Article IT security and cybersecurity
Maciej Ochal | 2016-04-27

Ransomware – co to jest? Jak przeciwdziałać atakom?

Ransomware to rodzaj złośliwego oprogramowania - konia trojańskiego, który poprzez infekcję komputera szyfruje pliki, czyniąc je niemożliwym do odtworzenia bez klucza deszyfrującego. Za jego udostępnienie i potencjalną szansę odzyskania danych, cyberprzestępcy żądają okupu, najczęściej w walucie elektronicznej – Bitcoinach.

Początki oprogramowania wymuszającego haracz sięgają lat dziewięćdziesiątych, jednak nasilenie tego zjawiska zaczęło się od roku 2013 wraz z pojawieniem się wirusa Cryptolocker oraz możliwości użycia trudnych do namierzenia płatności elektronicznych.

Kolejnymi groźnymi odsłonami aplikacji typu ransomware były: Cryptolocker 2.0, Cryptowall, Locky, a w tym roku (marzec 2016) również pierwsza odmiana na system Mac OS X – KeRanger. Pojawiło się też wiele innych infekcji tego typu (np. LeChiffre, FakeBSOD, Trolo,Crowti). Obecnie, według firmy Microsoft, największymi zagrożeniami dla systemów jej produkcji są Locky i Cerber.

Sposób działania złośliwego kodu

Najczęstszym do tej pory sposobem infekowania komputera ofiary jest załącznik e-mail lub link do takiego załącznika. Wykorzystując sposób działania systemu Windows, pozwalający na umieszczenie programu wykonywalnego w lokalnym folderze użytkownika oraz możliwość szyfrowania plików bez elewacji (podniesienia) uprawnień – dokumenty typu aplikacja pakietu Office (Word, Excel, Powe Point), PDF, czy zdjęcia oraz inne, w zależności od odmiany złośliwego kodu - są szyfrowane kluczem 2048 bitowym pobranym z serwera hackerów. Bez tego klucza aplikacja ransomware w większości przypadków nie rozpocznie swojego działania. Potrzebny więc jest dostęp do Internetu i określonego w konfiguracji konia trojańskiego adresu IP zdalnego serwera.

Po udanym ataku pojawia się okno lub zmienia tapeta na pulpicie na taką z informacją, że pliki zostały zaszyfrowane oraz instrukcją w jaki sposób można je odzyskać, a w zasadzie jak dużą opłatę należy dokonać i na jakie konto, by pozyskać klucz deszyfrujący. Dodatkowo pokazany jest czas na podjęcie decyzji – swoista „promocja” na niższą opłatę, w przypadku szybko wykonanej akcji z instrukcji, co sprawia, że użytkownicy są skłonni na pochopne decyzje o zapłaceniu.

Rysunek 1. Informacja jaka pojawia się na ekranie po zarażeniu komputera Cryptolockerem

Niestety złośliwe aplikacje mają coraz bardziej zaawansowane sposoby działania. W obecnej chwili można się spodziewać ataku nie tylko poprzez dostęp do poczty internetowej, ale również do plików pozyskanych od klientów, czy współpracowników, przeglądanie stron internetowych oraz używanie gier komputerowych (w tym ostatnim przypadku gracze są grupą docelowa dla TeslaCrypt).

Za przykład niech posłuży otwarcie dokumentu Excel, w którym mamy informację o konieczności włączenia makr, dla jego poprawnego działania. O ile nie zapali nam się w tym momencie lampka ostrzegawcza i potwierdzimy taką akcję – ze zdalnego serwera pobrany zostanie złośliwy skrypt a pliki zaszyfrowane.

Kolejną możliwością pobrania konia trojańskiego żądającego okupu, jest instalacja dodatków do popularnych gier.

O ile w podanych wcześniej przypadkach wymagana jest interakcja użytkownika, to znaczy musi on kliknąć w link, otworzyć załącznik lub włączyć makra, o tyle ostatnio słychać o masowym wysypie zarażonych reklam, umieszczonych w znanych serwisach internetowych, takich jak: BBC, New York Times, MSN i AOL, czy NFL.  Nawet Google nie udało się obronić przed dostaniem się do jego sieci ransomware, gdyż usługa DoubleClick będąca nośnikiem reklam – przekierowywała do strony z zarażonym kodem Flash.

Reklamy te nie wymagają podejmowania żadnej czynności poza wejściem na odpowiednio spreparowaną stronę. Jeżeli jednak jest nią znana i ceniona instytucja, użytkownik raczej nie będzie spodziewał się, że może tam trafić złośliwy kod. Przynajmniej jeszcze do niedawna mało kto przypuszczał, że jego ulubiona strona WWW może stać się medium roznoszącym zarazki komputerowe na masową skalę.

Atak ransomware a sieć komputerowa

Ponieważ komputery są wpinane do sieci, podczas ataku narażone są wszystkie maszyny, które są dostępne w ramach uprawnień użytkownika. Najnowsze odmiany złośliwego oprogramowania tego typu skanują sieć w poszukiwaniu plików, które mogą zaszyfrować. O ile wcześniejsze generacje koni trojańskich atakowały tylko pliki dostępne lokalnie i w mapowanych folderach, o tyle teraz nie ma to znaczenia. Jeżeli użytkownik ma uprawnienia logowania się na dysk sieciowy, to jest duża szansa, że podczas ataku dane tam umieszczone zostaną również zaszyfrowane. Zagrożone są również udziały na innych komputerach z systemem Windows, Linux czy Mac oraz podłączone aktualnie przez protokół WebDav.

Czy Linux i MacOS X są bezpieczne?

W chwili obecnej większość ataków następuje na komputery z systemem Windows, ale widać zwrot w stronę rozszerzenia tego procederu także na inne systemy. Wynika to głównie z dużych przychodów uzyskiwanych przez przestępców z tego procederu. Mimo, że zgodnie z zaleceniami specjalistów mało ofiar płaci za możliwość uzyskania klucza deszyfrującego pliki, zyski i tak idą w miliony dolarów.

Pojawił się już pierwszy koń trojański ransomware dla systemu Mac OS X - KeRanger, a nasze urządzenia mobilne także nie są bezpieczne – większość z nich jest pozbawionych ochrony. Na urządzenia z systemem Android już teraz czai się wiele zagrożeń, np. linki w SMSach, które po kliknięciu, przekierowują na stronę internetową ze spreparowanym kodem, dzięki któremu hacker ma nieograniczony dostęp do urządzenia.

Co na to producenci programów antywirusowych?

Ktoś mógłby powiedzieć – „Przecież mam program antywirusowy, on mnie ochroni przed każdym zagrożeniem”. Otóż sprawa nie wygląda tak różowo. Program antywirusowy jest w stanie usunąć podmienione pliki systemowe oraz konie trojańskie. W wersji z zaporą potrafi też blokować dostęp do podejrzanych adresów internetowych. Jednak większość ataków ransomware jest tak pomyślana, by to sam użytkownik wywołał akcję szyfrowania przez wejście na odpowiednią stronę, lub otworzenie załącznika w taki sposób, żeby jak najmniej programów antywirusowych wszczęło alarm.

Oczywiście posiadanie aktualnej wersji bazy najbardziej wyrafinowanej aplikacji antywirusowej uchroni nas przed większością znanych niebezpieczeństw, jednak nigdy nie daje 100% pewności.

Jak uchronić się przed atakami? (How should company handle ransomware?)

Najważniejszą rzeczą jest świadomość użytkowników i administratorów systemów informatycznych o realnym zagrożeniu. Jak nigdy dotąd stosowanie się do rygorystycznych polityk bezpieczeństwa teraz ma wymierne znaczenie.

Posiadanie aktualnej i pewnej, tj. sprawdzonej kopii bezpieczeństwa danych to już nie dodatek tylko konieczność. Czyniąca największe spustoszenie w chwili obecnej wersja ransomware „Locky” kasuje również pliki Windows Shadow Copy, czyli służące do odzyskania obrazu systemu operacyjnego sprzed awarii. W związku z czym po ataku nie będziemy mogli użyć funkcji „Przywracanie systemu”.

Najważniejsze dobre praktyki dla użytkowników w celu zabezpieczenia przed ransomware:

  • Zmieniać hasła dostępu do komputera i usług regularnie na takie o dużym stopniu komplikacji,
  • Nie przekazywać haseł nikomu,
  • Korzystać z konta użytkownika z minimalnymi przywilejami (prace administracyjne wykonywać poprzez chwilowe podniesienie uprawnień),
  • Tworzyć regularnie i sprawdzać kopie bezpieczeństwa danych na zewnętrznych nośnikach ( bez dostępu do Internetu ),
  • Posiadać zainstalowany program antywirusowy i na bieżąco aktualizować jego silnik i bazę danych oraz używać go regularnie do skanowania systemu,
  • Aktualizować system i aplikacje często i na czas – jeżeli wiemy, że została odkryta nowa dziura w systemie i jest już wydana „łatka” – natychmiast ją instalujemy,
  • Nie otwierać załączników w podejrzanych mailach – jeżeli nie znamy adresata wiadomości, najlepiej od razu ją usunąć,
  • Nie włączać makr w pakiecie Office,
  • Nie klikać w linki na stronach internetowych o podejrzanym wyglądzie – duża ilość ataków używa techniki phishingu, czyli podszywania się pod znane dla dużego kręgu ludzi portale, np. strony banków, by zachęcić użytkownika do podjęcia akcji, np. kliknięcia w link, podania hasła, czy wysłanie SMSa,
  • Sprawdzać zgodność certyfikatów SSL z domeną stron internetowych,
  • Nie klikać w linki w SMSach i MMSach,
  • Nie instalować aplikacji pochodzących z nieznanego źródła,
  • W systemach Microsoft Windows, firma zaleca użycie oprócz wbudowanego Windows Defender, dodatkowej ochrony EMET (Enhanced Mitigation Experience Toolkit) - https://support.microsoft.com/en-us/kb/2458544
  • Zabezpieczyć również urządzenia mobilne poprzez instalację oprogramowania antywirusowego.
  • W przypadku padnięcia ofiarą ataku nie płacić okupu - w ten sposób możemy ograniczyć zapał cyberprzestępców.

Czynności, które mogą podjąć administratorzy systemów informatycznych w celu ochrony przed zagrożeniami ze strony ransomware:

  • Przede wszystkim prowadzić kampanie edukacyjne dla użytkowników – zapracowani nie są świadomi zagrożeń, które ich otaczają. Głównie chodzi o nauczenie ich nie klikania w podejrzane linki, nie otwierania załączników niewiadomego pochodzenia, kasowanie maili z nieznanego źródła, a w razie wątpliwości – zgłoszenie się do administratora,
  • Wymusić na użytkownikach stosowanie polityki bezpieczeństwa dla komputerów poprzez polisy GPO, ale również na urządzeniach mobilnych poprzez użycie odpowiednich aplikacji czy funkcji, np. Mobile Device Management dla Office365, reguły Active Sync dla serwerów Exchange,
  • Dbać o regularny i sprawdzony backup danych,
  • Posiadać plan działania na wypadek ataku,
  • Wdrożyć rozwiązania IPS/IDS (Intrusion Preventing System/Intrusion Detecting System),
  • Wdrożyć autentykację wiadomości e-mail za pomocą Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) i Domain Keys Identified Mail (DKIM),
  • Skanować wchodzącą i wychodzącą pocztę programem antywirusowym,
  • Wdrożyć zapory sieciowe (firewalle) oraz serwery proxy,
  • Segmentować sieć – aby jak najmniejsza ilość komputerów miała kontakt ze sobą,
  • Limitować poziom i wielkość dostępu użytkowników do danych i udziałów sieciowych, tak aby w przypadku ataku na jednym komputerze, poczynione szkody w systemach całej firmy były jak najmniejsze – nie każdy potrzebuje dostęp do wszystkich udziałów sieciowych oraz nie musi mieć uprawnień modyfikacji tych danych,
  • Wyłączyć dostęp administracyjny na komputerach,
  • Zablokować polisą GPO lub aplikacją możliwość uruchamiania aplikacji z folderu AppData,
  • Wdrożyć monitorowanie dostępu do serwerów plików,
  • Wdrożyć blokowanie reklam – niektóre zagrożenia czekają ze strony reklam w technologii Flash,
  • Wyłączyć aplikacje Adobe Reader(wtyczka do przeglądarki), Flash, Java, Silverlight wszystkim, którzy tego nie potrzebują,
  • Wyłączyć także wszelkie niepotrzebne lub podejrzane dodatki w przeglądarkach internetowych.

Podsumowanie

Zagrożenia jakie pojawiają się ze świata cyberprzestępczości wymagają coraz większej świadomości od zwykłego użytkownika. Konie trojańskie i inne złośliwe oprogramowanie randsomware jest tak projektowane, by wykorzystać nieznajomość sposobów działania systemu i aplikacji przez osobę, która z nich korzysta oraz przyzwyczajenia, np. klikanie OK bez zastanowienia się nad konsekwencjami takiego działania.

Administratorzy systemów muszą dołożyć wielu starań, by zapewnić pierwszą linię obrony przed atakami typu ransomware. Jednak bez współpracy ze strony końcowego użytkownika ich wysiłek nie zapewni całkowitej ochrony. Dlatego tak ważne jest posiadanie aktualnej i pewnej, tj. sprawdzonej kopii bezpieczeństwa, które w razie zaszyfrowania plików, pozwoli je odzyskać.

Jeśli potrzebujesz wsparcia informatycznego aby w sposób prawidłowy zabezpieczyć swoją firmę przed cyberzagrożeniami to zgłoś się do nas. Przeprowadzimy dla Ciebie audyt bezpieczeństwa, w wyniku stworzymy kierunek rozwoju i zmian w infrastrukturze IT.


Support Online to firma z wieloletnim doświadczeniem oferująca kompleksowe wsparcie IT dla firm. Administracja serwerami, rozwiązania chmurowe, helpdesk czy dbanie o bezpieczeństwo danych to tylko nieliczne elementy naszej oferty. Zapraszamy do współpracy.

Maciej Ochal -
Related articles
Case study
| migrations and backups Case Study: Implementing Hardened Backup in Microsoft Azure. Read more
Article
| career Employee training and development in Support Online Read more
Article
| migrations and backups Veeam Hardened Repository – What is it and how does it protect backups against ransomware in 2026? Read more
Your IT.
our
support.
Contact us

The administrator of your personal data is Support Online sp. z o.o. Your personal data will be processed to respond to your inquiry and, if you consent, also to send the SOL newsletter. You can read about the detailed rules for personal data processing by our organization in our Privacy Policy.

FAQ
What does an IT company do? What IT solutions do we use at Support Online? When is it worth using an IT company? Why is it worth hiring an IT company rather than a freelance IT specialist? What are the advantages of working with IT Support Online?

An IT company, or IT firm, deals with information technology in a broad sense. This includes, among other things:

  1. Software design and development: An IT company can create custom applications for other companies or software products for the mass market. Depending on their specialization, these can include mobile applications, desktop applications, web applications, or embedded systems.
  2. Consulting services: An IT company often provides experts to advise on implementing new technologies, optimizing business processes, or selecting appropriate technological solutions.
  3. Cloud solutions: Many IT companies specialize in implementing and managing cloud solutions, such as data storage, application hosting, and data analysis platforms.
  4. IT security: Protection against cyberattacks, security audits, implementing security policies, and network monitoring are just some of the IT companies' responsibilities in this area.
  5. IT infrastructure management: In this area, a company may manage servers, databases, networks, and endpoints.
  6. Technical Support and Service: An IT company may provide support for its own products or general IT support for other companies, managing their technology on a daily basis.
  7. Training: Many IT providers also offer training in software use and secure technology use.
  8. Hardware Solutions: Some IT companies may also provide and configure computer, server, or network hardware.

Depending on their specialization and size, an IT company may offer one, several, or all of the above solutions. When choosing a provider, it's important to thoroughly understand their services and tailor them to your individual needs.

At Support Online, we have been supporting companies for years with

  1. comprehensive user support (both on-site and remotely),
  2. we service computers, phones, tablets, and related network issues,
  3. we specialize in server administration: Windows, Linux/Unix,
  4. we support virtualizers such as KVM, Hyper-V, VMWare, and Proxmox,
  5. we support cloud services, particularly solutions such as Azure, Microsoft 365, and AWS,
  6. we monitor servers and devices on the internet,
  7. we consult on development, DRP, and support the stability of your business in the IT layer.

If you're looking for a good IT company, Support Online is the right place to grow your business.

It's worth using an IT company like Support Online when:

  1. You plan to implement new technologies or software in your company.
  2. You need specialized technology consulting.
  3. You want to optimize existing IT processes.
  4. You struggle with digital security issues.
  5. You need support in managing your IT infrastructure.
  6. You lack internal resources or expertise to implement certain technology projects.

Using external IT experts can bring benefits in terms of saving time and resources, and ensuring high-quality solutions.

Hiring an IT company like Support Online offers several key benefits over an IT freelancer:

  1. Support from the entire team: An IT company has a full team of specialists, from DevOps specialists and Cyber ​​Security Specialists to IT Helpdesk Specialists, who possess diverse skills and experience, enabling faster problem resolution and the implementation of more complex projects.
  2. Reliability and stability: IT companies have an established reputation and track record, which can translate into greater reliability and stability of services.
  3. Maintenance and support: An IT company can offer service contracts, warranties, and after-sales support, which may be more difficult to obtain from an individual freelancer.
  4. Resources: Companies have access to more resources, tools, and technologies that can accelerate and improve project execution.
  5. Long-term availability: The risk of a freelancer disappearing or changing careers is greater than the risk of a well-established company going out of business.

However, it's worth noting that the choice between a company and a freelancer depends on your specific needs and situation. If you value peace of mind and a quick response to unexpected problems, it is worth choosing an IT company such as Support Online.

Partnering with IT Support Online offers the following advantages:

  1. Professional IT outsourcing: The company guarantees high-quality IT outsourcing services for businesses of all sizes.
  2. Comprehensive IT support: IT Support Online provides comprehensive IT support that meets the diverse needs of businesses.
  3. Saves time and money: With our support, clients can focus on their core business activities while reducing the costs associated with information technology management.
  4. Serving a diverse range of businesses: The company specializes in serving both small and medium-sized enterprises and large corporations, demonstrating its flexibility and ability to adapt to diverse client needs.
  5. Leadership in IT outsourcing: The company is recognized as a leader in IT outsourcing, particularly in the Poznań and Warsaw regions.

By partnering with our company, IT Support Online, businesses can count on a high standard of service and professionalism at every stage of the relationship.

Free consultation
22 335 28 00