Hlavní navigace

Co dělat, když mám v počítači ransomware? Zaplatit, či bojovat?

CSIRT.CZ

Vypnout počítač, nebo jej naopak nechat běžet? Smířit se se ztrátou dat, nebo doufat v jejich návrat? A kde hledat radu či pomoc?

V minulém dílu našeho seriálu o ransomwaru jsme probrali jeho historii. Podívali jsme se na první zdokumentovaný a poměrně bizarní případ vyděračského malwaru, trojana AIDS, a pokračovali přes přechod k asymetrické kryptografii a severským bohům až k aktuálním hrozbám. 

Tentokrát se podíváme, jak taková nákaza vlastně probíhá. Útočníci často využívají nezáplatovaných chyb v operačním systému či prohlížeči. Kromě toho ale také zneužívají zvídavost či důvěřivost uživatelů, kteří jsou schopní otevřít téměř jakoukoli přílohu e-mailu. Nutno podotknout, že techniky, jak je k tomu přimět, značně pokročily a můžou zmást i zkušenější uživatele.

Jak se tedy uživatel či firma můžou stát obětí ransomwaru? Co se s tím dá dělat? A jaké poučení si můžeme vzít z příběhů, které se skutečně staly?

Check Point

Check Point Software Technologies Ltd. je největší celosvětový dodavatel čistě bezpečnostních řešení. Chrání zákazníky před kyberútoky prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru a jiných typů útoků. Check Point nabízí kompletní bezpečnostní architekturu, která chrání vše od podnikových sítí až po mobilní zařízení, a navíc Check Point poskytuje i nejkomplexnější a nejintuitivnější správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí. Ve společnosti Check Point zabezpečujeme budoucnost.

Check Point Software Technologies Ltd., hlavní partner speciálu o ransomwaru.

Jak chytit ransomware

K nákaze může dojít velice snadno. Stačí například otevřít škodlivý .pdf soubor z přílohy e-mailu, prezentaci nebo dokument (a povolit makra) a je vymalováno. Makro v dokumentu po jeho otevření zařídí stažení a spuštění hlavní části ransomwaru, která následně zašifruje soubory a zobrazí varovnou hlášku.


Autor: Avast

Jakmile se malwaru podaří přesvědčit uživatele, aby makra povolil, zařídí si automatické spouštění scriptů

Tedy aspoň tak tomu bylo do příchodu malwaru WannaCry. Ten rozšířil možnosti ransomwaru o samovolné šíření internetem a napadání dalších počítačů využitím exploitu EternalBlue. Samovolným šířením je zde myšleno chování podobné síťovému červu. To znamená, že po infikování jednoho počítače dál pokračuje hledáním dalšího počítače se stejnou zranitelností přístupného v lokální síti či na internetu. 

Dalšími možnými zdroji nákazy jsou webové stránky zneužité k šíření malwaru. Někdy se na ně uživatel dostane přes phishingový odkaz, reklamu, ale jindy bohužel stačí pouze navštívit oblíbenou webovou stránku. Útočníci se totiž snaží vyhledávat na internetu špatně zabezpečené stránky, které pak zneužívají k dalším útokům na uživatele. 

V CSIRT.CZ máme s tímto typem útoků značné zkušenosti a snažíme se je eliminovat jak rychlou reakcí v případě, kdy už došlo k napadení webu, tak také prevencí. Cílem takto zneužitých webových stránek je obvykle využít chyby v prohlížeči či v některém z doplňků a infikovat tak počítač.

Občas se ale objeví i trochu exotičtější způsoby infikování ransomwarem. V minulosti jsme zaznamenali třeba webový server, který sloužil k uploadování souborů od uživatelů pohybujících se mimo firmu. Útočníci ale dokázali ransomware na server dostat přes zranitelnost webové aplikace a spustit jej s oprávněními na úrovni webové služby (Apache). To jim stačilo k zašifrování uploadovaných souborů. 

Mezi další méně obvyklé způsoby patřila kampaň s šířením ransomwaru přes vzdálenou plochu (remote desktop) na servery s MS Windows, nebo kampaň, při které se ransomware šířil přes TeamViewer.

Bez ohledu na to, jak k prvotní infekci dojde, bývá již další část scénáře stejná. Škodlivý kód (nazývaný také downloader) spuštěný na čerstvě infikovaném počítači stáhne nejnovější verzi cryptoru (jedná se o binární spustitelný soubor) a spustí ji. Cryptor má na starost zašifrování souborů. 

Co v takovém případě dělat

Pokud nepatříte mezi subjekty, které musí (např. podle zákona o kybernetické bezpečnosti či vnitrofiremních směrnic) nebo by měly takový incident nahlásit/vyšetřit, je účinné disk zformátovat, přeinstalovat celý počítač a data obnovit ze záloh. 

Tento postup je sice spolehlivý, ale ne vždy nejlepší. Zašifrovaná data se vám totiž mohou později hodit – někdy totiž existuje šance na jejich záchranu. Každopádně čerstvá instalace na čistý disk nám zajistí, že se ransomware, či dokonce jiný druh malwaru, neschová v jiných souborech – ať už dalších dokumentech, spustitelných souborech či titulcích k filmům (pravda – i tak zbývá možnost, že se usídlí v paměti pro BIOS/firmware/EFI, ale to už jsou opravdu velmi sofistikované útoky). 


Autor: Payload Security

Jak vypadá hlášení, když už se ransomware v počítači uhnízdil a zašifroval soubory (příklad malwaru Locky)

Dobrých rad je dost, ale vždy se odvíjejí od konkrétního typu ransomwaru. V některých případech se doporučuje počítač vůbec nevypínat, protože je možné získat šifrovací klíče z paměti počítače a s jejich pomocí pak snadno dešifrovat zašifrovaná data. V jiných případech se naopak doporučuje počítač co nejdříve vypnout, než ransomware stihne zašifrovat všechna data. 

Tento postup ale zase nemá vliv na ty typy ransomwaru, které varovnou hlášku zobrazí až po zašifrování všech dat, navíc to může mít nepředvídatelný dopad na ransomware napadající MBR. 

Konkrétním takovým případem je například WannaCry, který nešifrované soubory důkladně nemaže (tedy nepřepisuje jejich obsah například náhodnými daty v některých složkách), což umožňuje jejich opětovné získání pomocí nástrojů na obnovu dat. 

Případ WannaCry 

Ransomware WannaCry byl poprvé detekován 12. května, kdy zasáhl několik důležitých společností. Byl prvním významným ransomwarem se schopností se samovolně šířit po internetu a počet nakažených strojů rostl velmi rychle. Šíření bylo nakonec zastaveno zaregistrováním domény, jejíž neexistenci ransomware kontroloval. Ale během šíření se stalo mnohé. Malware například napadl 48 nemocnic ve Velké Británii, španělského telefonního giganta O2 a další velké společnosti, jako jsou Renault, Deutche Bahn, FedEx, Nissan, Hitachi a další. Celou tu spoušť způsobilo několik faktorů. V prvé řadě šlo o dubnový únik sady exploitů používaných americkou NSA, mezi nimiž byl i EternalBlue. Právě ten pak ransomware WannaCry využil. Přičemž právě na tuto zranitelnost, kterou EternalBlue zneužíval, vydal Microsoft záplatu již 14. března, tedy o celý měsíc před únikem exploitů. Jenže společnosti, které útokům podlehly, tuto aktualizaci ani dva měsíce po jejím vydání nenasadily.

Dalším takovým případem je Linux.Encoder.1, který při generování AES klíčů pro šifrování souboru používá náhodný generátor odvozený od aktuálního času. Díky analýze a nástroji společnosti BitDefender, tak bylo možné data dešifrovat, za podmínky, že nedošlo ke změně data a času vytvoření souboru.

Vzhledem k tomu, že vývojáři ransomwarů stále pokračují ve svém úsilí a učí se ze svých vlastních chyb (dnes již například obvykle zobrazují žádost o výkupné až po zašifrování všech souborů), každá dobře míněná rada časem zastará a může být spíše na škodu. Podstatné je tedy zjistit, o jaký ransomware se jedná, a pokusit se najít řešení, které se na tento konkrétní typ vztahuje.

K tomuto účelu se hodí například služba ID-ransomware. Tento web se zabývá identifikací konkrétního ransomwaru na základě dat, která uživatel nahraje. V tuto chvíli rozpoznává 440 různých variant ransomwaru podle uživatelem poskytnutého zašifrovaného souboru, kontaktního e-mailu, odkazů nebo textu zobrazeného vyděračského hlášení.

Pokud k dotyčnému typu v danou chvíli neexistuje žádné řešení, můžeme stále doufat, že se objeví později. Pokud o zašifrované soubory stojíte, zálohujte si tedy jak výpis operační paměti (dump), tak bitovou kopii disku. Z dnešního hlediska se jedná o nejlepší možné řešení, ale uvidíme, co přijde v budoucnu.

Nástroje na odstranění ransomwaru

Antivirové společnosti často nabízejí zdarma nástroje na odstranění ransomwaru. Pokud nemáme tu čest s úplně novým vzorkem, na který ještě nástroj neexistuje, jedná se o dobré, rychlé a levné řešení, jak se ransomwaru zbavit. Takový nástroj nás ale obvykle „jen“ zbaví nákazy, na disku však zůstává směs souborů s „náhodně vypadajícím obsahem“. Naštěstí i na to existují nástroje, které nám mohou pomoci.

Jsou jimi tzv. decryptory, které umí zašifrovaná data dešifrovat. K tomu využívají buď známou chybu v implementaci ransomwaru, nebo známé klíče konkrétního typu ransomwaru. Nejvíce se touto možností zabývá iniciativa nomoreransom.org, v níž antivirové a jiné společnosti zabývající se bezpečností informačních systémů spojily své síly, aby proti ransomwaru bojovaly. 

Mezi zakládající partnery patří například Europol, Kaspersky Labs a Intel a mezi členy dále patří například Interpol či Eset. Tato iniciativa poskytuje nástroje na dešifrováním souborů, ale i rady pro uživatele, jak napadení předcházet a minimalizovat jeho dopady.

Vyplatí se zaplatit?

To je spíše manažerské rozhodnutí. Na jedné misce vah je cena výpalného a sázka na to, zda útočník opravdu pošle dešifrovací klíče, na straně druhé je cena obnovení ze záloh (např. čas technika) a cena ztracené, nezazálohované práce. 

Kromě toho je třeba mít na paměti, že zaplacením vlastně útočníky financujeme a podporujeme jejich práci na dost možná ještě sofistikovanějších útocích. Názor oběti se však může rychle změnit v závislosti na situaci.

V Česku tak víme o případu napadení serveru, kdy se oběť rozhodla výkupné zaplatit (právě z ekonomických důvodů) a měla to štěstí, že data získala zpět. Jen o několik dní později však společnost BitDefender uvolnila decryptor. Nicméně se jednalo zrovna o případ, kdy by se oběti čekání nevyplatilo – rychlé navrácení dat pro ni mělo zásadní hodnotu.

Ransomware v České republice

Ale existují i pozitivní tuzemské příběhy. Třeba že se ransomware neujal, protože na počítači běžely 32bitové Windows a cryptor byl zkompilován pro 64bitovu verzi. Další, trochu smutnější příběh začal telefonem externímu IT pracovníkovi, že jednu firmu napadl ransomware a zašifroval všechna data. Než se tam dostal, přišel druhý telefonát, že byla firma napadena znovu a soubory byly zašifrovány ještě jednou. Na pozdější nákazu sice již existoval decryptor, ale po prvním dešifrování byly pochopitelně získány pouze soubory zašifrované nákazou první. Na tu už decryptor v danou chvíli neexistoval.

Známe i případ, kdy ransomware zašifroval všechny soubory, včetně záloh na sdíleném disku. Takže lze jedině doporučit, abyste měli navíc offline zálohu dat. Zůstanou vám tak nezasažená aspoň data, které v danou chvíli nejsou připojená k systému.

Co se zahraničí týče, článek od společnosti Telstra (PDF) uvádí, že v Austrálii zaplatilo 57 % napadených společností a pouze dvě třetiny z nich dostaly svá data zpět. A to se dá mluvit celkem o štěstí. Při nedávném útoku Petya/NotPetya se nakonec ukázalo, že data nemohl zpět dostat nikdo

Víme také o případu z Česka, kdy útočníci po zaplacení poslali klíč i nástroj k dešifrování, bohužel byl ale nástroj vadný, nefungoval tak, jak měl, a při dešifrování více souborů vznikla další nesmyslná změť dat. V tomto případě se naštěstí přišlo na to, že dešifrování funguje, pokud se nástroj pouští na soubory postupně. Firmu tehdy zachránilo, že jim někdo doporučil si před prvním pokusem o dešifrování raději udělat zálohu zašifrovaných dat. 

KL17-nominace

Na závěr nezbývá než popřát hodně štěstí, ať vás nákaza ransomwarem nepotká. A pokud ano, tak nechť jsou následky co možná nejmenší.

A co vy? Máte nějaké příběhy, o které byste se chtěli podělit v komentářích?
V příštím díle probereme možnosti, jak se proti ransomwaru bránit.

Našli jste v článku chybu?