Blokowanie komputerów, aby wymusić okup na ich właścicielach stało się niezwykle popularnym sposobem nielegalnego zarabiania pieniędzy. Europol odnotował lawinowy wzrost zgłoszeń tego przestępstwa w ciągu ostatniego roku, a w samym ostatnim kwartale 2016 roku liczba zgłoszeń wzrosła o ponad 150 procent w porównaniu do trzeciego kwartału. Setki tysięcy użytkowników stało się ofiarami. Na szczęście eksperci ds. bezpieczeństwa coraz częściej potrafią pomóc.
Zespół CERT Polska, wchodzący w skład Narodowego Centrum Cyberbezpieczeństwa (NC Cyber), dołączył właśnie do inicjatywy pod nazwą “No More Ransom”. Zrzesza ona firmy, organizacje i instytucje, które za darmo udostępniają w sieci narzędzia i instrukcje, pozwalające odblokować komputery zaszyfrowane przez ransomware.
Ofiarą ransomware może stać się firma lub osoba prywatna. Europol, powołując się na szacunkowe dane jednej z firm oferujących oprogramowanie antywirusowe, podaje liczbę 718 tysięcy ofiar w latach 2015-2016 (dla porównania w latach 2013-2014 było to 131 tysięcy). Kwoty okupu wahają się, ale średnia wynosi kilkaset dolarów. Przestępcom zależy na tym by zainfekować jak najwięcej komputerów, więc przeważnie nie celują precyzyjnie.
– Do infekcji dochodzi zwykle przez e-mail z załącznikiem lub linkiem. Załącznik może udawać nieszkodliwy plik – np. zdjęcie albo dokument pdf. W Polsce dystrybutorzy ransomware preparowali między innymi mejle udające fakturę od operatora sieci komórkowej lub korespondencję komornika sądowego – wyjaśnia dyrektor NC Cyber Juliusz Brzostek.
Otwarcie załącznika powoduje pobranie wirusa. Drugim popularnym sposobem jest podkładanie szkodliwego kodu na stronach internetowych lub w reklamach. Jeśli program zostanie pobrany, instaluje się na komputerze lub urządzeniu mobilnym i szyfruje dane, pozbawiając właściciela dostępu do nich. Przestępcy zostawiają też komunikat z adresem e-mail lub innym sposobem kontaktu w sprawie okupu. Eksperci radzą by w takim wypadku nie płacić żądanej sumy. Po pierwsze dlatego, że nie ma pewności odblokowania danych (np. program może być wadliwy) po drugie dlatego, że płacenie napędza rynek ransomware.
– Niestety wiele ofiar decyduje się zapłacić. Szczególnie firmy, dla których dane są niezbędne do funkcjonowania. Brak dostępu do nich nawet przez krótki czas powoduje straty, a odzyskiwanie kopii zapasowych zwykle trwa jakiś czas. Może się więc zdarzyć, że koszt odzyskania danych z kopii zapasowej będzie większy niż suma okupu – mówi Juliusz Brzostek.
Analitycy, tacy jak eksperci CERT Polska, na podstawie zgłoszeń od ofiar i badania złośliwych kodów potrafią jednak tworzyć narzędzia do łamania ransomware i często udostępniają je innym. CERT Polska dotąd oferował taką pomoc polskim internautom. Teraz dołączył do międzynarodowej grupy. Na stronie projektu “No More Ransom” można znaleźć porady, instrukcje oraz narzędzia deszyfrujące.
Eksperci radzą jednak przede wszystkim pilnować się i zapobiegać atakowi. “Trzeba aktualizować swoje oprogramowanie, w tym przeglądarkę internetową. Nie otwierać nigdy załączników od niezidentyfikowanego nadawcy. Należy dbać o aktualizację oprogramowania antywirusowego” – tłumaczy dyrektor NC Cyber.
Projekt No More Ransom rozpoczął się w lipcu 2016 roku z inicjatywy holenderskiej Policji, Europolu, firmy Intel Security oraz Kaspersky Lab, wyznaczając nowy model współpracy w walce z ransomware między organami ścigania i sektorem prywatnym. Od momentu uruchomienia projektu liczba partnerów z całego świata stale rośnie. To pokazuje, że ransomware jest problemem na skalę globalną, który musi być i z pewnością będzie rozwiązany dzięki takiej współpracy. Statystyki pokazują, że platformę projektową najczęściej odwiedzają użytkownicy pochodzący z Rosji, Holandii, Stanów Zjednoczonych, Włoch i Niemiec. Obecnie strona www.nomoreransom.org jest dostępna w 14 językach i zawiera 39 darmowych narzędzi do deszyfrowania. Od grudnia 2016 roku, dzięki narzędziom dostępnym nieodpłatnie na platformie, ponad 10 000 ofiar na całym świecie było w stanie odszyfrować swoje zainfekowane urządzenia.