Ostatnie miesiące to czas wzmożonej aktywności tzw. Ransomware – złośliwego oprogramowania, które po zainfekowaniu komputera blokuje i szyfruje dostęp do jego plików, a od użytkowników żąda opłaty za ich odblokowanie. Twórcy takich aplikacji stosują coraz bardziej wysublimowane sztuczki socjotechniczne i patenty na obchodzenie zabezpieczeń, co skutkuje rosnącą liczbą infekcji. Nie każdy wie jednak, że istnieje stosunkowo prosty sposób na zabezpieczenie się nie tyle przed samym atakiem, co przed jego skutkami, wdrażając odpowiednio zaplanowany, nie obciążający systemu i nie przeszkadzający w normalnej pracy system backupu danych oparty na tzw. migawkach.

Ransomware nie jest zjawiskiem nowym – takie aplikacje pojawiały się już przed laty, jednak dopiero niedawno internetowi przestępcy zainteresowali się nimi na poważnie. Zasada ich działania jest dość prosta: złośliwy program infekuje komputer (np. wykorzystując lukę w oprogramowaniu lub podszywając się pod inną, pozornie bezpieczną, aplikację), a następnie szyfruje wszystkie lub wybrane pliki – przede wszystkim dane użytkownika.

Później zaczyna się etap szantażu: użytkownikowi zostaje wyświetlony komunikat, że dostęp do danych został zablokowany i że do ich odzyskania niezbędne jest wniesienie opłaty (od kilkudziesięciu do kilkuset USD/Euro). Niektóre aplikacje tego typu próbują sugerować, że komputer i dane zostały zablokowane w wyniku działania jakiejś agencji rządowej, autorzy innych są bardziej bezpośredni i wprost informują, że chodzi o „okup”.

Zabezpieczenie się przed takim atakiem jest trudne. Owszem, pewnym rozwiązaniem jest stosowanie zaktualizowanego oprogramowania zabezpieczającego oraz bezwzględne instalowanie wszelkich aktualizacji systemowych – w ten sposób ograniczamy ryzyko infekcji. Praktyka pokazuje jednak, że autorzy złośliwego oprogramowania często używają tzw. luk zero-day (czyli błędów, które zostają wykryte przez cyberprzestępców zanim zrobi to twórca aplikacji) oraz sprytnych zabiegów socjotechnicznych, za sprawą których użytkownicy sami instalują w systemie złośliwy kod (sądząc np., że to niezbędne kodeki czy sterowniki).

Płać albo płacz?

Gdy dojdzie do infekcji i zaszyfrowania plików, użytkownik, który nie zabezpieczył się przed atakiem, jest w opłakanej sytuacji. Jeśli autor oprogramowania ransomware nie popełnił żadnego błędu w implementacji szyfrowania, odzyskanie plików jest niezwykle trudne i kosztowne. To dlatego ten proceder jest tak popularny i opłacalny – ponieważ wielu użytkowników woli po prostu zapłacić i mieć problem z głowy. W szczególności dotyczy to użytkowników firmowych, dla których każdy przestój oznacza bardzo konkretne straty finansowe.

Na szczęście istnieje skuteczne, stosunkowo proste do wdrożenia rozwiązanie tego problemu – jeśli skorzystamy z odpowiednio dobranego  systemy backupu danych, to nawet jeśli dojdzie do infekcji i zaszyfrowania danych, będziemy mogli błyskawicznie odzyskać dostęp do danych, cofnąć zmiany wprowadzone przez „szkodnika” do systemu i zabezpieczyć się przed kolejnym atakiem.

Odpowiedni backup skutecznym zabezpieczeniem

„Taki system backupu danych musi jednak spełniać ściśle określone kryteria. W przypadku wymagających użytkowników domowych czy firm nie sprawdzą się standardowe systemowe narzędzia do wykonywania kopii zapasowej, nienajlepszym pomysłem będzie też zapisywanie kopii danych na dysku zewnętrznym. Chodzi przecież o to, by po pierwsze – zawsze mieć dostęp do możliwie najnowszych plików (a nie np. kopii sprzed tygodnia), a po drugie – by działanie systemu backupu nie obciążało systemu” – wyjaśnia Grzegorz Bielawski, Country Manager firmy QNAP, producenta nowoczesnych dysków sieciowych NAS.

„Idealnym rozwiązaniem będzie w tej sytuacji system backupu wykorzystujący dysk sieciowy QNAP NAS i bazujący na tzw. migawkach (snapshotach). Taki system może działać non-stop, przez cały czas funkcjonowania komputera/komputerów i firmy i to praktycznie niezauważalny dla użytkowników, bez żadnych spadków wydajności „pecetów”. Dzięki wykorzystaniu migawek funkcjonuje on w ten sposób, że na bieżąco backupowane są tylko te bloki danych, w których faktycznie zapisano jakieś zmiany (nowe/nadpisane pliki) – co gwarantuje skuteczne zabezpieczenie wszystkich kluczowych danych oraz, jednocześnie, optymalne wykorzystanie przestrzeni dyskowej serwera NAS. Migawki mają zresztą również inne zalety – np. wersjonowanie plików, dzięki któremu bez problemu możemy przywrócić dowolny plik wersji z przed godziny, dwóch, trzech itp. ” – wyjaśnia przedstawiciel QNAP.

Dodatkowymi atutami tego rozwiązania jest zapewnienie optymalnej wydajności zapisu danych oraz sprawnie działający system przywracania danych po awarii – czyli w tym przypadku po zaatakowaniu systemu przez oprogramowanie typu ransomware.

„Warto zaznaczyć, że w takim zastosowaniu nie sprawdzi się dowolny system NAS, wyznaczony jako lokalizacja backupu – ponieważ w przypadku ataku odpowiednio skutecznego programu ransomware zaszyfrowana może zostać również zawartość dysku sieciowego. Jeśli jednak system backupu zostanie oparty na serwerze NAS wykorzystującym mechanizm migawek, to nawet jeśli dojdzie do zaszyfrowania danych, użytkownik bez problemu będzie w stanie przywrócić ich wcześniejszą wersję – dosłownie w kilka chwil” – podsumowuje Grzegorz Bielawski.

Coraz więcej ataków                               

Na koniec dodajmy, że wedle statystyk firmy FireEye – specjalizującej się w monitorowaniu złośliwego oprogramowania – od połowy ubiegłego roku aktywność aplikacji typu ransomware sukcesywnie się zwiększa, a marcu 2016 doszło do gwałtownego wzrostu liczby takich ataków. Wysokość „okupu” jakiego ich autorzy domagają się od firm może sięgnąć nawet 18 tys. USD (w przypadku zainfekowania wielu komputerów w jednej organizacji).

Najbardziej aktywnym oprogramowaniem tego typu jest ostatnio Tescrypt, który, wedle analiz Microsoftu, odpowiedzialny jest w minionych tygodniach za 42% wszystkich infekcji. Inne uciążliwe w ostatnim czasie „szkodniki” to m.in. Crowti, Fakebsod czy Brolo.

 

QNAP