Jak se vypořádat s šifrovacími viry?

Jak se vypořádat s šifrovacími viry?

Představte si, že přijdete ráno do práce, pustíte počítač a chcete začít pracovat. Poštovní klient Vám oznámí, že nemůže otevřít datový soubor. Zkusíte otevřít dokument s rozpracovaným projektem a ten také nejde otevřít. Podíváte se do složky s Vašimi dokumenty a zjistíte, že všechny soubory mají nějakou podezřelou příponu (např. .VVV, .LOCKY, .CERBER) a otevřít nejde žádný z nich. Nakonec najdete jediný soubor, který jde otevřít a v něm například hlášku: „Soubory na tomto počítači jsou bohužel zašifrovány. Máte 96 hodin na zaslání platby za dešifrovací klíče, jinak budou Vaše soubory zničeny. ”. Včetně instrukcí k platbě, často v BitCoinech a s cenou, která přesahuje desítky tisíc korun.
Zrovna jste se tváří v tvář seznámili se šifrovacím virem…
Šifrovací virus je zatím asi nejošklivější bratříček z rodiny RansomWare (ransom = výkupné). Tento článek píšu proto, abyste v takovém případě nepropadli panice, věděli, že existují řešení a hlavně nemuseli zavřít krám…
 

 
How to fight ransomware - CryptoLocker

Krátká statistika úvodem

Podle informací z webu barkly.com jsou statistiky ohledně ransomeware v roce 2016 následující:

  • Napadení pomocí ransomware řešilo v posledních 12 měsících 47% organizací.
  • Podle FBI bylo v USA v prvním kvartále 2016 zaplaceno na výkupném 209 milionů USD.
  • Průměrné výkupné v roce 2016 stouplo na 679 USD (přibližně 17 000 Kč).
  • Zaplacené výkupné ve známých případech dosahovalo až 20 000 USD (přibližně 504 000 Kč).
  • Před napadením bylo 81% IT profesionálů přesvědčeno, že jsou schopni obnovit veškerá data.
  • Pouze 42% IT profesionálů bylo po napadení opravdu schopno veškerá data obnovit.
  • Do cíle se 59% šifrovacích virů dostalo e-mailem pomocí zaslaného odkazu nebo přílohy.
  • 24% virů pocházelo webových stránek.

 

Jak se bránit?

Je mi jasné, že většina lidí čte tento a podobné články ve chvíli, kdy zrovna zjistili, že mají zašifrovaná data a hledají, jak z toho ven. Stejně musím začít tím, co je v celé této záležitosti nejdůležitější – Prevence.
Prevence v tomto případě musí být zajištěna komplexem různých opatření. Dobrá zpráva ale je, že tato opatření Vám pomůžou i v mnoha jiných případech, kdy jsou Vaše data ohrožena (výpadek HW, smazání dat, cílený útok, …). Takže jak na to?

  • Proškolte uživatele ohledně rizik na Internetu

    správně proškolení uživatelé jsou pozorní na podezřelé e-maily, neklikají na každý odkaz, který dostanou. Podívejte se ještě jednou na předchozí statistiku – 59% napadení přišlo e-mailem, 24% z webových stránek. To je 83% napadení, kterým mohl uživatel zabránit. Doporučuji školit v těchto oblastech:

    • co je Phishing,
    • jak vypadají podvodné e-maily a webové stránky,
    • k čemu slouží aktualizace operačního systému a aplikací
  • Mějte vždy aktuální Antivirový program

    šifrovací viry se do počítače dostávají obdobnými cestami, jako jakýkoli jiný škodlivý program a kvalitní antivirus může hodně pomoct.

  • Mějte vždy aktualizovaný operační systém

    aktualizace řeší především opravy různých zranitelností systému a jeho bezpečnostních děr, které jsou (nejen) šifrovacími viry zneužívány.

  • Používejte nejnižší nutná práva

    šifrovací virus zasáhne jen ta data, ke kterým máte přístup jako uživatel. Pokud se přihlašujete k počítači s administrátorskými právy a máte připojená všechna datová úložiště z celé vaší firemní sítě, zásah viru bude pro firmu ochromující.

  • Kontrolujte, že jsou Vaše soubory v pořádku

    některé šifrovací viry pracují po napadení počítače co nejrychleji, během pár minut mohou zašifrovat všechna dostupná data. Jiné naopak postupují pomalu a denně zašifrují jen pár souborů. Bez povšimnutí tak mohou v síti existovat týdny, než někdo poprvé narazí na zašifrovaný soubor. Obnova souborů ze zálohy pak zabere enormní množství času, kdy je třeba prohledávat zálohy den po dni a pátrat, kdy byl naposledy zálohována správná verze souboru.

  • Prověřte Váš systém zálohování

    • Doporučuji zálohovat alespoň tímto způsobem:
      • Týdně vytvářejte kompletní zálohu důležitých dat (tzv. Full backup) a bezpečně skladujte tyto zálohy alespoň po dobu několika týdnů.
      • Denně vytvářejte rozdílové zálohy (co se změnilo od poslední kompletní zálohy) a mějte je k dispozici alespoň za poslední týden. Tak budete schopni se „vrátit v čase“ ke kterémukoli dni v posledním týdnu s využitím dvou záloh – to znamená, že obnovou dat nebude nutné trávit mnoho času.
    • Prověřujte obnovitelnost záloh – nespoléhejte na to, že Vám software pro zálohování dat korektně funguje. Jednou za čas otestujte, že alespoň Vaše kritická data je možné obnovit a po obnově správně použít.
    • Připravte si alespoň základní plán obnovy dat – mějte připravený postup, jak data ze záloh obnovit. Takový postup by měl obsahovat tyto informace:
      • kde jsou zálohy uloženy,
      • jaký SW nebo HW potřebujete k jejich obnovení,
      • přístupové údaje k zálohám,
      • jak najít zálohu vytvořenou ke konkrétnímu datu,
      • kam se mají data obnovit,
      • jak se mají obnovit (např. jak obnovit databázi na serveru s účetnictvím),
      • jak ověřit, že po obnově všechno správně funguje.
    • Prověřte, kam se zálohy ukládají
      • Zálohy dat, které jsou dostupné ve Vaší síti, mohou být dosažitelné šifrovacím virem a mohou být nakonec zašifrovány stejně jako Vaše dokumenty. Ověřte si, že zálohy jsou na místě, které není běžným způsobem dostupné.
      • Zálohování do cloudového úložiště (např. DropBox, GoogleDisc, …) je běžně nastaveno jenom jako synchronizace dat. To znamená, že jsou všechny změny v datech okamžitě přenášeny do cloudu, a to včetně jejich smazání, zašifrování atp. Cloudové úložiště je určitě vhodným místem, kam můžete zálohy ukládat, ale je třeba tomu proces zálohování vhodně přizpůsobit.
      • Zajistěte si off-line zálohování – kritická data doporučuji uložit na médium (např. USB disk, DVD, páska, …), které nebude dostupné ve Vaší síti a nebude tedy při napadení virem ohrožené.

 
Takhle nasazený komplex preventivních opatření výrazně snižuje riziko, že se Vám šifrovací virus dostane do počítače nebo firemní sítě, a pokud k tomu dojde, budete mít z čeho obnovit data.
 

Jak se vzpamatovat po zásahu šifrovacím virem?

Pokud už jste v situaci, že jste na prevenci zapomněli a teď máte v počítači nebo v síti zašifrovaná data, máte hodně omezené možnosti. V takové situaci navrhuji následující postup:

  • Odpojte ze sítě všechno, kde jsou ještě data v pořádku. Pro jistotu tato data zazálohujte.
  • Odvirujte počítače – nespoléhejte se na antivirus, který byl nainstalovaný v napadeném počítači. Použijte buď antivirus, který spustíte z nezávislého média nebo využijte on-line scannery (např. ESET Online Scanner). Raději otestujte několika nezávislými způsoby.
  • Dešifrujte data pomocí známých decryptorů – pro některé šifrovací viry je známý způsob, jak data zpátky dešifrovat. Programy pro obnovu dat můžete získat například od společnosti Kaspersky Lab.
  • Obnovte data – pokud alespoň nějaké zálohy máte, použijte je. Další data můžete často obnovit například z elektronické pošty, různých flash pamětí, na kterých jste je někam přenášeli atp. Zamyslete se, jestli Vám mohou data poskytnout třeba Vaši zákazníci, kolegové.
  • Spočítejte si, kolik Vás ztráta dat stojí – udělejte si přehled o tom, jaká data jste obnovili a o která jste nenávratně přišli. A zkuste posoudit, kolik/co Vás taková ztráta dat bude stát a jestli vůbec má smysl přejít k dalšímu kroku.
  • Stále je tu možnost zaplatit výkupné, ale… Ano, spousta firem výkupné zaplatila. Některé z nich opravdu dostali dešifrovací klíče a data se jim povedlo obnovit. Některé z nich nedostali ani děkovný e-mail za zaplacené desetitisíce. Některé z nich po napadení šifrovacím virem navždy skončili. Statistika v tomto ohledu bohužel neexistuje a poměr mezi první a druhou skupinou si odhadovat netroufám.
  • A teď se vraťte k odstavci Prevence…