Proti ransomvéru krok za krokom

FOTO: flickr.com/Christiaan Colen

Ryuk, Djvu, Maze, DoppelPaymer, CryptoLocker, Avaddon, Sodinokibi, GandCrab… v posledných rokoch sa ako keby s týmito škodlivým programami roztrhlo vrece. Najprv vám zašifrujú súbory na disku a následne od vás žiadajú peniaze. Pre prevádzkovateľov týchto ransomvérov je samozrejme oveľa výhodnejšie zaútočiť na súkromné firmy, ktoré si môžu v krajnom prípade dovoliť zaplatiť požadovanú sumu za dešifrovanie. To však ale neznamená, že táto hrozba obchádza bežných používateľov. Práve naopak. Tým vie spôsobiť ešte väčšie škody.

Keď som bol šéfredaktorom kyberbezpečnostného portálu, obrátili sa na nás dvaja čitatelia so žiadosťou o pomoc. V prvom prípade písala manželka obete. Jej muž si vraj stiahol z torrentu pirátsku verziu nejakého grafického programu. Ale len čo ho nainštaloval, všetky súbory na disku sa zrazu prepísali a dostali príponu .mosk. V druhom prípade nám napísal pán s podobným problémom. Z neznámeho dôvodu vyhľadával na internete pomoc hekerov, od ktorých by si mohol zakúpiť nejaký malvér. Keď však zaň zaplatil a stiahol si ovládací nástroj do počítača, obratom sa mu po jeho spustení prepísali všetky súbory a dostali príponu .moka.

Na otázku „čo s tým?“ som sa automaticky opýtal či si niekto z nich robil pravidelne zálohy. Odpoveď mi bola vopred jasná, a tak som začal pátrať po alternatívnom riešení. Dopracoval som sa k tomu, že v oboch prípadoch šlo o ransomvér STOP/Djvu. Staršie verzie tohto malvéru už boli „rozlúsknuté“ a dešifrovacie kľúče k ním boli voľne dostupné v nástroji od Emsisoftu. Nanešťastie pre oboch čitateľov, ich verzie však patrili medzi tie nové, ktoré kolovali po internete len pár týždňov a ktoré šifrovali súbory tzv. online kľúčom. Nakoľko bol tento kľúč jedinečný pre každú obeť, neexistovalo žiadne univerzálne riešenie, ktoré by im pomohlo. Teda až na jedno – zaplatiť výkupné.

Napriek tomu, že sa všeobecne neodporúča pristúpiť kyberzločincom na ich hru, tento ransomvér na rozdiel od niektorých iných skutočne odovzdal dešifrovací kľúč po zaplatení požadovanej sumy. Oboch som preto oboznámil s touto možnosťou a odkázal ich ešte na Národné centrum kybernetickej bezpečnosti SK-CERT. Mnohí odborníci možno pretočia očami, keď si prečítajú o tejto rade. Existoval ale preto dôvod.

Ak ste sa na začiatku samých seba v duchu opýtali, prečo nám napísala manželka obete a nie obeť samotná, bolo to preto, že medzi zašifrovanými súbormi na ich počítači sa nachádzali aj fotografie ich dvojročnej dcéry. A to nielen tie nové. Ale všetky fotografie od pôrodnice až po jej druhé narodeniny. Neviem ako celý prípad dopadol, pretože čitateľka nám už po oboznámení sa so situáciou neodpísala. Predstavte si ale samých seba v jej zúfalej situácií, kedy sa musíte rozhodnúť či radšej nadobro stratíte cenné súbory, alebo zaplatíte 300 dolárov za ich sprístupnenie.

V tomto texte preto rozoberiem pár rád a tipov ako minimalizovať riziko takéhoto scenára a ako naň prípadne zareagovať.

Prevencia

Čo sa týka prevencie, nič nezaberá na ransomvér lepšie ako záloha súborov. Offline záloha vás vyjde jednorazovo na zhruba 60 eur za klasický externý HDD disk s kapacitou 1 terabyte, prípadne 80 eur za rýchlejší SSD disk s kapacitou 500 gigabytov. Prirátajte k tomu pár minút do týždňa strávených nad kopírovaním súborov a máte polovicu práce hotovú. Alternatívne môžete využiť online zálohy pomocou rôznych cloudových úložísk ako IDrive a BackBlaze. Ich výhodou je automatické zálohovanie v reálnom čase na pozadí. Inak povedané, zálohujete bez toho, aby ste o tom vedeli. DropBox, Google Drive alebo OneDrive poslúžia pre tento účel rovnako, avšak zálohovať musíte už ručne. Táto forma zálohy vás vyjde na pár eur mesačne.

Či už ale zvažujete offline alebo online zálohu, v oboch prípadoch si položte otázku, čo všetko potrebujete zálohovať. Určite nepotrebujete kópiu celého disku vášho počítača so všetkými systémovými súbormi a ani inými súbormi, ktoré si viete opätovne stiahnuť z internetu. Prvoradá je záloha pracovných a osobných dokumentov, ktorých veľkosť už viete odhadnúť najlepšie vy sami.

Druhým nástrojom by mala byť antivírusová ochrana. Nie žeby šlo o zaručený spôsob ako sa vyhnúť ransomvéru, ale prinajmenšom vie včas detegovať známe verzie takýchto škodlivých programov. Všeobecne vzaté, ide o nástroje, ktoré poskytujú komplexné riešenia pre bežných používateľov, a preto by mali byť povinnou výbavou vášho zariadenia, nech sa už chcete chrániť pred akýmkoľvek malvérom. Ročná licencia vás vyjde na zhruba 50 eur.

Tieto technologické opatrenia sú ale len poslednou zábranou a ich účinnosť závisí len a len od toho, aké máte bezpečnostné návyky. Ako v prípade vyššie zmienených čitateľov, ak nezálohujete, ak vyhľadávate pomoc tam, kde netreba, alebo ak sťahujete pofiderné programy a aplikácie, ste na najlepšej ceste zaradiť sa na dlhý zoznam obetí ransomvéru. Ďalším zaručeným spôsobom ako oplakať stratené súbory alebo peniaze minuté za výkupné sú prílohy z podvodných, phishingových e-mailov. Preto je treba, aby ste kybernetickú hygienu dodržiavali rovnako prísne, ako tú svoju.

Summa summarum, na ochranu pred ransomvérom, ale aj inými malvérmi, vám postačí aj zhruba 50 až 100 eur ročne v závislosti od toho, na koľko si vážite svoj digitálny život. Ak ale chcete tieto náklady ešte viac minimalizovať, musíte začať dodržiavať rady odborníkov ohľadom bezpečného správania sa na internete. V každom prípade, takáto investícia je oveľa rozumnejšia než platiť trojnásobok toho za zašifrované súbory, ktoré sa vám aj tak nemusia vrátiť späť.

Reakcia

Nasledujúci scenár je určený pre tých, ktorí sa dostali do tejto nepríjemnej situácie a nedisponujú žiadnou zálohou. Ako prvú pomoc odporúčam portál NoMoreRansom.org, ktorý založila Národná jednotka holandskej polície pre High Tech kriminalitu, Európske centrum pre boj proti počítačovej kriminalite Europol a spoločnosti Kaspersky a McAfee. Portál je celý preložený do slovenčiny a nájdete na ňom nástroj menom Krypto šerif, ktorý vám pomôže určiť typ ransomvéru. Stačí len nahrať zašifrovaný súbor z vášho počítača a on vyhľadá dešifrovací nástroj.

Nie každý šifrovací mechanizmu je však prelomený a nie každý „dekryptor“ sa nachádza na tomto portáli. Spoločnosti ako Kaspersky, Emsisoft či Avast neustále pracujú na lámaní ďalších a svoje vlastné dešifrovacie nástroje následne ponúkajú na svojich stránkach. Pokiaľ teda Krypto šerif nepomôže, skúste sa poobhliadnuť po iných takýchto riešeniach u renomovaných firiem. Nečakajte však, že vám ich forenzné tímy prelomia ransomvér na požiadanie.

Ak si ale neviete dať rady svojpomocne, obráťte sa na odborníkov. Napríklad, na portáli Preventista.sk nájdete poradňu, kde vám určite radi pomôžu s postupom. Rovnako tak sa môžete obrátiť na Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré by o tomto incidente malo za každých okolností vedieť. Jedným z pretrvávajúcich problémov kybernetickej bezpečnosti na Slovensku je totiž nedostatočné hlásenie kybernetických incidentov. Informácie o tom, odkiaľ ste a z ktorej stránky ste si stiahli pofiderný program alebo kto vám zaslal infikovanú prílohu pomôžu jednak zastaviť šíriteľa ransomvéru, a jednak zacieliť osvetové kampane o kybernetickej bezpečnosti do postihnutých regiónov. Možno tak pomôžete niekomu z vášho okolia vyhnúť sa podobným nepríjemnostiam.

Jedným z posledných riešení by malo byť zaplatenie výkupného. Táto možnosť sa ale neodporúča z dvoch dôvodov. Na jednej strane tým podporujete a motivujete kyberzločincov k ďalším útokom. Na strane druhej nemáte záruku, že po zaplatení obdržíte dešifrovací kľúč. Nakoniec tak môžete stratiť nielen súbory, ale aj peniaze. Pokiaľ teda nemáte pár stoviek eur, ktoré si môžete dovoliť vyhodiť len tak oknom, skúste radšej nejakú tú chvíľu počkať. Dešifrovacie nástroje postupne pribúdajú a možno o pár mesiacov príde na rad aj ten váš.

Článok bol pôvodne uverejnený na Preventista.sk.