Avast a ochrana před WannaCry a dalšími ransomware útoky

Ransomware WannaCry (taktéž WanaCrypt0r 2.0 nebo WCry) v počítačích s Windows šifruje soubory, znemožňuje k nim přístup a po uživatelích požaduje, aby do 3 dnů zaplatili výkupné v bitcoinech v hodnotě přibližně 300 USD. V květnu 2017, kdy byl zaznamenán jeho největší rozmach, napáchal nejvíce útoků v Rusku, v Číně, na Ukrajině, na Tchaj-wanu, v Indii a Brazílii. WannaCry zaútočil nejen na jednotlivce, ale také na státní organizace, nemocnice, univerzity, železniční společnosti, technologické firmy nebo telekomunikační společnosti ve více než 150 zemích.

Odborníci zjistili, že se ransomware WannaCry chová jako červ a používá dva způsoby útoků z uniklého arzenálu NSA (ETERNALBLUE a DOUBLEPULSAR). Ransomware WannaCry útočí na sítě přes protokol SMB verze 1, který počítačům pomáhá komunikovat s tiskárnami a jinými síťovými zařízeními. Tato verze protokolu z roku 2003 obsahovala bezpečnostní chybu MS17-010, jež hackerům otevírala zadní vrátka do počítačů. Společnost Microsoft pro podporované verze Windows již v březnu vydala příslušnou opravu. Ti uživatelé, kteří si ji neinstalovali, se záhy pro WannaCry stali snadným cílem.

Jak funguje WannaCry a jak se bránit?

WanaCrypt0r 2.0 předtím, než váš počítač infikuje, nejspíš nepoznáte. K tomu, aby vás napadl, nepotřebuje žádnou vaši aktivitu. Tento typ ransomwaru se jako červ šíří přes sítě a v infikovaných počítačích šifruje uživatelské soubory. Když vás napadne, nemáte moc na výběr. WannaCry můžete odstranit antivirovým softwarem, nicméně zašifrované soubory tím nezachráníte. Nejsnadnější cestou k obnovení vašich souborů je jejich obnovení ze zálohy.

Chcete-li se před útoky ransomwaru WannaCry ochránit, je třeba pravidelně aktualizovat používaný software, zejména operační systém. Společnost Microsoft nedávno vydala opravy také pro starší verze Windows, které již nepodporuje. Také používejte antivirus, protože pomáhá v počítači zjistit podezřelou aktivitu. Avast vás ochrání, ať už bezpečnostní opravu máte nainstalovanou či nikoli. Pokročilí uživatelé mohou v nastaveních firewallu omezit síťový provoz pomocí specifických parametrů připojení.

Avast Free Antivirus sice obsahuje dešifrovací nástroj, avšak WannaCry používá velmi silné šifrování (AES-128 v kombinaci s RSA-2048). Avast Free Antivirus naštěstí váš počítač před takovým malwarem dokáže ochránit. Náš nástroj Kontrola Wi-Fi sítě otestuje vaši síť a najde v ní potenciální bezpečnostní problémy.

Čtěte také: Studie o Odpadu z Domácností s Miminky

EternalBlue a DoublePulsar

Váš počítač je zranitelný, protože ve Windows používáte zastaralou verzi služby Sdílení souborů a tiskáren (SMB), jež obsahuje závažnou chybu zabezpečení známou pod názvem EternalBlue. Chyba zabezpečení EternalBlue vás činí vysoce zranitelnými vůči vzdáleným útokům DoublePulsar. Útok DoublePulsar do počítače tajně instaluje nebezpečný backdoor, pomocí kterého mohou útočníci obcházet nainstalované zabezpečení a potají přistupovat do systému. Když útočník získá přístup do vašeho systému, může vám nainstalovat malware nebo ukrást osobní data.

Pokud chcete z počítače odstranit backdoor Double Pulsar a předejít dalším malwarovým útokům, nainstalujte si aktualizaci zabezpečení Microsoft Windows číslo MS17-010. Použijte Pomocníka s aktualizací Windows 10. Pokud aktualizaci nelze nainstalovat, opravíte tuto chybu zabezpečení jedině tak, že ve Windows zakážete službu sdílení souborů, konkrétně verzi 1 protokolu SMB. Jelikož máte v systému chybu zabezpečení EternalBlue, jste zranitelní vůči dalším malwarovým útokům. 12. května 2017 byl backdoor DoublePulsar společně s chybou EternalBlue zneužit ransomwarem WannaCry k infikování tisíců počítačů po celém světě. Chyba zabezpečení EternalBlue postihuje první verzi protokolu SMB (běžně známou jako SMBv1). Protokol SMBv2 a novější verze, které jsou k dispozici od Windows 7, nepostihuje. Novější verze Windows ale SMBv1 stále podporují.

Všechny verze aplikace Avast Antivirus chrání počítač před útoky zneužívajícími chybu zabezpečení EternalBlue, a to za předpokladu, že máte zapnutou funkci Firewall. Avast Antivirus nepodporuje Windows Vista ani Windows XP.

Sodinokibi (REvil) - ransomware jako služba

Ransomware Sodinokibi (též známý jako REvil neboli Ransomware Evil), poprvé identifikovaný v roce 2019, byl vyvinut jako soukromý ransomware jako služba (RaaS) a předpokládá se, že útočí z Ruska. Sodinokibi se poskytuje formou ransomwaru jako služby (RaaS), což znamená, že se na jeho šíření podílejí partneři, kteří si pak s vývojáři rozdělují peníze vydělané platbami výkupného. Šíření formou RaaS znamená, že k jeho kódu mělo přístup hodně lidí, takže vznikla celá řada jeho variant, jež postupně zesílily na agresivitě a začaly útočit z různých stran, například prostřednictvím spamu nebo serverových útoků. Zjistit původ tvůrců tohoto ransomwaru nebylo jednoduché. Jeho útoky se zpočátku soustředily na Asii, ale záhy se objevily i v Evropě.

Operace, do níž se zapojilo 17 zemí, skončila zatčením pěti podezřelých ve spojitosti s ransomwarem Sodinokibi/REvil. I když jde o pozitivní zprávu, neznamená to, že tato hrozba skončila. Na ransomwaru Sodinokibi je nejnáročnější jeho odhalení. Většina jeho kódu je zamaskována či zašifrována, takže pro antiviry je obtížné ho identifikovat.

Čtěte také: Emise u Passatu: Diagnostika a řešení

Jak funguje útok Sodinokibi?

1. Útok začne tím, že ransomware zajistí, aby byl na cílovém koncovém zařízení jediným spuštěným procesem. Následně spustí exploity hledající zranitelnosti, jež nebyly doposud opraveny aktualizacemi zabezpečení. Jakmile skončí, změní svá přístupová oprávnění tak, aby získal úplná oprávnění správce. V systému jsou následně zjištěna ID jazyků. V kódu se nachází seznam výjimek obsahující země podle jazyka zařízení, takže tento ransomware neútočí na koncová zařízení ve východní Evropě. Dále jsou odstraněny soubory zálohovacího systému Windows (stínové kopie) a pomocí editoru zásad spouštění jsou zakázány režimy obnovení.
2. Šifrovací klíče jsou vytvářeny ve dvojicích - jeden je veřejně dostupný a druhý je v rukou útočníka. Bez obou klíčů je obnovení ukradených dat prakticky nemožné.
3. Uživatelské soubory jsou vybrány ze všech souborů, které nebyly označeny jako výjimka, a zašifrovány algoritmem Salsa20, přičemž pro každý soubor je vygenerován jedinečný klíč.
4. Po zašifrování souboru je ve stejné složce vytvořen a umístěn vzkaz s žádostí o výkupné. Takto ransomware postupuje u každé složky obsahující zašifrované soubory. Vzkaz s žádostí o výkupné obsahuje jasné pokyny, jak uživatelé mohou svá data obnovit. Na dané stránce se zobrazí podrobnosti ohledně platby výkupného. Uživatelé musí do určitého termínu zaplatit, aby si mohli stáhnout dešifrovací software. Když to nestihnou, výkupné se jim zdvojnásobí.

Kyberbezpečnostní firmy a americké státní úřady v září 2021 oznámily, že vytvořily bezplatný univerzální dešifrovací klíč, díky němuž mohou všechny firmy napadené před 13. červencem 2021 získat své soubory zpět.

Jak se chránit před Sodinokibi a dalšími ransomware útoky?

Sodinokibi/REvil představuje proměnlivou a nebezpečnou formu ransomwaru, takže by firemní uživatelé měli podniknout kroky, které jsou nezbytné k zabezpečení jejich sítě a zařízení:

• Pravidelné aktualizace systémů.
• Zálohování dat.
• Řízení přístupu. Přístupová oprávnění by měla být striktně omezena jen na osoby, které potřebují přímý přístup. Auditem přístupových oprávnění v celé firmě zajistěte, aby se oprávnění správce používala co nejméně, čímž omezíte přístup k řízení sítě pro případ, že by byl nějaký uživatelský účet napaden.
• Osvojení osvědčených bezpečnostních postupů. Firemní data můžete také ochránit zavedením osvědčených bezpečnostních postupů. Jde například o požadování silných hesel, postup nahlašování podezřelých aktivit nebo smlouvy ohledně práce na dálku, které vyžadují, aby zařízení byla aktualizovaná a zabezpečená.
• Pravidelné inspekce a posuzování zranitelností.
• Vytvoření plánu reakce. Plány pro případ závažných událostí jsou klíčové nejen pro ochranu firmy, ale i jejích digitálních technologií. Pravidelně pořádejte cvičení se simulacemi útoků, aby zaměstnanci věděli, koho kontaktovat, když se setkají s útokem ransomwaru.

Další rady a doporučení pro ochranu před ransomware

Zde je několik dalších rad a doporučení, jak se chránit před ransomware útoky:

1. Zálohujte! Zálohujte! Zálohujte! Připravte obnovu svého systému, aby infekce způsobená ransomware zcela nezničila vaše osobní data. Nejlepší je vytvořit si dvě zálohy: jednu umístěnou v prohlížeči Cloud, k níž budete mít vzdálený přístup (doporučujeme použít službu s automatickým zálohováním dat) a druhou uloženou fyzicky (přenosný disk, jiný laptop, atd.). Záloha by měla být odpojena od vašeho počítače.
2. Používejte silný antivirový program k ochraně vašeho systému. Nevypínejte „heuristické funkce“, protože to umožňuje zachytit vzorky ransomware, který ještě nebyl formálně detekován. Ne vše, co je zdarma, je plně funkční, což platí také o antivirové ochraně.
3. Udržujte veškerý software ve vašem počítači aktualizovaný. Když je zveřejněna aktualizace vašeho operačního systému (OS) nebo aplikací, instalujte je.
4. Nikomu nevěřte. Každý účet může být napaden a odkazy na škodlivý software můžete dostat od svých přátel na sociálních médiích, od kolegů nebo spoluhráčů online her, a to i bez jejich vědomí.
5. Povolte „Zobrazit přípony souborů“ v nastavení Windows ve vašem počítači. Usnadní vám to snadněji odhalovat potenciálně škodlivé soubory. Dávejte si pozor na přílohy typu „.exe“, „.vbs“ a „.scr“.
6. Pokud odhalíte závadný nebo neznámý proces ve svém přístroji, odpojte ho okamžitě od internetu a jiných sítí (jako je Wi-Fi).
7. V případě napadení se obraťte na odborníky z antivirových společností Avast, BitDefender, Eset, Kaspersky, Sophos, apod.
8. Nedoporučujeme platit výkupné (ransom).

Co dělat, když se stanete obětí ransomware útoku?

Pokud se stanete obětí ransomware útoku, je důležité:

1. Obrátit se na NÚKIB i na policii a poskytnout veškeré relevantní informace.
2. Změnit hesla ke všem on-line účtům.
3. Odpojit se od internetu.
4. Nezasahovat do zařízení a počkat na pokyny od autorit.
5. Zkontrolovat a aktualizovat firewall, antivirus a operační systém.
6. Oznámit napadení své bance a dalším finančním institucím, pokud se útočníci dostali k údajům o financích.
7. Uvědomit své blízké, kolegy a kontakty o incidentu.
8. Obrátit se o pomoc na svého poskytovatele připojení, pokud se v kyberbezpečnosti neorientujete.

WannaCry je bohužel jen jedním z mnoha rizik, která vás mohou ohrožovat. Je jedno, zda využijete bezplatný OneDrive od Microsoftu, Google Disk či externí USB disk. Doporučit můžeme například český Avast, který navíc potěší plně lokalizovaným rozhraním.

Čtěte také: Škola v přírodě a zřizovatel

tags: #avast #wanacry #ochrana

Oblíbené příspěvky:

• Protokol měření emisí
• Rozšíření ekologické daně navrhované Svazem obchodu
• Zastávka u Brna: Ekologická likvidace aut
• Kompletní průvodce čištěním odpadu u dřezu
• Příroda Konopišťského parku