.png)
Ransomvér je jeden z najnebezpečnejších typov škodlivého softvéru. Po infikovaní počítača alebo firemnej siete dokáže zašifrovať dokumenty, fotografie, účtovníctvo, databázy, zdieľané priečinky aj zálohy, ku ktorým má napadnutý používateľ prístup. Následne útočníci požadujú výkupné za údajné odomknutie dát.
Platba býva často požadovaná v kryptomene, napríklad v bitcoine. Neznamená to však, že je úplne anonymná alebo nesledovateľná. Skôr ide o spôsob, ktorý útočníkom sťažuje identifikáciu a umožňuje im fungovať mimo bežného bankového systému.
Za roky práce v IT som videl viacero prípadov ransomvéru – od domácich používateľov až po firmy, ktorým zo dňa na deň prestalo fungovať účtovníctvo, zdieľané dáta alebo celé pracovné stanice. Najhoršie na takomto útoku nie je iba technický problém, ale šok, stres a neistota, či sa dáta ešte niekedy podarí obnoviť.
Dobrá správa je, že väčšine škôd sa dá predísť. Nie jedným zázračným antivírusom, ale kombináciou správne nastavených záloh, aktualizácií, bezpečných hesiel, ochrany siete a rozumných návykov používateľov.
Rýchle zhrnutie: Ransomvér zašifruje dáta a žiada výkupné. Najčastejšie sa šíri cez phishing, slabé heslá, zle nastavený vzdialený prístup a neaktualizovaný softvér. Najlepšou ochranou sú offline alebo immutable zálohy, MFA, aktualizácie, EDR ochrana a obmedzené používateľské práva.
Ransomvér nie je nový problém. Jeden z prvých známych prípadov sa objavil už v roku 1989 pod názvom AIDS Trojan alebo PC Cyborg. Šíril sa cez diskety a požadoval zaplatenie poplatku poštou. V porovnaní s dnešnými útokmi bol primitívny, ale princíp zostal podobný – zablokovať používateľovi prístup k dátam a žiadať peniaze.
Moderná éra ransomvéru sa rozbehla najmä po roku 2013 s malvérom CryptoLocker, ktorý využíval silné šifrovanie a šíril sa najmä cez infikované prílohy a škodlivé e-mailové kampane.
Veľkým zlomom bol rok 2017, keď útok WannaCry zasiahol približne 200 000 počítačov v 156 krajinách. Medzi poškodenými boli aj nemocnice, firmy a verejné inštitúcie. Jedným z dôvodov úspechu útoku bolo to, že mnohé systémy nemali nainštalované dostupné bezpečnostné záplaty.
V tom istom roku spôsobil obrovské škody aj útok NotPetya, ktorý sa rýchlo rozšíril do viacerých krajín a spôsobil miliardové škody firmám v Európe, Ázii aj Amerike.
Dnes už ransomvér nie je len „vírus v počítači“. Je to organizovaný kriminálny biznis, ktorý cieli na domácnosti, živnostníkov, malé firmy, veľké spoločnosti, nemocnice aj verejné inštitúcie.
Ransomvér sa po spustení snaží pracovať rýchlo a nenápadne. Často začne tým, že zistí, ku ktorým súborom a sieťovým priečinkom má používateľ prístup. Následne začne šifrovať dokumenty, fotografie, tabuľky, databázy, účtovné súbory, archívy a ďalšie dôležité dáta.
Útok môže zasiahnuť:
Po dokončení šifrovania sa zvyčajne zobrazí výkupná správa. Môže ísť o textový súbor v priečinkoch, zmenenú tapetu pracovnej plochy alebo okno s inštrukciami. Útočníci často určia termín na zaplatenie a vyhrážajú sa zvýšením sumy alebo zverejnením ukradnutých dát.
Moderné ransomvérové skupiny často používajú takzvaný double extortion model. To znamená, že dáta nielen zašifrujú, ale predtým ich môžu aj ukradnúť. Potom sa vyhrážajú, že citlivé dokumenty, zmluvy, databázy zákazníkov alebo internú komunikáciu zverejnia na internete. CISA opisuje tento model ako bežnú taktiku viacerých ransomvérových skupín.
Pozor: Samotná záloha nestačí ako jediná ochrana. Záloha pomôže obnoviť dáta, ale nezabráni úniku citlivých informácií. Na to je potrebné riešiť aj prevenciu, prístupové práva, monitoring a bezpečnosť siete.
Ransomvér sa do počítača alebo siete môže dostať viacerými spôsobmi. V praxi sa opakujú najmä tieto scenáre.
Phishing patrí medzi najčastejšie vstupné brány ransomvéru. Útočníci posielajú e-maily, ktoré vyzerajú ako faktúry, doručovacie oznámenia, správy od banky, upozornenia od kuriéra alebo interné správy od kolegov.
Nebezpečný môže byť: priložený dokument, ZIP archív, falošné PDF, odkaz na škodlivú stránku, výzva na prihlásenie do falošného účtu alebo dokument s makrom.
Typický príklad: používateľ dostane e-mail s predmetom „Neuhradená faktúra“ alebo „Doručenie zásielky“. Otvorí prílohu, povolí makrá alebo klikne na odkaz a škodlivý kód sa spustí na pozadí.
Vo firme sa môže stať, že účtovníčka dostane e-mail s prílohou, ktorá vyzerá ako bežná faktúra. Po otvorení sa spustí škodlivý skript, ktorý stiahne ransomvér. Ak má používateľ prístup k zdieľanému firemnému disku, ransomvér môže zašifrovať nielen jej počítač, ale aj dáta dostupné ostatným zamestnancom.
Remote Desktop Protocol, známy ako RDP, slúži na vzdialené pripojenie k Windows počítačom alebo serverom. Ak je zle nastavený a dostupný priamo z internetu, predstavuje veľké riziko.
Útočníci automaticky skenujú internet a hľadajú otvorené služby. Ak nájdu RDP na porte 3389 a účet má slabé alebo opakovane používané heslo, môžu sa pokúsiť prihlásiť. Po úspešnom prihlásení často vypnú ochrany, preskúmajú sieť a ručne spustia ransomvér.
Praktický tip: RDP nikdy nevystavujte priamo do internetu. Ak ho potrebujete, používajte ho iba cez VPN, s viacfaktorovým overením, silnými heslami a obmedzením prístupu len z povolených IP adries.
Pirátsky softvér je častým zdrojom infekcie. Používateľ si stiahne „aktivátor“, „crack“, nelegálnu licenciu alebo falošný inštalátor. Veľmi často je súčasťou takého balíka škodlivý softvér.
Nebezpečné sú aj falošné hlášky typu: „Aktualizujte Flash Player“, „Váš počítač je infikovaný“, „Stiahnite si nový kodek“ alebo „Nainštalujte bezpečnostnú opravu“.
Pri pirátskom softvéri je problém aj v tom, že používateľ často sám vypne antivírus, aby mu crack fungoval. Tým otvorí útočníkovi dvere.
Ransomvér často zneužíva známe zraniteľnosti v operačných systémoch a aplikáciách. Ak systém nie je aktualizovaný, môže byť napadnuteľný aj bez toho, aby používateľ niečo otvoril.
Aktualizovať treba nielen Windows alebo macOS, ale aj: Google Chrome, Microsoft Edge, Mozilla Firefox, Adobe Reader, Java, účtovný softvér, VPN klientov, NAS systémy, routery a firewally. Práve nezaplátané systémy boli jedným z faktorov, ktoré prispeli k rozsahu útoku WannaCry.
Pokročilejšie útoky môžu prísť aj cez dodávateľa IT služieb, vzdialený monitoring alebo softvér, ktorému firma dôveruje. Útočníci napadnú jedného poskytovateľa a cez jeho nástroje sa dostanú k viacerým zákazníkom.
Tento typ útoku je nebezpečný najmä preto, že nevyzerá ako klasický vírus. Prichádza cez legitímny systém, ktorý má v sieti často vysoké oprávnenia.
| Útok | Rok | Zasiahnuté subjekty | Poučenie |
|---|---|---|---|
| AIDS Trojan / PC Cyborg | 1989 | Používatelia diskiet | Ransomvér existuje desaťročia |
| CryptoLocker | 2013 | Domáci používatelia a firmy | Silné šifrovanie výrazne zmenilo hrozbu |
| WannaCry | 2017 | Nemocnice, firmy, inštitúcie v 156 krajinách | Nezaplátané systémy sú veľké riziko |
| NotPetya | 2017 | Maersk, Merck, Mondelez a ďalšie firmy | Útok môže paralyzovať globálne spoločnosti |
| Kaseya VSA | 2021 | Firmy cez MSP dodávateľov | Rizikom môže byť aj dôveryhodný dodávateľ |
| Moderné RaaS skupiny | 2020+ | Firmy, školy, nemocnice, samosprávy | Ransomvér funguje ako organizovaná služba |
Spoločným menovateľom mnohých útokov bývajú slabé heslá, chýbajúce aktualizácie, zle nastavený vzdialený prístup, nedostatočné zálohy a chýbajúci monitoring.
Účinná ochrana nie je o jednom programe. Je to kombinácia viacerých vrstiev. Ak jedna zlyhá, ďalšia môže útok zastaviť alebo aspoň znížiť škody.
Záloha je najdôležitejšia poistka proti ransomvéru. Pravidlo 3-2-1 znamená: 3 kópie dát, na 2 rôznych typoch úložísk, 1 kópia mimo hlavnej lokality alebo offline.
Príklad pre malú firmu: pracovné dáta na serveri alebo NAS, lokálna záloha na samostatné úložisko, cloudová alebo offline záloha mimo firmy.
Pozor: Záloha nesmie byť neustále pripojená ako bežný sieťový disk. Ak má ransomvér k zálohe prístup, môže zašifrovať aj ju. CISA odporúča udržiavať offline alebo oddelené zálohy a pravidelne testovať obnovu dát.
Praktický tip: Zálohy pravidelne testujte. Záloha, ktorú ste nikdy neskúsili obnoviť, nie je istota – je to iba nádej. Viac o správnom nastavení zálohovania nájdete v našom článku zálohovanie dát pre domácnosti.
Ak to vaše riešenie podporuje, používajte immutable backup, teda nemeniteľné zálohy. Takáto záloha sa po určitý čas nedá upraviť ani vymazať, a to ani v prípade, že útočník získa prístupové údaje.
Immutable zálohy podporujú viaceré moderné cloudové služby, NAS systémy (napr. Synology, QNAP) a profesionálne zálohovacie riešenia. Pre firmy je to veľmi silná ochrana proti situácii, keď sa útočník snaží najprv vymazať zálohy a až potom zašifrovať produkčné dáta.
Aktualizácie opravujú bezpečnostné chyby, ktoré útočníci zneužívajú. Preto by mali byť zapnuté automatické aktualizácie operačného systému aj bežných aplikácií.
Vo firmách odporúčam centrálnu správu aktualizácií, napríklad cez Microsoft Intune, Windows Autopatch, WSUS alebo iné riešenie podľa veľkosti firmy. Nezabudnite aktualizovať aj routery, firewally, NAS zariadenia, kamerové systémy, VPN služby, účtovné a skladové programy.
Klasický antivírus je stále dôležitý, ale sám o sebe nestačí. Moderný ransomvér sa často snaží meniť svoju podobu, vypínať bezpečnostné služby alebo pôsobiť ako bežný administrátorský nástroj.
Pre firmy je vhodné riešenie s funkciami EDR – Endpoint Detection and Response. Takýto systém nesleduje len známe vírusové podpisy, ale aj podozrivé správanie, napríklad masové premenovávanie súborov, podozrivé spúšťanie skriptov alebo pokusy o pohyb v sieti.
Príklady riešení: Microsoft Defender for Business, ESET Inspect, SentinelOne, Sophos Intercept X, CrowdStrike Falcon. EDR negarantuje, že útok nikdy neprejde, ale výrazne zvyšuje šancu na včasné zachytenie podozrivej aktivity.
Slabé heslá sú stále jedným z najväčších problémov. Každý používateľ by mal mať jedinečné heslo pre každý účet. Heslá by sa nemali opakovať medzi e-mailom, firemným systémom, VPN a cloudom.
Odporúčania: používajte dlhé heslá alebo passphrase, nepoužívajte rovnaké heslo na viacerých miestach, zapnite MFA všade, kde je to možné, používajte správcu hesiel, zrušte staré a nepoužívané účty.
Viacfaktorové overenie je dôležité najmä pri e-maile, Microsoft 365, Google Workspace, VPN, vzdialenom prístupe, účtovných systémoch a cloudových úložiskách. CISA dlhodobo uvádza MFA medzi kľúčovými opatreniami proti ransomvéru a kompromitácii účtov.
Firemná sieť by nemala byť jeden veľký otvorený priestor, kde sa každý počítač dostane ku všetkému. Ak sa ransomvér dostane do jedného počítača, segmentácia siete môže výrazne obmedziť jeho šírenie.
Odporúčané rozdelenie:
Správne nastavený firewall by mal blokovať komunikáciu, ktorá nemá dôvod existovať. Napríklad hosťovská Wi-Fi nemá mať prístup k serveru s účtovníctvom. Viac o nastavení firemnej IT siete a bezpečnosti nájdete na stránke našich služieb.
Makrá v Office dokumentoch boli dlhé roky obľúbeným spôsobom šírenia škodlivého kódu. Vo väčšine firiem ich bežní používatelia nepotrebujú.
Odporúčam: zakázať makrá z internetu, povoliť makrá iba podpísaným a dôveryhodným dokumentom, obmedziť spúšťanie PowerShellu bežným používateľom, blokovať podozrivé skripty cez bezpečnostné politiky, používať pravidlá typu App Control alebo Attack Surface Reduction.
Používateľ by mal mať iba také oprávnenia, ktoré potrebuje na svoju prácu. Bežný zamestnanec nemá mať administrátorské práva na svojom počítači.
Ransomvér môže urobiť iba to, na čo má napadnutý účet práva. Ak má používateľ prístup ku všetkým firemným priečinkom, škoda bude oveľa väčšia. Ak má prístup len k svojim pracovným dátam, útok sa dá ľahšie obmedziť.
Odporúčania: nepoužívať admin účet na bežnú prácu, oddeliť administrátorské účty od používateľských, pravidelne kontrolovať prístupové práva, zrušiť prístupy bývalým zamestnancom a obmedziť prístup k zálohám.
Technológia je len polovica ochrany. Druhá polovica sú ľudia. Zamestnanci by mali vedieť rozpoznať podozrivý e-mail, falošnú faktúru alebo nebezpečný odkaz.
Školenie by malo obsahovať: ako rozpoznať phishing, čo robiť pri podozrivom e-maile, prečo neotvárať nečakané prílohy, prečo nepovoľovať makrá, ako hlásiť incident a prečo nepoužívať rovnaké heslá.
Praktický tip: Pre firmy sú vhodné aj simulované phishingové kampane. Tie ukážu, kde je potrebné zamestnancov ešte preškoliť.
Mnoho útokov nezačne šifrovaním hneď. Útočník môže byť v sieti dni alebo týždne, skúmať prístupy, hľadať zálohy, získavať heslá a pripravovať útok.
Preto je dôležité sledovať: podozrivé prihlásenia, opakované neúspešné pokusy o prihlásenie, nové administrátorské účty, neobvyklú komunikáciu zo serverov, zmeny v zálohách a vypnutie bezpečnostných služieb.
Praktický tip: Pravidelný IT audit pomôže odhaliť slabé miesta skôr, než ich nájde útočník. Kontaktujte nás pre audit firemnej IT infraštruktúry.
Ransomvér sa netýka iba firiem. Domácnosti často prichádzajú o fotografie, videá, osobné dokumenty, školské práce, účtovníctvo alebo rodinné archívy.
Pre domácich používateľov odporúčam hlavne:
Najčastejšia chyba v domácnosti je, že všetky fotky sú len v jednom notebooku alebo na jednom externom disku. Ak sa disk pokazí alebo dáta zašifruje ransomvér, obnova nemusí byť možná. Zistite viac o IT podpore pre domácnosti a o tom, ako môžeme pomôcť nastaviť zálohovanie.
Ak zbadáte výkupnú správu, zmenené prípony súborov alebo sa dokumenty nedajú otvoriť, konajte rýchlo.
Vo všeobecnosti platenie výkupného neodporúčam, ak existuje akákoľvek iná možnosť.
Dôvody sú jednoduché:
Existujú extrémne situácie, napríklad zdravotníctvo alebo kritická infraštruktúra, kde sa rozhoduje pod veľkým tlakom. Aj vtedy by sa však malo rozhodovať až po konzultácii s odborníkmi, právnikom, poisťovňou a po overení všetkých alternatív.
Najlepšia stratégia je dostať sa do stavu, kde výkupné vôbec nemusíte riešiť. To znamená mať zálohy, plán obnovy, oddelené prístupy a pripravený postup pri incidente.
Ak chcete rýchlo zistiť, ako ste na tom, prejdite si tento zoznam:
Ak ste pri viacerých bodoch odpovedali „nie“, vaša firma alebo domácnosť môže byť zbytočne vystavená riziku.
Nie ste si istí, či by vaša firma prežila ransomvérový útok? Skontrolujeme vaše zálohy, prístupové práva, sieť, Microsoft 365 a zabezpečenie počítačov. Získate jasný zoznam rizík a odporúčaní, čo opraviť ako prvé.
V BT IT pomáhame domácnostiam, živnostníkom a firmám v Bratislave a okolí s ochranou počítačov, sietí a dát. Pomôžeme vám s:
Ak si nie ste istí, či sú vaše dáta dostatočne chránené, kontaktujte nás. Skontrolujeme vaše aktuálne nastavenie a navrhneme praktické riešenie podľa veľkosti domácnosti alebo firmy.
Môže ransomvér napadnúť aj Mac alebo Linux?
Áno. Windows je najčastejším cieľom najmä preto, že je veľmi rozšírený vo firmách aj domácnostiach, ale macOS a Linux nie sú imúnne. Linuxové servery, NAS zariadenia a virtualizačné platformy sú pre útočníkov zaujímavé najmä vo firemnom prostredí.
Môže antivírus zastaviť každý ransomvér?
Nie. Antivírus je dôležitá vrstva ochrany, ale nestačí ako jediné opatrenie. Moderné útoky môžu využívať legitímne nástroje, ukradnuté prihlasovacie údaje alebo zraniteľnosti v systémoch. Preto je dôležitá kombinácia antivírusu, EDR, záloh, aktualizácií, MFA a školenia používateľov.
Je cloudové úložisko ochranou pred ransomvérom?
Čiastočne. OneDrive, Google Drive alebo Dropbox môžu mať históriu verzií, takže v niektorých prípadoch sa dá obnoviť staršia verzia súboru. Nie je to však plnohodnotná náhrada zálohovania. Ak sa zašifrované súbory zosynchronizujú do cloudu, môžete mať problém, najmä ak nemáte správne nastavenú retenciu a obnovu verzií.
Ako často treba zálohovať?
Záleží od toho, koľko dát si môžete dovoliť stratiť. Domácnostiam často stačí denná alebo týždenná záloha dôležitých súborov. Firmy by mali mať zálohovanie nastavené podľa kritickosti dát – niekedy denne, niekedy každú hodinu alebo ešte častejšie.
Čo je immutable záloha?
Immutable záloha je záloha, ktorú nie je možné určitý čas upraviť ani vymazať. Je to veľmi silná ochrana proti ransomvéru, pretože útočník sa často pokúša najprv zničiť zálohy a až potom zašifrovať dáta.
Ako dlho trvá obnova po ransomvérovom útoku?
Závisí to od rozsahu útoku a kvality záloh. Ak sú zálohy čisté, pravidelne testované a infraštruktúra je dobre pripravená, obnova môže trvať hodiny až dni. Ak zálohy chýbajú alebo sú tiež poškodené, obnova môže trvať týždne alebo nemusí byť možná vôbec.
Má zmysel skúšať bezplatné dešifrovacie nástroje?
Áno, ale iba z dôveryhodných zdrojov. Najznámejší je projekt No More Ransom, ktorý poskytuje bezplatné dešifrovacie nástroje pre niektoré typy ransomvéru. Nie pre každý ransomvér však nástroj existuje.
Musí firma ransomvérový útok hlásiť?
Ak útok zasiahol osobné údaje a predstavuje riziko pre práva fyzických osôb, môže vzniknúť povinnosť nahlásiť incident Úradu na ochranu osobných údajov SR do 72 hodín od zistenia. Vhodné je konzultovať situáciu s IT odborníkom a právnikom.