Blog

Co je ransomware a jak mu zabránit a odstranit ho

Co je ransomware a jak mu zabránit a odstranit ho



Potřebujete se dozvědět více o ransomwaru, včetně toho, jak ransomwaru předcházet a jak jej odstranit po infekci? V tomto příspěvku podrobně prozkoumáme, proč je ransomware nebezpečnou bezpečnostní hrozbou pro podniky i jednotlivce. Nabízíme také cílené strategie, které můžete právě teď použít ke snížení rizika zasažení ransomwarem, a také vaše další kroky, pokud byste se nakazili šifrovacím malwarem.

Co je ransomware?

Kdysi vzácná a obskurní forma malwaru, ransomware má nyní obrovský dopad téměř na každého. Tento počet ransomwarových útoků zvýšené o 150 % mezi roky 2019 a 2020. Přestože představuje pouze asi 15 % všech kybernetických útoků, ransomware je také jedním z nejdražších, přičemž každý útok stojí podniky téměř 2 miliony dolarů na nápravu .



S těmito typy útoků, které se téměř denně objevují v titulcích, to vyvolává legitimní otázku:Co je ransomwarový útok?

Na základní úrovni je ransomware jen další formou malwaru. Je to škodlivý program určený k infikování a narušení normálního provozu počítačového systému.



Existují však dvě klíčové vlastnosti ransomwaru, které jej odlišují od většiny ostatních forem malwaru:

  • Místo krádeže dat je ransomware navržen tak, aby vám zabránil v přístupu k nim
  • Místo prodeje nebo používání vašich odcizených dat se vás kyberzločinci snaží donutit zaplatit výkupné, abyste znovu získali přístup k vašim datům.

Tam, kde se malware tradičně zaměřoval na krádež dat, ransomware je o vydírání. Kromě toho jsou metody, které kyberzločinci používají k infikování počítačů ransomwarem, stejné jako jakýkoli jiný malware.

V takovém případě byste se mohli nakazit ransomware, pokud:

  • Stáhněte si jej ze škodlivé přílohy e-mailu nebo odkazu
  • Vložte jej do zařízení z USB flash disku nebo DVD
  • Stáhněte si jej při návštěvě poškozeného webu

Hackeři mohou také nahrát ransomware do systému, pokud se do systému nabourají pomocí hrubé síly nebo pokud použijí odcizené přihlašovací údaje.

Jak ransomware funguje?

Funkce Ranswomare je poměrně jednoduchá. Existuje několik typů návrhů ransomwaru, ale všechny jsou v podstatě šifrovacími programy. Po instalaci do systému program spustí a zašifruje typ souborů, na které byl naprogramován.

Občas se mohou autoři ransomwaru zaměřit pouze na vybrané typy souborů, jako jsou dokumenty aplikace Word nebo listy aplikace Excel. Více často než ne však hackeři používají široký přístup, který zahrnuje šifrování každého souboru v systému nebo serveru.

Jak poznám, že mám ransomware?

Ztráta přístupu k systémovým souborům je jasnou známkou ransomwarového útoku. Ransomware vypne vybrané systémové funkce nebo odepře přístup k souborům. V případě počítačů se systémem Windows vám obvykle zakáže přístup k nabídce Start (takže nemůžete získat přístup k antivirovým programům nebo se pokusit vrátit do nouzového režimu).

Ransomware nemá žádný účel, pokud útočník nedá jasně najevo, že jste infikováni, a neposkytne pokyny, jak váš systém odblokovat. Vzhledem k tomu bude většina ransomwaru dodávána se zprávou (na obrazovce nebo zaslanou e-mailem), že váš systém byl zašifrován. Tato zpráva obvykle obsahuje požadavek na výkupné a informace o tom, jak výkupné zaplatit (obvykle v bitcoinech nebo jiné kryptoměně).

Můžete vidět něco takového:

obrazovka uzamčení ransomwaru
Zdroj: Panda Security

Šifrování je opět nejlepší metodou pro autory ransomwaru. Tento typ malwaru šifruje soubory ve vašem zařízení, takže je nelze otevřít bez správného dešifrovacího klíče nebo hesla. Tyto informace bude mít pouze útočník (ačkoli někdy nemají ).

Pomocí ransomwaru lze zašifrovat jakýkoli soubor, ačkoli většina ransomwaru se nepokusí zašifrovat všechny typy souborů. Některé novější formy šifrování ransomwaru dokonce přijaly šifrování souborů sdílených v síti také nebezpečný vývoj zejména pro podniky.

Dokud nevymažete theransomware ze svého počítače (nebo nezaplatíte požadované výkupné a nebudete doufat, že jej za vás zločinec vymaže, nebo vám neposkytne dešifrovací klíč), nebudete mít přístup k těmto souborům nebo důležitým systémům. Některý ransomware bude dokonce vyžadovat, abyste zaplatili do určité doby, jinak soubory zůstanou navždy uzamčeny nebo virus zcela vymaže váš pevný disk.

To, co jste si přečetli výše, je trochu vysvětlení na vysoké úrovni. Pokud potřebujete podrobnější technické vysvětlení toho, jak ransomware funguje při šifrování dat, doporučujeme tento skvělý střední příspěvek na vrcholu od Tarcisia Marinha.

Příbuzný: Jak spustit Windows 7/8/10/11 v nouzovém režimu

Typy ransomwaru

Ransomware existuje od 80. let 20. století, ale mnoho dnešních útoků používá ransomware založený na modernějším trojanovi Cryptolocker. Ransomware pro šifrování souborů je stále nejběžnějším typem. Kromě toho nyní zaměstnává mnoho hackerů techniky dvojitého šifrování které používají dva typy malwaru k uzamčení souborů.

Podle Malwarebytes , existuje několik kategorií ransomwaru, se kterými se stále můžete setkat:

Šifrování ransomwaru

Cryptolocker
Pokud si ransomware najde cestu do vašeho počítače, pravděpodobně půjde o různé druhy šifrování. Šifrování ransomwaru se rychle stává nejběžnějším typem kvůli vysoké návratnosti investic pro kyberzločince, kteří jej používají, a kvůli tomu, jak obtížné je prolomit šifrování nebo odstranit malware. To je oblíbené mezi hackery, protože většina antivirových nástrojů prostě nefunguje, aby tomu zabránila, a nemůže účinně odstranit šifrování po infekci.

Šifrování ransomwaru zcela zašifruje soubory ve vašem systému a znemožní vám k nim přístup, dokud nezaplatíte výkupné, obvykle ve formě bitcoinů. Některé z těchto programů jsou také časově závislé a začnou mazat soubory, dokud nebude zaplaceno výkupné, což zvyšuje pocit naléhavosti zaplatit.

O tomto typu ransomwaru Adam Kujawa, ředitel Malwarebytes Labs, měl tohle říct : „Jakmile se nakazíte, je příliš pozdě. Konec hry.'

Online zálohování může být velkým pomocníkem při obnově zašifrovaných souborů. Většina online zálohovacích služeb zahrnuje správu verzí, takže máte přístup k předchozím verzím souborů, nikoli k zašifrovaným

Scareware

Scareware
Zdroj: College of St. Scholastica

Scareware je malware, který se vás pokouší přesvědčit, že máte počítačový virus, který je třeba okamžitě odstranit. Poté se vás pokusí přimět k odstranění viru zakoupením podezřelého a obvykle falešného malwaru nebo programu na odstranění virů. Scareware je v dnešní době velmi neobvyklý, ale některé z těchto virů stále existují ve volné přírodě. Mnoho cílí na mobilní telefony.

Virus scareware obvykle nešifruje soubory, i když se může pokusit zablokovat váš přístup k některým programům (jako jsou antivirové skenery a odstraňovače). Přesto se scareware nejsnáze zbavíte. Ve většině případů můžete scareware odstranit pomocí standardních programů na odstranění virů nebo jiných metod, aniž byste museli vstoupit Nouzový režim (ačkoli to může být stále nutné nebo doporučené).

Zámek obrazovky (nebo viry na uzamčené obrazovce)

skříňka na obrazovku

Skříňky obrazovky zobrazí varovnou obrazovku, která omezí vaši možnost přístupu k funkcím počítače a souborům. Ty lze nainstalovat do vašeho počítače nebo existovat ve webovém prohlížeči. Obvykle přijdou se zprávou, která tvrdí, že zastupuje organizaci činnou v trestním řízení, a pokusí se vás přesvědčit, že pokud okamžitě nezaplatíte pokutu, budete čelit vážným právním následkům.

Tento typ viru lze nainstalovat mnoha způsoby, včetně návštěvy napadených webových stránek nebo kliknutím na a stažením infikovaného souboru obsaženého v e-mailu. Při instalaci přímo do počítače budete možná muset provést tvrdý restart, abyste znovu získali přístup k systému. Můžete však také zjistit, že vás stále uvítá zpráva o zámku obrazovky, i když se operační systém znovu načte.

Uzamykatelné skříňky obrazovky vás obvykle uzamknou z nabídky a dalších systémových nastavení, ale ne vždy blokují přístup k vašim souborům. Některé z primárních metod útoku malwaru vám brání ve snadném přístupu k softwaru pro odstraňování virů a někdy vám mohou dokonce bránit v restartování počítače z uživatelského rozhraní.


Skříňky obrazovky jsou dalším dobrým důvodem, proč je zálohování v cloudu nesmírně důležité. Přestože zámek obrazovky vaše soubory nezašifruje ani neodstraní, možná budete nuceni provést obnovení systému. Obnovení systému nemusí smazat vaše důležité soubory, ale vrátí je do dřívějšího stavu. V závislosti na obnovených stavech to může stále vést ke ztrátě mnoha dat nebo pokroku. Pravidelné online zálohování pomůže zabránit ztrátě dat, kterou obnovení systému nezaručuje, zvláště pokud se virus skrývá ve vašem systému mnohem déle, než jste si mysleli.

Jak zabránit ransomwaru

Dešifrování souborů zašifrovaných ransomwarem je neuvěřitelně obtížné. Pokud nezaplatíte výkupné a neobdržíte od útočníka dešifrovací klíč(NEDOPORUČENO), dešifrování ransomwaru je fakticky nemožné Většina ransomwaru v dnešní době používá metody šifrování AES nebo RSA, přičemž obě je funkčně nemožné prolomit metodami hrubou silou.

Abych to uvedl na pravou míru, americká vláda také používá šifrovací standardy AES. Informace o tom, jak vytvořit tento druh šifrování, jsou široce známé, stejně jako obtížnost jeho prolomení.

Nejlepší metodou boje proti ransomwaru je odstranit riziko infekce. Značné náklady a obtížnost dešifrování bez zaplacení výkupného znamenají, že vaší nejlepší strategií je prevence.

Ochrany proti ransomwaru lze dosáhnout posílením slabin ve vašem systému, síti nebo organizaci a změnou typu chování, které vás nebo vaši firmu vystavuje riziku útoku ransomwaru.

Doporučené postupy prevence ransomwaru

  • Investujte do solidního zálohování dat. To se těžko podceňuje. Zálohování dat je to nejlepší, co můžete udělat. I když vás ransomware zasáhne, efektivní a konzistentní zálohování dat znamená, že vaše data budou v bezpečí, bez ohledu na to, jakým typem ransomwaru jste napadeni.
  • Investujte do účinného antivirového softwaru. V tomto případě nechcete pouze čističe malwaru nebo virů, ale software, který vás bude aktivně sledovat a upozorňovat na hrozby, a to i uvnitř webových prohlížečů. Tímto způsobem budete dostávat upozornění na podezřelé odkazy nebo budete přesměrováni ze škodlivých webů, kde může být umístěn ransomware.
  • Nikdy neklikejte na podezřelé e-mailové odkazy. Většina ransomwaru se šíří e-mailem. Když si zvyknete nikdy neklikat na podezřelé odkazy, výrazně snížíte riziko stažení ransomwaru a dalších virů.
  • Chraňte počítače připojené k síti. Některý ransomware funguje tak, že aktivně skenuje sítě a přistupuje ke všem připojeným počítačům, které umožňují vzdálený přístup. Ujistěte se, že všechny počítače ve vaší síti mají zakázán vzdálený přístup, nebo použijte silné metody ochrany, abyste se vyhnuli snadnému přístupu.
  • Udržujte software aktuální. Aktualizace systému Windows a dalších operačních systémů a aplikací často opravují známé bezpečnostní chyby. Včasná aktualizace může pomoci snížit riziko náchylnosti k malwaru, včetně ransomwaru.
  • Investujte do nástrojů ochrany proti ransomwaru. Zvláště užitečné pro malé podniky a pro správce sítí pro monitorování a reakci na vznikající hrozby. Mnoho antivirových nástrojů nyní zahrnuje řešení proti ransomwaru, která detekují použití analýzy chování k zastavení běhu ransomwarových virů.předzahájí proces šifrování.

Co dělat, když zachytíte střední šifrování ransomwaru

Šifrování je proces náročný na zdroje, který vyžaduje značné množství výpočetního výkonu. Pokud budete mít štěstí, možná se vám podaří zachytit střední šifrování ransomwaru. To vyžaduje bystré oko a vědět, jak vypadá (a někdy i zní) neobvykle velká aktivita. Ransomware bude obvykle fungovat jako proces na pozadí, aby se zabránilo odhalení, takže je snadné přehlédnout škodlivou aktivitu, než ji budete moci zastavit.

Kromě toho se virus provádějící šifrování pravděpodobně skrývá v jiném programu nebo má změněný název souboru, který vypadá neškodně. Možná nebudete schopni zjistit, který program akci provádí. Pokud však uprostřed šifrování souborů zjistíte, co si myslíte, že je ransomware virus, je zde několik možností:

Přepněte počítač do režimu hibernace

Tím se zastaví všechny běžící procesy a vytvoří se rychlý obraz paměti vašeho počítače a souborů (a uložený na pevný disk). Nerestartujte počítač ani jej nevypínejte z režimu spánku. V tomto režimu může počítačový specialista (buď z vašeho IT oddělení nebo najaté bezpečnostní společnosti) připojit zařízení k jinému počítači v režimu pouze pro čtení a posoudit situaci. To zahrnuje obnovu nezašifrovaných souborů.

Pozastavit operaci šifrování

Pokud můžete určit, která operace je viníkem, můžete zkusit tuto operaci pozastavit.

Ve Windows to zahrnuje otevření Správce úloh (CTRL + ALT + DEL) a hledání podezřelých operací. Hledejte zejména operace, u kterých se zdá, že se na disk hodně zapisuje. Pro uživatele macOS to můžete provést zMonitor aktivity(CMD + SHIFT + U, poté otevřete složku Utilities a vyhledejte Monitor aktivity).

Odtud můžete operace pozastavit. Je lepší operaci pozastavit místo jejího zabití, protože to vám umožní podrobněji prozkoumat proces, abyste viděli, o co vlastně jde. Tímto způsobem můžete lépe určit, zda máte v rukou ransomware.

Pokud zjistíte, že se jedná o ransomware, zkontrolujte, které soubory program napadl. Můžete jej najít v procesu šifrování určitých souborů. Tyto soubory můžete zkopírovat před dokončením procesu šifrování a přesunout je na bezpečné místo.

Některé další skvělé návrhy od bezpečnostních a počítačových profesionálů najdete na Stack Exchange .

Odstranění ransomwaru: Jak odstranit scareware a zámky obrazovky (viry na obrazovce uzamčení)

Odstranění uzamykatelů obrazovky je obtížnější než odstranění scarewaru, ale nepředstavují takový problém jako ransomware pro šifrování souborů. Scareware a viry na uzamčené obrazovce nejsou dokonalými útočníky a často je lze snadno odstranit za nízkou cenu.

Z dostupných možností pro odstranění virů zamykání obrazovky zvažte tyto dvě:

  1. Proveďte úplnou kontrolu systému pomocí renomovaného čističe malwaru na vyžádání
  2. Proveďte obnovení systému do bodu před tím, než se na scareware nebo zámku obrazovky začaly objevovat zprávy.

Podívejme se na oba podrobně.

Možnost 1: Proveďte úplnou kontrolu systému

Jedná se o poměrně jednoduchý proces, ale před provedením kontroly systému je důležité vybrat si renomovaný čistič malwaru na vyžádání. Jedním z takových čističů je Zemana Anti-Malware. Uživatelé Windows mohli dokonce používat vestavěný nástroj Windows Security (dříve Windows Defender), i když je občas méně účinný než antivirový software třetích stran.

Chcete-li provést úplnou kontrolu systému pomocí Zemana Anti-Malware, postupujte takto:

  • Otevřete domovskou obrazovku Zemana Anti-Malware.

Domovská obrazovka Zemana Anti-Malware

  • Na domovské obrazovce změňte typ skenování naHluboký

Před spuštěním skenování doporučujeme nastavit bod obnovení. Nastavení bodu obnovení je obecně dobrým osvědčeným postupem pro antivirové kontroly pro případ, že by během procesu kontroly došlo ke kritické chybě. Vaše antivirová kontrola může označit a odstranit některé soubory nebo programy, které nepředstavují problémy (například rozšíření pro Chrome jsou často problematická), takže je nutné obnovit systém, abyste je dostali zpět.

Na počítači se systémem Windows:

  • Vepište'bod obnovení'.
  • VybratVytvořte bod obnoveníz Ovládacích panelů.
  • VybratVytvořita poté zadejte popis bodu obnovení, například „kontrola před malwarem“
  • Kromě toho můžete chtít jít doKonfigurovatzapnoutOchrana systému. Tím se v budoucnu začnou automaticky vytvářet body obnovení a umožní vám zvolit, kolik místa je vyhrazeno pro zálohy

Na počítači macOS:

Není třeba! Váš počítač s macOS automaticky vytváří body obnovení pomocí Time Machine.

Se zabezpečeným bodem obnovení nyní můžete kliknout naSkenovat nynípro zahájení skenování malwaru.

Zemana Anti-Malware klasifikující soubory

V mém případě nedávná kontrola systému Zemana odhalila potenciální únos DNS. Fuj! (Také nesprávně klasifikoval několik programů jako malware a adware, takže buďte opatrní, abyste zkontrolovali, které soubory správně čistíte a dáváte do karantény.)

zemana

Chcete-li provést úplnou kontrolu systému pomocí Zabezpečení systému Windows, postupujte takto:

  • Proveďte rychlé vyhledání systému'Zabezpečení Windows'
  • PřístupZabezpečení systému Windowsa klikněte na ikonu štítu vlevo
  • Klikněte naMožnosti skenování
  • Přepnout naÚplné skenování
  • Klikněte naSkenujte nyní

Společnost Microsoft neustále vylepšuje svůj vestavěný antivirový software Windows, ale stále to není tak dobré řešení jako možnost nástroje třetích stran na vyžádání, jako je Zemana nebo mnoho dalších vysoce kvalitních antivirových programů. Všimněte si, že jakýkoli AV nástroj třetí strany, který nainstalujete, automaticky deaktivuje zabezpečení Windows.

Při jednání s ransomware pro uzamčení obrazovky , možná budete muset zadat Nouzový režim zprovoznit odstraňovače virů na vyžádání nebo správně spustit obnovu systému. Dokonce i některé scareware vám mohou občas zabránit v otevření programů pro odstraňování virů, ale obvykle vám v tom nemohou zabránit, když jste v nouzovém režimu. Pokud máte potíže s restartováním počítače v nouzovém režimu (zřetelná možnost, pokud máte zámek obrazovky), podívejte se na našeho průvodce na Jak spustit Windows v nouzovém režimu .

Možnost 2: Proveďte obnovení systému

Další možností je provést obnovení systému do bodu před tím, než scareware nebo zámek obrazovky začaly vyskakovat zprávy. Pokud používáte systém Windows, je tato možnost k dispozici pouze v případě, že máte počítač nastaven na vytváření bodů obnovení systému v předem nastavených intervalech nebo pokud jste tuto akci provedli sami ručně.

(Ti, kteří přistupují k této příručce jako preventivní opatření proti ransomwaru, by se měli obrátit na možnost 1, kde hovoříme o tom, jak vytvořit body obnovení v systému Windows.)

Pokud nemáte žádné nedávné body obnovení pro váš počítač se systémem Windows (nebo vůbec žádné), tato možnost pro vás nebude užitečná, pokud právě procházíte virovou infekcí.

obnovení systému

  • Pokud se zobrazí, že již zálohu máte, vyberte záložní soubory z nejnovějšího bodu obnovení nebo z libovolného bodu obnovení, který si přejete.

obnovení systému

Proces obnovení zálohy může trvat několik minut, zejména pokud je objem obnovovaných dat značný. To by však mělo obnovit váš systém souborů do stavu před stažením a instalací viru.

Pamatujte, že skenování i obnova mohou mít zpožděnou reakční dobu, takže je dobré udělat obojí.

Indiana University také poskytuje užitečnou znalostní základnu s několika pokročilými metodami nepříjemnější strašák . Doporučujeme také podívat se na naše Kompletní průvodce malwarem a prevencí Windows . Provede vás procesem odstranění malwaru a tím, jak tento proces vypadá s několika různými programy.

Odstranění ransomwaru: Jak odstranit ransomware šifrující soubory

Jakmile se šifrovaný ransomware dostane do vašeho systému, máte potíže, pokud si chcete ponechat jakákoli neuložená data nebo cokoli, co nebylo zálohováno (alespoň aniž byste za to museli platit přes nos). Zaplacení výkupného je lákavé, ale ne vždy efektivní. Podle zprávy Sophos 2021 State of Ransomware společnosti, které zaplatily výkupné, obvykle dostaly zpět pouze přibližně 65 % jejich dat . Pouze 8 % získalo zpět všechna data, která byla držena za účelem výkupného.

S ohledem na rizika placení výkupného, ​​pokud vás zasáhne ošklivý šifrovací ransomware, nepropadejte panice a pokud se mu vůbec můžete vyhnout,nepodporujte hackery ransomwaru tím, že zaplatíte.Pro odstranění ransomwaru máte dvě alternativní možnosti:

  • Najměte si profesionální službu odstraňování ransomwaru: Pokud máte rozpočet na najmutí profesionála a rozhodnete se, že obnovení vašich souborů za ty peníze stojí, může to být nejlepší postup. Mnoho společností, vč Osvědčená obnova dat a Cytelligence , se specializují na poskytování služeb odstraňování ransomwaru. Všimněte si, že některé se účtují, i když je odstranění neúspěšné, zatímco jiné ne.
  • Pokuste se odstranit ransomware sami: To je obvykle zdarma a může to být lepší volba, pokud nemáte prostředky na najmutí profesionála. Vlastní obnova souborů obvykle zahrnuje nejprve odstranění malwaru a poté použití nástroje k dešifrování souborů.

Pokud chcete problém vyřešit sami, vyzkoušejte tyto kroky:

Krok 1: Spusťte antivirový program nebo odstraňovač malwaru, abyste se zbavili šifrovacího viru


Důležitá poznámka:Odstranění šifrovacího ransomwarového viru není totéž jako dešifrování souborů. Pokud jste byli zasaženi ransomwarem, stále budete muset dešifrovat nebo obnovit soubory pomocí jiných nástrojů.

Vraťte se zpět k pokynům pro odstranění malwaru/viru, které jsou uvedeny v části odstranění scareware/skříňky obrazovky výše. Proces odebrání v tomto kroku bude stejný, s jednou výjimkou: DŮRAZNĚ VÁM DOPORUČUJEME, ABYSTE TENTO Virus ODSTRANILI V BEZPEČNÉM REŽIMU BEZ PŘÍSTUPU K SÍTI.

Existuje šance, že ransomware pro šifrování souborů, kterým jste se nasmlouvali, také ohrozil vaše síťové připojení. Některé varianty potřebují komunikovat zpět s hostitelským serverem; přerušení této komunikace může pomoci zabránit další akci ze strany hackera, který infikoval systém.

Odstranění malwaru je důležitéPrvní krokse s tímto problémem vypořádat. V tomto případě bude fungovat mnoho spolehlivých programů, ale ne každý antivirový program je navržen tak, aby odstranil typ malwaru, který šifruje soubory. Účinnost programu na odstranění malwaru si můžete ověřit prohledáním jeho webových stránek nebo kontaktováním zákaznické podpory.

Krok 2: Pokuste se dešifrovat soubory pomocí bezplatného nástroje pro dešifrování ransomwaru

Opět byste měli udělat vše pro to, abyste neplatili výkupné. Dalším krokem bude vyzkoušet nástroj na dešifrování ransomwaru. Bohužel neexistuje žádná záruka, že bude existovat nástroj pro dešifrování ransomwaru, který bude fungovat s ransomwarem infikujícím váš systém. Možná máte variantu, která se ještě musí rozlousknout

Kaspersky Labs, McAfee a několik dalších organizací provozuje webovou stránku s názvem Žádné další výkupné! kde si kdokoli může stáhnout a nainstalovat dešifrovače ransomwaru nebo nechat ransomware identifikovat.

Průvodce odstraněním ransomwaru už žádné výkupné

Kaspersky také nabízí bezplatné dešifrovače ransomwaru na svých webových stránkách.

Nejprve vám doporučujeme použít Už žádný krypto šerif Ransom nástroj k posouzení, jaký typ ransomwaru máte a zda aktuálně existuje dešifrovací nástroj, který vám pomůže dešifrovat vaše soubory. Funguje to takto:

  • Vyberte a nahrajte dva zašifrované soubory z počítače
  • Uveďte adresu URL webových stránek, e-mailovou adresu nebo adresu cibule nebo bitcoinovou adresu uvedenou v žádosti o výkupné
  • Pokud v požadavku nebyly uvedeny žádné informace, nahrajte soubor .txt nebo .html s poznámkou o výkupném

Krypto šerif.

Crypto Sheriff zpracuje tyto informace proti své databázi, aby zjistil, zda existuje řešení. Pokud není nabídnut žádný návrh, nevzdávejte to. Jeden z dešifrovačů může stále fungovat, i když možná budete muset stáhnout každý z nich. Bude to sice pomalý a náročný proces, ale mohlo by stát za to vidět tyto soubory dešifrovat.

Úplnou sadu dešifrovacích nástrojů naleznete pod Karta Nástroje pro dešifrování na No More Ransom! webová stránka.

Spuštění dešifrovačů souborů je obvykle jednoduché. Většina dešifrovačů je dodávána s návodem od vývojáře nástroje (mnoho z nich je od Emsisoft, Kaspersky Labs, Check Point nebo Trend Micro). Každý proces se může mírně lišit, takže si budete chtít přečíst průvodce PDF pro každý z nich, pokud je k dispozici.

Zde je příklad procesu, který byste použili k dešifrování ransomwaru Philadelphia:

  • Vyberte jeden zašifrovaný soubor ve vašem systému a verzi tohoto souboru, která je aktuálně nezašifrovaná (ze zálohy). Umístěte tyto dva soubory do jejich vlastní složky v počítači.
  • Stáhněte si Philadelphia decryptor a přesuňte spustitelný soubor do stejné složky jako vaše spárované soubory.
  • Vyberte dvojici souborů a poté přetáhněte soubory do spustitelného souboru decryptoru. Decryptor pak začne určovat správné klíče potřebné k dešifrování souboru.
  • Tento proces může nějakou dobu trvat v závislosti na složitosti programu

Philadelphia decryptor

  • Po dokončení obdržíte dešifrovací klíč pro všechny soubory zašifrované ransomwarem.

Philadelphia decryptor

  • Dešifrovací program vás poté požádá o přijetí licenční smlouvy a poskytne vám možnosti, ze kterých jednotek chcete soubory dešifrovat. Umístění můžete změnit v závislosti na tom, kde jsou soubory aktuálně umístěny, a také některé další možnosti, které mohou být nezbytné v závislosti na typu ransomwaru. Jedna z těchto možností obvykle zahrnuje možnost uchovávat zašifrované soubory
  • Jakmile budou soubory dešifrovány, v uživatelském rozhraní decryptoru se zobrazí zpráva

Tento proces opět nemusí fungovat, protože můžete mít ransomware, pro který není k dispozici žádný decryptor. Přesto, vzhledem k tomu, že je k dispozici mnoho dešifrovačů, je nejlepší jít touto cestou před zaplacením peněz za dešifrovací služby a dlouho předtím, než zvážíte platbu výkupného.

Možnost zálohování: Vyčistěte systém a proveďte kompletní obnovu dat ze zálohy dat

Kroky 1 a 2 fungují pouze při společném použití. Pokud vám ani jedno nefunguje, budete muset postupovat podle tohoto kroku. Doufejme, že již máte zavedenou solidní a spolehlivou zálohu dat. Pokud ano, nepodléhejte pokušení zaplatit výkupné. Místo toho požádejte odborníka na IT, aby obnovil vaše soubory a systém ze zálohy dat.

To je také důvod zálohování a obnova holých kovů jsou důležité. Je velká šance, že váš IT odborník bude muset provést kompletní obnovu holého kovu za vás. To zahrnuje nejen vaše osobní soubory, ale také váš operační systém, nastavení a programy. Uživatelé Windows možná budou muset zvážit kompletní reset systému na tovární nastavení.

Společnost Microsoft nabízí některé strategie (většinou preventivní) pro větší organizace se svými Projekt zmírnění ransomwaru provozovaný člověkem .

Historie ransomwaru

Jak již bylo zmíněno, ransomware není nový koncept a existuje již mnoho let. I když níže uvedená časová osa není vyčerpávajícím seznamem ransomwaru, poskytuje vám dobrou představu o tom, jak se tato forma útoku v průběhu času vyvíjela.

  • 1989 – Trojan „Aids“, alias PC Cyborg, se stává prvním známým případem ransomwaru na jakémkoli počítačovém systému.
  • 2006 – Po desetileté přestávce se ransomware masově vrací se vznikem Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip a MayArchive. Všechny jsou pozoruhodné tím, že používají sofistikované šifrovací algoritmy RSA.
  • 2008 – Na scénu přichází Gpcode.AK. Při použití 1024bitových klíčů RSA je prolomení vyžadováno obrovské úsilí, které je pro většinu uživatelů mimo možnosti.
  • 2010 – WinLock zasáhne uživatele v Rusku, zasype displeje pornem, dokud uživatel nezavolá na číslo se zvýšenou sazbou za 10 USD.
  • 2011 – Nejmenovaný trojský kůň zablokuje počítače se systémem Windows a nasměruje návštěvníky na falešnou sadu telefonních čísel, pomocí kterých mohou znovu aktivovat své operační systémy.
  • 2012 – Reveton informuje uživatele, že jejich počítač byl použit ke stažení materiálů chráněných autorským právem nebo dětské pornografie, a požaduje zaplacení „pokuty“.
  • 2013 – Příchod dnes nechvalně známého CryptoLockeru. Zvyšování úrovně šifrování je neuvěřitelně těžké obejít.
  • 2013 – Objeví se skříňka a požaduje platbu 150 $ na virtuální kreditní kartu.
  • 2013 – Těžko zjistitelné, CryptoLocker 2.0 přidává použití Tor pro větší anonymitu pro kriminálního kodéra, který jej vytvořil.
  • 2013 – Cryptorbit také přidává do svého repertoáru použití Tor a kóduje prvních 1,024 bitů každého souboru. Instaluje také bitcoinový těžař, aby dojil oběti pro extra zisk.
  • 2014 – CTB-Locker se zaměřuje především na stroje v Rusku.
  • 2014 – Další významný pokrok, CryptoWall infikuje počítače prostřednictvím infikovaných webových reklam a dokáže ovlivnit miliardy souborů po celém světě.
  • 2014 – Poněkud přátelštější kousek ransomwaru, Cryptoblocker se vyhýbá souborům Windows a cílí na soubory menší než 100 MB.
  • 2014 – SynoLocker se zaměřuje na zařízení Synology NAS a šifruje každý soubor, který na nich najde.
  • 2014 – TorrentLocker využívá k šíření spamových e-mailů, přičemž se současně zaměřuje na různé geografické oblasti. Také zkopíruje e-mailové adresy z adresáře dotčených uživatelů a rozešle se také těmto stranám.
  • 2015 – Další těžko odhalitelný kousek ransomwaru, CryptoWall 2.0 používá Tor pro anonymitu a přichází různými způsoby.
  • 2015 – TeslaCrypt a VaultCrypt lze popsat jako specializovaný ransomware v tom smyslu, že se zaměřují na konkrétní hry.
  • 2015 – CryptoWall 3.0 vylepšuje svého předchůdce tím, že je dodáván v balíčku exploitů.
  • 2015 – CryptoWall 4.0 přidává další vrstvu do svého šifrování zakódováním názvů zašifrovaných souborů.
  • 2015 – Další úroveň ransomwaru vidí, že Chimera nejen šifruje soubory, ale také je zveřejňuje online, když se neplatí výkupné.
  • 2016 – Na scénu přichází Locky, pojmenovaný především proto, že přejmenuje všechny vaše důležité soubory, aby měly příponu .locky.
  • 2016 – KeRanger umístěný na BitTorrentu je prvním známým ransomwarem, který je plně funkční na Mac OS X.
  • 2016 – Program LeChiffre, pojmenovaný po padouchovi Bonda v Casino Royale, který unese Bondův milostný zájem, aby vymohl peníze, využívá špatně zabezpečených vzdálených počítačů v dostupných sítích. Poté se přihlásí a spustí ručně na těchto systémech.
  • 2016 – Jigsaw zašifruje a poté postupně odstraní soubory, dokud nebude zaplaceno výkupné. Po 72 hodinách budou všechny soubory smazány.
  • 2016 – Ransomware SamSam přichází s funkcí živého chatu, která obětem pomáhá s platbou výkupného.
  • 2016 – Ransomware Petya využívá popularity služeb sdílení souborů v cloudu tím, že se distribuuje prostřednictvím Dropboxu.
  • 2016 – První ransomwarový červ přichází v podobě ZCryptor, který také infikuje externí pevné disky a flash disky připojené ke stroji.
  • 2017 – Crysis se zaměřuje na pevné, vyměnitelné a síťové disky a využívá výkonné metody šifrování, které je obtížné prolomit dnešními výpočetními schopnostmi.
  • 2017– WannaCry se šíří prostřednictvím phishingových e-mailů a síťových systémů. WannaCry jedinečně používá k infikování systémů ukradená zadní vrátka NSA a také další zranitelnost ve Windows, která byla opravena více než měsíc před vydáním malwaru (další podrobnosti níže).
  • 2018– Objevuje se ransomware Ryuk a rychle se stává nejhorším ransomwarem na trhu, stává se větším a ničivějším než WannaCry. Podle Trend Micro měl Ryuk největší požadavek na výkupné jakéhokoli šifrovače za 12,5 milionů USD.
  • 2019– Město Baltimore je v květnu zasaženo ransomwarovou variantou s názvem RobinHood. Téměř každý server, který město používalo, byl přepnut do režimu offline. Hackeři požadovali 13 bitcoinů, což v té době bylo kolem 76 000 USD, ale v této době psaní (červenec 2021) má hodnotu přes 428 000 USD. Systém města nebyl plně obnoven až do konce měsíce. Ke své cti, Baltimore nezaplatil výkupné, ale později uvedl, že ransomware sanace stálo město 18 milionů dolarů .
  • 2020– V květnu 2020 byl poskytovatel IT služeb Cognizant zasažen ransomwarovým útokem tak velkým, že společnost stál mezi 50 až 70 milionů dolarů v příjmech. Jednalo se zejména o „bludiště“ dvojitou hrozbu, protože hackeři nejen zašifrovali data, ale také vytvořili kopii dat společnosti Cognizant a poté hrozili únikem dat, pokud nebudou splněny jejich požadavky.
  • 2021– Tento rok se objevila nová hrozba. V květnu byla společnost Colonial Pipeline, která je zodpovědná za přepravu paliva pro velké procento východního pobřeží USA, zasažena ransomwarovým útokem díky prolomené heslo . Útok měl za následek snížení kapacity paliva ve více než tuctu států a více než dva týdny nedostatku paliva pro miliony lidí. Bylo to poprvé, kdy důležitá infrastruktura země utrpěla ransomwarový útok. Colonial Pipeline později přiznal, že zaplatil výkupné, ale ve vzácných případech americká vláda později získala zpět většinu peněz za výkupné .

Časté dotazy k ransomwaru

Můžete odstranit ransomware?

Ano, ransomware můžete odstranit. Antivirový software může odstranit ransomware z vašeho počítače nebo systému. Odstranění ransomwaru však nedešifruje žádné soubory, které byly zašifrovány virem ransomwaru, který infikoval váš systém.

Jak se ransomware dostane do vašeho počítače?

Ransomware se může do vašeho počítače dostat stejným způsobem jako jiný malware. Mezi běžné útočné vektory patří:

  • Instalace infikovaných souborů
  • Klikání na odkazy na infikovaných webech
  • Připojování neznámých jednotek USB k počítači
  • Hackování účtu nebo systému kvůli špatnému zabezpečení hesla
  • Útoky hrubou silou od hackerů

Měli byste platit ransomware?

Ne, neměli byste platit výkupné, pokud se nakazíte ransomwarem. Placení výkupného nejen podporuje tento typ útoku, ale nemusí vést k uvolnění vašich souborů. Může být také výjimečně drahý.

Co se stane, když dostanu ransomware?

Pokud do svého počítače nebo sítě dostanete ransomware, malware začne šifrovat vaše soubory. Nakonec vás to uzamkne z vašeho systému a bude vyžadovat platbu (často prostřednictvím kryptoměny) za vydání souborů prostřednictvím dešifrovacího klíče.

^