlačítko zvýšení hlasitosti nebo obě tato tlačítka. Měla by se zobrazit možnost pro přechod do nouzového režimu.
  • Škodlivé a/nebo podezřelé či neznámé aplikace odinstalujte:
    V nouzovém režimu otevřete nastavení. Poté zvolte možnost Aplikace nebo Správce aplikací (záleží na konkrétním zařízení).  Najděte dříve zmiňované podezřelé aplikace a všechny je odinstalujte.

Mac:
Ačkoli ransomware není na Macu tak častou hrozbou, občas se mu nevyhnete. Odstranit jej můžete podobným způsobem přes nouzový režim.

  • Restartujte Mac a přepněte do nouzového režimu. Jakmile uslyšíte tón indikující spouštění, ihned stiskněte a podržte klávesu Shift. Jakmile se zobrazí logo Apple, klávesu Shift uvolněte. Systém Mac OS X se spustí v nouzovém režimu.
  • Odstraňte malware pomocí antivirového softwaru.

Jak mohu své soubory obnovit? how-can_i_recover_my_files_avast_dark_purple_icon

Odstraněním ransomwaru bohužel přístup ke všem svým zašifrovaným souborům nezískáte. Náročnost obnovení vašich dat závisí na úrovni šifrování. Pokud jste byli napadeni jednoduchým ransomwarem, který používá základní šifrování, měl by vám pomoci některý z bezplatných nástrojů na dešifrování ransomwaru od Avastu. Pokud jste však byli napadeni sofistikovanějším šifrovacím ransomwarem, jako je WannaCry, možná už uzamčené soubory zachránit nedokážete.

Asi si teď myslíte, že své soubory nejsnadněji získáte zpět tím, že zaplatíte výkupné. Řada lidí nakonec zaplatí, a proto se ransomware stal mezi malwarovými útočníky tak populární. Dokud bude kybernetickým zločincům vydělávat, budou vymýšlet další.  

Nezapomeňte: Nemáte žádnou záruku, že útočník ve skutečnosti dodrží slovo a po zaplacení vaše soubory dešifruje. Jednoduše může vzít peníze a už se neozve. Případně, když zjistí, že jste ochotní zaplatit, může výkupné náhle zvýšit. A ochota zaplatit z vás činí cíl pro další potenciální útoky.

Některé varianty ransomwaru jsou tak špatně naprogramované, že soubory po zašifrování již není možné obnovit. Jedním z příkladů takového ransomwaru je Petna.  Takže když zaplatíte, nemáte žádnou jistotu, že své soubory ještě někdy uvidíte.

ransomware_protection_avast_dark_purple_icon Ochrana před ransomwarem: Jak  ransomwarovému útoku předejít 

 Před ransomwarovými útoky se nejlépe ochráníte       tak, že jim budete předcházet. Proto se řiďte těmito   radami:

 

1. Aktualizujte operační systém a aplikace.Víme, že všechna ta upozornění na aktualizace Windows obtěžují, ale není radno je ignorovat. (Neignorujte ani aktualizace mobilních zařízení a produktů IoT.) Řada systémových aktualizací obsahuje bezpečnostní opravy, bez nichž by vaše zařízení nebyla dostatečně chráněna. Pokud stále používáte starší operační systém, který už není společností Microsoft podporován (například Windows XP), jste malwarovými útoky ohroženi nejvíce a měli byste zvážit přechod na novější verzi systému.  

Dále je nutné aktualizovat počítačový software, především webové prohlížeče a zásuvné moduly.

2. Zálohujte své soubory.Systém pravidelně zálohujte na externí zařízení – na pevný disk USB, na jednotku NAS nebo do cloudu. Přinejmenším zálohujte alespoň své nejdůležitější a nejcennější soubory, ať jsou chráněny jak před malwarem, tak před selháním pevného disku. Dnešní úložiště dat jsou levná a na trhu je k dispozici spousta různých disků USB či jednotek NAS. Taktéž si můžete vybrat z řady bezplatných cloudových úložišť, jako jsou Dropbox, Disk Google, MEGA nebo OneDrive.

Back up your files diagram

3. Používejte pravidelně aktualizovaný antivirus.Avast nabízí různé programy na ochranu před ransomwarem a dalším malwarem (Avast Free Antivirus je zdarma!). Firmy si mohou pořídit náš nový software Avast Business Endpoint Protection pro ochranu koncových zařízení, který nabízí špičkové zabezpečení dat, zařízení a identity v různých cenových variantách. Poskytovatelům správy IT nabízíme řešení CloudCare, které má toto zabezpečení integrované. Kybernetičtí zločinci svůj malware neustále zdokonalují, ale Avast s nimi drží krok. Proto svůj antivirový software pravidelně aktualizujte.

4. Dávejte si pozor na manipulativní útoky, které zneužívají sociální inženýrství.Možná vám to přijde jako samozřejmost, ale pamatujte si, že odkazy a soubory z neznámých zdrojů byste nikdy neměli otevírat. Pokud obdržíte e-mail s pochybnou přílohou, jednoduše jej neotevírejte a rovnou jej smažte. Pokud odesílatele daného e-mailu znáte, raději si u něj ověřte, zda je příloha pravá. Také si dávejte pozor na zprávy, které se vás snaží přimět, abyste kliknuli na odkaz vedoucí na škodlivé webové stránky. Na takové odkazy můžete narazit v e-mailech, v SMS nebo dokonce na sociálních sítích. A pokud někde zadáváte své osobní údaje, několikrát si překontrolujte, zda daná webová stránka používá protokol HTTPS. Jak to zjistíte? V prohlížeči hledejte symbol zeleného visacího zámku. Podle něj poznáte, že je daný web zabezpečený.