Ransomware

Złośliwe oprogramowanie, które szyfruje pliki ofiary i żąda okupu za ich odblokowanie. Często rozprzestrzenia się przez załączniki e-mail lub podatności w usługach sieciowych.

Ransomware to rodzaj złośliwego oprogramowania (malware), które po przedostaniu się na urządzenie szyfruje Twoje pliki — dokumenty, zdjęcia, bazy danych — a następnie wyświetla żądanie okupu (z ang. ransom) za klucz deszyfrujący. Bez tego klucza dane są praktycznie nie do odzyskania, bo nowoczesne odmiany używają solidnej kryptografii (np. AES do szyfrowania plików i RSA do zabezpieczenia samego klucza). Okup zwykle żądany jest w kryptowalutach, najczęściej Bitcoinie, żeby utrudnić namierzenie odbiorcy.

Jak to działa

Schemat jest niemal zawsze ten sam. Najpierw infekcja — zazwyczaj przez załącznik w mailu phishingowym, link do złośliwej strony, podatną usługę wystawioną do internetu (klasyk: otwarty RDP) albo zainfekowane oprogramowanie. Potem malware skanuje dyski lokalne i udziały sieciowe, szyfruje pliki i podmienia ich rozszerzenia. Na końcu zostawia README.txt albo zmienia tapetę z instrukcją: ile, dokąd i do kiedy zapłacić, zanim klucz „przepadnie”.

Coraz częściej spotkasz tzw. double extortion: zanim cokolwiek zaszyfrują, atakujący najpierw wykradają dane i grożą ich publikacją. Dzięki temu nawet firma z dobrym backupem ma motywację do zapłaty — backup odtworzysz, ale wycieku już nie cofniesz. Cały ten biznes działa dziś modelowo jako RaaS (Ransomware-as-a-Service): jedni piszą malware, inni je „wynajmują” i dzielą się okupem.

Przykład z praktyki

Najgłośniejszy przypadek to WannaCry z maja 2017 roku — zaszyfrował ponad 200 tysięcy maszyn w ~150 krajach, m.in. komputery brytyjskiego NHS. Rozprzestrzeniał się sam jak robak, wykorzystując exploit EternalBlue w protokole SMBv1 Windows. Microsoft załatał tę dziurę (biuletyn MS17-010) kilka tygodni wcześniej, więc ofiarami padły głównie systemy bez aktualizacji. Morał jest brutalnie prosty: niezałatany, wystawiony do sieci serwer to zaproszenie.

Częste błędy i mity

  • „Zapłacę i odzyskam dane” — niekoniecznie. Część ofiar po przelewie nie dostaje działającego klucza, a sam fakt zapłaty maluje Ci cel na plecach na przyszłość.
  • „Mam backup, jestem bezpieczny” — tylko jeśli backup jest offline lub niezmienny (immutable). Kopia podłączona do sieci zostanie zaszyfrowana razem z resztą.
  • Antywirus mnie obroni” — pomaga, ale liczy się higiena: aktualizacje, MFA, segmentacja sieci, ograniczenie RDP i czujność na phishing.

Jeśli już dojdzie do infekcji, najpierw odłącz maszynę od sieci, a dopiero potem działaj. Czasem da się odzyskać dane bez płacenia — projekt No More Ransom udostępnia darmowe dekryptory dla wielu znanych odmian.

Pojęcia powiązane: malware, phishing, szyfrowanie (AES, RSA), backup, EternalBlue, exploit, kryptowaluty, RaaS, double extortion.