Ransomware - twój wróg

Aby skutecznie bronić się przed ransomware, musisz zapamiętać, że nie jest on wrogiem twojego komputera – nie niszczy sprzętu i dość łatwo go skasować, wystarczy przeinstalować system. Jest on wrogiem użytkownika, czyli twoim, bo pozbawia cię nieodwracalnie wszystkich zgromadzonych w komputerze plików. Dlatego musisz nauczyć się, jak nie dopuścić do infekcji. Jest na to jeden sposób – robić kopie zapasowe danych i używać zdrowego rozsądku w internecie.

Nazwa szkodnika pochodzi od słowa ransom, czyli okup. Ransomware to rodzaj cyberterrorysty, który „bierze do niewoli” wszystkie lub tylko wybrane pliki w twoim komputerze, szyfrując je tak, że stają się dla ciebie bezużyteczne. Niektóre odmiany szkodnika blokują jedynie komputer, nie dając z niego w żaden sposób korzystać. W zamian za „uwolnienie” komputera i odszyfrowanie plików cyberprzestępcy żadają okupu płaconego zwykle w kryptowalucie. Typowa cena za odblokowanie jednego komputera to kilkaset USD.

Okupu nie należy płacić, bo to zachęca cyberprzestępców do dalszych działań, jednak jeżeli zdecydujesz się zapłacić, pamiętaj, że masz około 70 proc. szansy na to, że otrzymasz klucz pozwalający odszyfrować pliki. Przestępcy próbują wywiązywać się ze swoich obietnic, bo jeżeli przestaną, to ludzie nie będą skłonni płacić i szyfrowanie komputerów przestanie być opłacalnym biznesem. Z drugiej jednak strony nie masz żadnej gwarancji, że oprócz plików nie stracisz także pieniędzy. Pamiętaj, że masz do czynienia z ludźmi, którzy wcale nie muszą dotrzymać słowa.

Jeżeli twój komputer został zaatakowany przez ransomware, musisz pogodzić się z przykrą prawdą – właśnie straciłeś wszystkie pliki. Nie ma prostej metody na odwrócenie szyfrowania. Jest ono na tyle mocne, że w praktyce nie da się złamać. W takiej sytuacji musisz sięgnąć do kopii zapasowej plików i przywrócić je z niej. Jeżeli nie masz takiej kopii, to właśnie straciłeś wszystkie pliki.
Jeżeli kod ransomware zawiera błędy, to wówczas może udać się stworzenie programu odszyfrowującego pliki. Takie lekarstwo powstaje jednak nie wcześniej niż kilka miesięcy po epidemii wirusa, a w dodatku nie ma gwarancji, że w ogóle się pojawi. Zawsze jednak warto sprawdzić, czy nie jest gotowe.
Jeżeli złośliwy program jedynie blokuje dostęp do komputera, wypróbuj narzędzie firmy Trend Micro dostępne pod adresem pcformat.pl/u/3012. Zbiory darmowych programów odszyfrowujących niektóre wersje ransomware można też znaleźć pod adresami pcformat.pl/u/3013 i pcformat.pl/u/3014.

Jak bronić się przed ransomware?

Ransomware na dobrą sprawę niszczy pliki dlatego najważniejszą i najskuteczniejszą metodą obrony przed nim jest regularne wykonywanie kopii bezpieczeństwa ważnych danych. Aplikacja wykorzystywana do tego celu może być dowolna, ale powinieneś sprawdzić, czy działa. Nie ma nic gorszego niż zostać w obliczu awarii z niedziałającą kopią zapasową. Bardzo funkcjonalną, choć uciążliwą w tworzeniu wersją kopii jest klon całego dysku systemowego. Wymaga to podłączenia drugiego dysku i za pomocą aplikacji (np. DriveImage XML, Macrium Reflect, Shadow Copy, XXClone, EaseUS Disc Copy) skopiowania całej struktury dysku na drugi. Metoda ma tę zaletę, że w razie awarii wystarczy podmienić dyski i można kontynuować pracę, nie ma konieczności wykonywania operacji przywracania danych.

Ani Windows, ani jakiekolwiek zainstalowane w nim programy nie są doskonałe – mają dziury. Większość z nich jest łatana kolejnymi aktualizacjami, dlatego warto je regularnie instalować. Zmniejsza to prawdopodobieństwo zainfekowania komputera.

Przyzwoity program antywirusowy także pomaga uniknąć zagrożenia. Istotne jest tu korzystanie z tzw. analizy heurystycznej, która niestety wydłuża czas skanowania, nieco bardziej obciąża komputer i skutkuje częstszymi fałszywymi alarmami. Jest jednak potrzebna, gdyż umożliwia wykrycie nowych wirusów, które jeszcze nie znajdują się w bazie programu, a właśnie do tej kategorii należy najczęściej ransomware.

Sieciową tożsamość łatwo można ukraść, a ty nie widzisz osoby, która wysłała e-maila czy rozmawia z tobą przez komunikator. Jeżeli więc dostajesz od znajomego dziwny list lub nagle ktoś namawia cię na pobranie bliżej nieokreślonego pliku czy odwiedzenie podejrzanej strony WWW, zachowaj czujność. Zadzwoń i zapytaj, czy to on, czy ktoś przejął jego konto. Lepiej dmuchać na zimne niż stracić archiwum zdjęć z całego życia.

Jeżeli dostajesz e-mailem załącznik, zastanów się chwilę nad treścią listu. Skąd Poczta Polska czy inna firma kurierska ma twój e-mail? Czy czekasz na przesyłkę, fakturę albo inny dokument? Dlaczego przesłany dokument jest spakowany (np. w formacie ZIP) i to często wielokrotnie? Takie załączniki to w 99 proc. zamaskowane wirusy, bardzo często właśnie ransomware. Przed wieloma z nich nie ochroni żaden program antywirusowy, bo nie są to samouruchamiające się aplikacje – musi je ręcznie uruchomić użytkownik komputera. Właśnie na twoją niefrasobliwość i niezaspokojoną ciekawość liczą twórcy szkodników.

Każdy plik ma rozszerzenie determinujące jego typ (3–4 litery po kropce). Domyślnie Windows je ukrywa, ale warto je widzieć, aby wiedzieć, z czym masz do czynienia. Niekiedy złośliwe programy ukrywają fakt bycia plikiem wykonywalnym EXE, VBS, czy SCR przez stosowanie podwójnego rozszerzenia – Windows traktuje jako właściwe rozszerzenie jedynie to ostatnie. Plik może udawać film, nazywając się np. koty.avi.exe.