Rozwój nowoczesnych technologii wiąże się ze wzrostem liczby ataków hakerskich popełnianych każdego dnia. Podczas surfowania po internecie nietrudno natrafić na zagrożenie. Fałszywa reklama, z pozoru zwykły link do witryny, plik załączony w mailu – wystarczy jedno kliknięcie, aby na nasze urządzenie został pobrany złośliwy wirus. Na szczególną uwagę zasługuje oprogramowanie ransomware, które bardzo często prowadzi do poważnych strat finansowych osoby, która wpadła w jego pułapkę. Czy zatem da się przed nim uchronić? Co to jest ransomware i jak usunąć go z urządzenia? O tym szerzej w poniższym artykule.
Spis treści:
1.1 Jak przebiega atak ransomware?
2. Rodzaje oprogramowania ransomware
2.1.1 Jak rozpoznać oprogramowanie scareware?
2.2.1 Screen Locker – jak rozpoznać?
2.3.1 Jak działa oprogramowanie szyfrujące?
3. Jak usunąć ransomware z urządzenia?
Co to jest ransomware?
Ransomware to rodzaj złośliwego oprogramowania (malware), które infekuje urządzenia – zazwyczaj komputery – i sieci, a następnie (w przypadku jego najgroźniejszej odmiany) szyfruje dane, uniemożliwiając dostęp do nich ich właścicielom. Nazwa „ransomware” pochodzi od angielskiego słowa „ransom”, które oznacza okup. Cyberprzestępcy żądają od ofiar zapłaty w zamian za klucz deszyfrujący, który pozwoli na przywrócenie dostępu do zaszyfrowanych danych.
Jak przebiega atak ransomware?
Atak ransomware rozpoczyna się zazwyczaj poprzez otwarcie zainfekowanego załącznika e-mailowego, kliknięcie na podejrzany link lub pobranie złośliwego pliku z niezaufanych źródeł. Po dostaniu się na urządzenie, ransomware rozpoczyna proces szyfrowania danych, wykorzystując do tego zaawansowane metody kryptograficzne. Celem może paść dowolny plik znajdujący się na dysku: dokument tekstowy (np. docx, txt), film (np. mp4, avi, m4a), obraz (np. jpeg, gif, png) czy baza danych (np. ai, aql). Po zakończeniu szyfrowania ofiara otrzymuje komunikat z żądaniem zapłaty okupu w zamian za klucz umożliwiający ponowny dostęp do plików.
Okup najczęściej przybiera formę kryptowaluty – zazwyczaj Bitcoina -, aby utrudnić śledzenie i identyfikację sprawcy.
Rodzaje oprogramowania ransomware
Na ten moment można wyróżnić trzy główne rodzaje oprogramowania ransomware, z którego cyberprzestępcy korzystają najczęściej. To, co je różni, to powaga zagrożenia. Niektóre z nich mogą irytować, inne przestraszyć, a jeszcze inne stanowią poważne niebezpieczeństwo dla naszych plików oraz finansów.
Oprogramowanie scareware
Scareware to rodzaj złośliwego oprogramowania, które ma na celu wprowadzić użytkownika w błąd oraz przekonać go do zakupu fałszywej aplikacji bądź narzędzia zabezpieczającego. Wszystko to dzieje się poprzez generowanie alarmujących komunikatów lub ostrzeżeń dotyczących wykrytych zagrożeń na komputerze.
Oprogramowanie scareware (oprogramowanie zastraszające) często prezentuje się jako program antywirusowy lub narzędzie ochronne, które rzekomo wykryło wiele szkodliwych plików, trojanów lub innych zagrożeń na komputerze użytkownika. W rzeczywistości, scareware nie posiada zdolności do identyfikacji ani usuwania wirusów. Jego celem jest jedynie zasianie paniki i przekonanie właściciela urządzenia do zakupu pełnej wersji fałszywego programu lub narzędzia.
Jak rozpoznać oprogramowanie scareware?
Typowe objawy scareware obejmują:
- Wyświetlanie alarmów i ostrzeżeń o wykrytych wirusach lub zagrożeniach, które są mocno przesadzone i nieprawdziwe.
- Komunikaty, które sugerują, że komputer jest zainfekowany i znajduje się w poważnym niebezpieczeństwie.
- Blokowanie dostępu do innych programów lub stron internetowych, a jedynym sposobem na ich odblokowanie jest zakupienie fałszywej licencji scareware.
Jak zostało wspomniane wcześniej, głównym celem scareware jest oszukanie użytkownika, aby zapłacił za pełną wersję programu lub narzędzia, które rzekomo naprawi problemy lub usunie wykryte zagrożenia. Niestety, zazwyczaj po uiszczeniu okupu użytkownik nie otrzymuje żadnej wartościowej usługi, a oprogramowanie scareware pozostaje na komputerze.
Należy sobie uświadomić, że renomowani twórcy oprogramowania zabezpieczającego nigdy nie posuną się do takich praktyk, aby zdobyć nowych klientów. Ważne jest aby zrozumieć, że jeśli nie zainstalowaliśmy na swoim komputerze konkretnej ochrony antywirusowej, to nie będzie ona monitorować naszego systemu w poszukiwaniu infekcji. Jeżeli z kolei dysponujemy już rozwiązaniem danej firmy, to nie ma potrzeby dodatkowo płacić za usunięcie wirusa – w końcu wybrany program już wcześniej zakupiliśmy właśnie w tym celu.
Oprogramowanie blokujące
Screen Locker – a więc oprogramowanie blokujące – to odmiana ransomware, która blokuje dostęp do komputera lub innego urządzenia poprzez wyświetlanie fałszywych komunikatów na ekranie. Jej głównym celem jest wywołanie u użytkownika strachu i paniki, a tym samym przekonanie go do zapłacenia okupu w zamian za przywrócenie utraconego dostępu. Wyświetlany komunikat może informować wprost o okupie, jednak ransomware często też podszywa się pod organy ścigania lub instytucje rządowe, aby sprawiać wrażenie bardziej autentycznego.
Screen Locker – jak rozpoznać?
Komunikat wyświetlany przez oprogramowanie blokujące może zawierać różne informacje, takie jak:
- Ostrzeżenie o naruszeniu prawa lub działalności nielegalnej, które rzekomo popełnił użytkownik, co ma na celu zmuszenie go do zapłaty okupu aby uniknąć konsekwencji prawnych.
- Komunikat informujący o wykryciu wirusa na komputerze, co ma wprowadzić użytkownika w panikę i skłonić go do zapłaty okupu w zamian za usunięcie zagrożenia.
- Wiadomość o blokadzie komputera z powodu naruszenia licencji lub zasad korzystania z wybranego oprogramowania.
Aby przekonać użytkownika do zapłaty okupu, komunikat może zawierać dokładną instrukcję dotyczącą dokonywania płatności za pomocą kryptowaluty. W przypadku tego rodzaju ransomware warto pamiętać, że żadna firma ani instytucja nie blokuje w ten sposób urządzeń, ani też nie może żądać opłat za działalność niezgodną z prawem. W przypadku zaistnienia podejrzenia dotyczącego rozpowszechniania nielegalnych treści lub oprogramowań, kontakt z użytkownikiem zawsze odbywa się poprzez dostępne legalne kanały.
Oprogramowanie szyfrujące
Największy stopień zagrożenia stanowi oprogramowanie szyfrujące. Ten rodzaj ransomware stosuje zaawansowane algorytmy kryptograficzne do przekształcania danych w taki sposób, że stają się one nieczytelne dla osób nieautoryzowanych. Proces ten jest odwracalny – dzięki zastosowaniu odpowiedniego klucza pliki mogą zostać odszyfrowane i przywrócone do pierwotnej, czytelnej postaci.
Głównym celem oprogramowania szyfrującego jest zapewnienie poufności danych poprzez zabezpieczenie ich przed oczami osób nieuprawnionych. W przypadku ransomware, cyberprzestępcy blokują dostęp do plików użytkownika na zainfekowanym wirusem komputerze. Po zaszyfrowaniu danych, ransomware zazwyczaj wyświetla wiadomość z żądaniem okupu. Hakerzy bardzo często stawiają ultimatum, że jeżeli użytkownik nie zapłaci podanej kwoty, to wszystkie jego pliki pozostaną zaszyfrowane, a on bezpowrotnie straci do nich jakikolwiek dostęp.
Jak działa oprogramowanie szyfrujące?
Oprogramowanie szyfrujące może stosować różne algorytmy kryptograficzne, takie jak Advanced Encryption Standard (AES), RSA, czy Twofish. Przykładowo, szyfrowanie asymetryczne – takie jak RSA – w algorytmie wykorzystuje dwa klucze (publiczny i prywatny). Klucz publiczny szyfruje dane, natomiast klucz prywatny jest potrzebny do ich odszyfrowania.
W przypadku ransomware, cyberprzestępcy zazwyczaj wykorzystują szyfrowanie symetryczne, w którym ten sam klucz jest używany zarówno do szyfrowania, jak i odszyfrowania danych. Klucz ten jest często generowany losowo przez ransomware, a następnie przechowywany przez hakerów, którzy żądają okupu w zamian za jego udostępnienie i przywrócenie dostępu do zaszyfrowanych plików.
W momencie wystąpienia tej odmiany ransomware na urządzeniu zaleca się niepłacenie okupu, ponieważ nie ma gwarancji, że przestępca rzeczywiście przywróci dostęp do utraconych plików. Zamiast tego, incydent należy zgłosić odpowiednim organom ścigania i skorzystać z profesjonalnych narzędzi antywirusowych w celu próby usunięcia ransomware z zainfekowanego systemu. Regularne tworzenie kopii zapasowych danych w chmurze lub na nośnikach zewnętrznych również jest ważne, aby zapewnić możliwość odtworzenia plików w przypadku całkowitej utraty dostępu.
Jak usunąć ransomware z urządzenia?
Usunięcie ransomware może sprawić nieco kłopotu, ponieważ oprogramowanie to występuje w różnych wersjach, przez co może też wpływać na system w różny sposób. Niezależnie od typu ransomware, pierwszym krokiem powinna być izolacja zainfekowanego urządzenia: należy odłączyć je od sieci oraz wszelkich nośników danych, aby zapobiec dalszemu rozprzestrzenianiu się wirusa.
W przypadku oprogramowania szyfrującego oraz scareware, użytkownik zazwyczaj wciąż może zalogować się do komputera. Wówczas warto uruchomić tryb awaryjny i rozpocząć skanowanie w celu wykrycia złośliwego oprogramowania. Należy postępować zgodnie z instrukcjami podanymi przez program antywirusowy, a zainfekowane pliki permanentnie usunąć z urządzenia. W wielu przypadkach tyle wystarczy, aby odzyskać pełen dostęp do danych i pozbyć się uporczywych, fałszywych komunikatów.
W przypadku oprogramowania ransomware typu locker, sprawa jest nieco bardziej skomplikowana. Ponieważ ten rodzaj wirusa blokuje dostęp do całego komputera, do wyboru są trzy możliwości:
- ponowna instalacja systemu operacyjnego,
- uruchomienie antywirusa z dysku zewnętrznego/rozruchowego,
- przywrócenie kopii zapasowej systemu sprzed momentu zainfekowania ransomware.
Ważne jest, aby po usunięciu ransomware wzmocnić środki bezpieczeństwa, m.in. poprzez wykonywanie regularnych aktualizacji oprogramowania antywirusowego oraz systemu operacyjnego, zachowanie ostrożności i weryfikacji plików, w które zamierzamy kliknąć bądź pobrać, a także tworzenie regularnych kopii zapasowych danych. Warto pamiętać, że edukacja w zakresie cyberbezpieczeństwa, na przykład poprzez dedykowane cyber szkolenia, jest kluczowa w celu uniknięcia przyszłych infekcji ransomware.
