Úvodní stránka

Logo NÚKIB

Po velkých kampaních z roku 2017 jako WannaCry, NotPetya nebo Bad Rabbit se pojem ransomware nevyskytuje s takovou frekvencí, nicméně tato hrozba je stále aktuální a velmi aktivní.

Popis

Ransomware je druh škodlivého programu, který po nakažení počítače zašifruje přítomné soubory nebo části disku s cílem způsobit škodu uživateli. Od oběti potom požaduje výkupné („ransom“) za poskytnutí klíče pro dešifrování souborů.

Ransomware kromě lokálních souborů cílí i na připojené disky, což je problematické zejména v případě, kdy jsou tyto disky používány pro zálohování. Aby zamezil možnosti obnovení zašifrovaných souborů, maže také tzv. stínové kopie („Shadow Copies“). Stínové kopie jsou kopie běžných souborů, které operační systém Windows uchovává jako zálohu pro možnost obnovy starší verze souboru.

Ransomware se nejčastěji šíří prostřednictvím e-mailových příloh, obvykle se jedná o dokumenty Microsoft Office. Pro stažení a spuštění ransomwaru jsou využívána makra v těchto dokumentech v kombinaci se sociálním inženýrstvím, které má za cíl přesvědčit oběť k povolení zmíněných maker. Další způsob, jakým ransomware může napadnout počítač, je pomocí Služby vzdálené plochy a to zejména v případě, kdy není využito dostatečně silné heslo pro přihlášení.

Seznam způsobů šíření není kompletní, byly pozorovány další techniky, např. šíření pomocí „exploit kitu“ – ransomware GrandCrab, pomocí zranitelnosti –ransomware WannaCry a zranitelnost EternalBlue).

Obrana

Nejúčinnější obranou před ransomwarem je prevence ve formě pravidelných a otestovaných záloh systému, které nejsou online dostupné (aby nedošlo k jejich zašifrování po nákaze).

Mezi další možnosti, jak se bránit, patří:

  • Udržovat aktuální antivirový software včetně pravidelných aktualizací signatur.
  • Poučit uživatele o této hrozbě a zdůraznit obezřetnost při práci s e-maily.
  • Opatrně zacházet s makry v Microsoft Office dokumentech. Doporučujeme makra nepovolovat, pokud to není bezpodmínečně nutné.
  • Zabezpečit Službu vzdálené plochy. Doporučujeme tuto službu zakázat, pokud není vyžadována. Tam, kde ji není možné zakázat, vynutit silná hesla a využívat dvoufaktorovou autentizaci, z veřejné sítě přistupovat prostřednictvím VPN. Silné heslo je vhodné doplnit mechanismem, který znemožní provedení útoku na heslo (hádání hrubou silou nebo slovníkový útok), např. nastavením „Account Lockout Policy“.
  • Samozřejmě v neposlední řadě udržovat systémy a software aktuální.

Odkazy

https://www.nomoreransom.org/en/index.html

https://id-ransomware.malwarehunterteam.com/