Hrozba jménem ransomware aneb Čtyři tipy, jak zvýšit bezpečnost dat ve vašem PC

Počítačová data zaujímají v dnešní době čím dál tím významnější roli a s lehkou nadsázkou lze říct, že do nich s chutí ukládáme celý náš život a vzpomínky. Od práce a důležitých dokumentů přes fotky z dovolené až po první „žvatlání“ malých dětí. Naše data jsou uložena na pevných discích počítačů, kde v klidu čekají, až je budeme potřebovat. Jsou tam ale opravdu v bezpečí? Co když někdo přijde, zabaví je a za jejich vrácení bude požadovat peníze? Tak nějak se chovají škodlivé kódy typu ransomware, jejichž nejznámější zástupce WannaCry zvládl během několika dní napáchat obrovské škody. Co jsou tyto viry vlastně zač? Jak se může stát, že nám najednou náš počítač neříká „pane“? A jak se tomu bránit?

Pokud nezaplatíte, přijdete o vše!

Ransomware je specifický druh viru, který po instalaci začne odpírat uživateli přístup do některých částí jeho počítače a vyžadovat za jejich uvolnění peníze. Odtud také původ názvu – ransom znamená anglicky výkupné.

Jednodušší typy viru zablokují celý operační systém (někdy pouze zdánlivě), nejpropracovanější kódy zašifrují přímo uživatelova data. Problém postihuje jednotlivé soubory stejně jako celé disky. Šifrování může také krátkodobě způsobit snížení výkonu počítače. Poté co dojde k zašifrování, virus začne uživateli odpírat přístup k těmto souborům a požadovat zaplacení. Způsoby šifrování se liší, ty nejsofistikovanější využívají systém unikátních kryptovacích klíčů, které získají od svého mateřského serveru, k němuž se připojí po dokončení instalace. Uživateli může v tom případě data rozšifrovat pouze ten, kdo má k databázi klíčů přístup.

Zároveň se vir z infikovaného počítače šíří dál a napadá další zařízení. Nejznámějšími ransomwarovými viry jsou WinLock, GPCode a WannaCry. U nás je poměrně rozšířeným ransomwarem virus, kterému se podle jeho vizuálu přezdívá „vir Policie ČR“.

Zadní vrátka do systému

Kód viru WannaCry využívá chybu v zabezpečení systému Windows. Do něj se mu podařilo proniknout díky kombinaci nástrojů EternalBlue a DoublePulsar,

 

které údajně vyvinula americká National Security Agency (NSA) pro svoje interní potřeby. Skupině hackerů Shadow Brokers se podařilo tyto nástroje získat a následně je 8. dubna 2017 zveřejnili.

O chybách, které oba nástroje využívají, v té době věděla i společnost Microsoft. Ta na ně upozornila ve svém bezpečnostní tiskové zprávě, jejž vydala 14. března 2017. Společně s ním vyšly i aktualizace podporovaných systémů, které tyto chyby odstraňovaly. Bohužel si mnoho uživatelů tyto aktualizace nenainstalovalo a jejich systémy byly tak stále zranitelné.

Následný útok viru WannaCry podnítil Microsoft k vydání mimořádné aktualizace, která chybu opravovala přesněji. Aktualizace byla vydána i pro systémy Windows XP, Windows Server 2003, Windows XP Embedded a Windows 7 Embedded, které jinak technickou podporu od Microsoftu nemají.

Čtyři dny, které otřásly počítačovým světem

K prvním útokům viru WannaCry došlo v pátek 12. května a jeho řádění se podařilo zastavit až 15. května 2017. Během této relativně krátké doby dokázal virus díky své dravosti napadnout statisíce počítačů v téměř 200 zemích světa. Ve Francii se mu podařilo například zastavit výrobu v několika závodech automobilky Renault, ve Španělsku infikoval telekomunikační gigant Telefónica, v USA úspěšně napadl zásilkovou firmu FedEx a ve výčtu bychom mohli dále pokračovat.

Virus WannaCry využíval ke svému šíření klasický způsob falešných mailů s nebezpečnou přílohou. Maskoval se například do souboru s příponou pdf nebo rar. Šířil se však také například prostřednictvím sociálních sítí jako odkaz na sdílené video nebo pomocí infikovaných stránek. Vzhledem k neošetřeným chybám mohl také v lokální síti pronikat do dalších počítačů, aniž by to jejich uživatelé mohli ovlivnit.

Poté co se nainstaloval do systému, začal rychle zašifrovávat obsah disků a zároveň se spojil s doménou, z níž byl řízen. Pro šifrování si vybíral datové soubory, jež považoval za důležité. Po dokončení šifrování, které počítač víceméně vyřadilo z provozu, nabídl, že za 300 dolarů odeslaných ve formě bitcoinů(nevystopovatelná virtuální měna) soubory opět rozšifruje. Zároveň také spustil odpočítávání, po jehož uplynutí částka narostla na dvojnásobek, tak aby se uživatel cítil být pod tlakem.

Virus se podařilo vyřadit, když britský bezpečnostní expert z MalwareTech testoval chování viru a zaregistroval si doménu, skrz kterou virus komunikoval se svým tvůrcem. Ta byla původně nezaregistrovaná a běžela nelegálně. Po její registraci se spustil bezpečnostní mechanismus viru (tzv. killswitch) a virus se přestal šířit.

 

Štěstí přeje připraveným… a trpělivým

Přestože bylo řádění viru WannaCry zastaveno, rozhodně nebylo poslední a je jen otázkou času, kdy se objeví nová zákeřná hrozba. Ačkoli by se mohlo zdát, že souboj mezi hackery a bezpečnostními experty běžný uživatel neovlivní, může dodržováním několika následujících pravidel snížit svou zranitelnost:

• Mít aktualizovaný systém – jak ukázal příklad útoku WannaCry, nemuselo by dojít k tak velkému poškození, pokud by všichni uživatelé měli nainstalované aktuální balíčky záplat. Vyplatí se tedy mít zapnutou možnost automatických aktualizací systému Windows a zároveň umožňovat systému tyto aktualizace nainstalovat a trpělivě čekat, než se před vypnutím nebo po zapnutí počítače příslušné aktualizace nainstalují. Důležité také je mít aktuální systém, ke kterému jeho poskytovatel vydává updaty a stále ho vyvíjí. Útok WannaCry byl tak „úspěšný“ i proto, že řada počítačů využívala dnes již zastaralý systém Windows XP, ke kterému Microsoft už řadu let neposkytuje aktuální updaty, naneštěstí v případě Windows XP docházelo při instalaci a šifrování systému k BSOD a tím nedocházelo k šíření viru.
• Mít aktivní a aktuální antivirovou ochranu – antivirus by měl být první program, který nainstalujete na PC po instalaci operačního systému. Měl by být hýčkanou součástí vašeho softwaru. Kdykoli požádá o aktualizaci, mělo by mu být vyhověno. Stejně tak by mělo být zapnuto co nejvíce jeho komponent, jako je aktivní štít, kontrola příchozí pošty, firewall atd.

Také není vůbec na škodu nechat počítač pravidelně celý proskenovat. Ideální je týdenní interval – většina antivirových programů umožňuje přesné nastavení rozvrhu, kdy provést velký test celého systému a všech disků.

• Zálohovat důležitá data – pravidelná ukládání dat mimo PC byla dříve doménou podnikových sítí a pro svou finanční náročnost nebyla běžným jednotlivým uživatelům tato možnost přístupná. V dnešní době jsou možnosti zálohy daleko bohatší a přístupnější. Ukládání kopií důležitých souborů a dat na externí úložiště zabrání jejich ztrátě při podobných vyděračských útocích, jakými byl celý svět postižen v květnu 2017. Používat můžete externí disky nebo flashky, stejně jako cloudová úložiště na internetu. Existují také programy, které vám automaticky nějakou složku (například Dokumenty) jednou denně zazálohují do cloudu.
• Chovat se bezpečně – jednou z nejdůležitějších věcí je použití zdravého rozumu. Pravděpodobnost, že jste vyhráli v soutěži, do které jste se ani nepřihlásili, je nulová. Stejně tak to, že by od vás chtěl pomoci bohatý šejk v nesnázích. Pokud dostanete mail, který jste nečekali, má divný předmět, který láká k otevření nebo obsahuje pravopisné chyby, zkuste se u odesílatele nejdříve ujistit, že vám jej opravdu zaslal záměrně. To samé platí, pokud vám někdo ve facebookovém chatu pošle náhle, bez pozdravu, zprávu typu „LOL“, „You must see!!!“, „Is it you???“ a internetový odkaz. Zvláště pokud s vámi dotyčný v běžných situacích komunikuje v češtině. V tom případě rozhodně na odkaz neklikejte a zeptejte se dotyčného, o co se jedná, a varujte ho, že možná rozesílá viry.

Kybernetické útoky jsou v dnešní době bohužel čím dál sofistikovanější a není možné být připraven na všechno. Přesto je dobré výše zmíněné body dodržovat, neboť tak snížíte šanci hackerů, aby byl jejich pokus o napadení vašeho počítače úspěšný.