Bezpečné chování vás ochrání i před ransomwarem

V polovině května rezonovaly mediálním prostorem útoky na počítačové systémy po celém světě. Zasažené byly nemocnice, úřady státní správy, výrobní závody a další organizace ve více než 150 zemích včetně Česka a Slovenska. Škody způsobené tímto útokem se odhadují na více než čtyři miliardy amerických dolarů. Jejich společným jmenovatelem bylo použití ransomwaru WannaCry. Další podobný virus označovaný zatím Win32/Diskcoder.C Trojan, v posledních hodinách zasáhl především na Ukrajinu, ale i na další země východní a střední Evropy.

Ransomware je typ počítačového viru, který po úspěšném napadení počítače zašifruje soubory na disku a za jejich dešifrování požaduje určitý finanční obnos (výkupné, anglicky ransom) pohybující se běžně ve stovkách amerických dolarů, které se může navíc zvyšovat, když oběť nepošle peníze včas. Když takový virus napadne systém, který obsahuje důležitá data, je velká pravděpodobnost, že oběť danou částku zaplatí, aby o ně nepřišla. To dělá z ransomwaru velmi rozšířený typ útoku, který mezi kyberzločinci nabírá na popularitě.

Velmi častým způsobem šíření ransomwaru jsou různé spamové e-maily, které se vydávají za faktury, oznámení o doručení zásilky, pracovní nabídky a podobně. Tyto e-maily v příloze obsahují soubory, které vypadají jako dokumenty, dokonce v nich po otevření může být i nějaký text.

Ve skutečnosti však jde o soubor speciálně upravený tak, aby zneužil nějakou zranitelnost systému nebo se hned spustil a daný virus do počítače nainstaloval. Při tomto způsobu je tedy potřebná lidská interakce a většina těchto e-mailů je velmi lehce rozpoznatelná, takže nedojde k nákaze.

Proč tedy došlo k tak velkému rozšíření WannaCry? Hlavní příčinou byl inovativní přístup útočníků, kteří k jeho šíření nepoužili klasické metody, ale svůj virus spojili s jiným škodlivým softwarem, tzv. EternalBlue, který se dokáže samostatně šířit v síti pomocí zneužití zranitelnosti starších a neaktualizovaných verzí OS Windows. V praxi to tedy znamenalo, že útočníkům stačilo nakazit pár počítačů, z nichž se ransomware samostatně rozšířil po celém světě.

Při ochraně proti tomuto typu útoku je absolutním základem prevence: v prvé řadě zodpovědné chování na internetu a při používaní e-mailu, používání spolehlivého antiviru a pravidelné aktualizace operačního systému a používaných programů. Tímto způsobem bylo možné předejít i WannaCry, protože chyba v programu zneužitá k jeho šíření byla opravená v aktualizacích operačního systému Windows z března 2017.

Když už dojde k nákaze počítače ransomwarem, tak nejspolehlivější záchranou jsou pravidelné zálohy, z nichž je možné data obnovit. Někdy se může stát, že bezpečnostní výzkumníci objeví způsob, jak data dešifrovat i bez zaplacení, na to se ale nedá spoléhat.

Jako účinná ochrana proti ransomwaru mohou zapůsobit i běžné bezpečnostní techniky používané především ve větších sítích, které spočívají například v detekci nebezpečných příchozích e-mailových zpráv nebo blokovaní nebezpečné síťové komunikace.

Díky kombinaci uvedených technik je i síť Masarykovy univerzity dobře zabezpečená vůči ransomwaru a jiným útokům, o čemž svědčí fakt, že bezpečnostní tým nezaznamenal žádný případ nákazy virem WannaCry. Kontinuálně také pracujeme na tom, aby síť MU měla kvalitní zabezpečení, na které se můžou uživatelé spolehnout.

Autor je odborníkem z bezpečnostního týmu CSIRT-MU

Masarykova univerzita | Masaryk university