Záchrana dat po zašifrování disku ransomwarem
Ransomware je typ škodlivého softwaru neboli malwaru, který vám znemožňuje přístup k počítačovým souborům, systémům nebo sítím a požaduje za jejich vrácení výkupné. Útoky ransomwaru mohou způsobit nákladné narušení provozu a ztrátu důležitých informací a dat. Přes veškeré možnosti je smutným faktem, že naprostá většina případů kdy dojde k zašifrování uživatelských dat není řešitelná a obnova zašifrovaných dat není možná.
Co je to RANSOMWARE?
Ransomware je škodlivý útok, při kterém anonymní kyberzločinci uzamknou nebo zašifrují vaše data. Útočníci poskytnou pokyny, jak soubory dešifrovat, a oběti mohou nakonec získat své soubory zpět po zaplacení vysokého "výkupného" předem. Teoreticky a absolutně bez garance.
K útoku ransomwaru mohou vést určité činnosti. Do značné míry za to mohou dvě škodlivé taktiky, známé jako "sociální inženýrství" a "laterální pohyb".
V některých případech mohou kyberzločinci útok ransomwarem zinscenovat předem a provést jej později, takže ke skutečnému útoku může dojít až několik dní po průniku do počítačové sítě.
Jak postupovat po napadení ransomwarem
V případě ransomwaru je nejlepší formou obrany prevence. Pokud vy nebo vaše společnost nemáte zavedena důkladná preventivní bezpečnostní opatření, můžete se poměrně snadno ocitnout pod útokem ransomwaru.
Útok ransomwaru může být naprosto zničující. Pokud však po útoku ransomwaru okamžitě zakročíte, můžete některé škody teoreticky zmírnit. Již z úvodu je ovšem nutné zdůraznit, že obnova dat je v těchto případech čistě teoretická záležitost a záleží na mnoha externích vlivech.
Zůstaňte klidní a rozvážní, nepanikařte
Chápu, je těžké zůstat klidným, pokud nemáte přístup k důležitým souborům v počítači a vlastně vůbec nevíte, co se děje. Prvním krokem, který je třeba udělat po napadení ransomwarem, je však nepanikařit.
Zkušenost je taková, že řada lidí spěchá se zaplacením výkupného dříve, než analyzuje závažnost situace, ve které se ocitli. Zachovat klid a udělat krok zpět může někdy otevřít dveře k vyjednávání s útočníkem.
Vyfotografujte si poznámku o ransomwaru
Druhým krokem je okamžité vyfotografování zprávy, který škodlivý kód vytvoří v každém postiženém adresáři. Zpráva obsahuje nejen balastní informace jako výhružky atp., ale i kontaktní údaje, nebo údaje pro povedení platby, zpravidla do Bitcoin peněženky. Zaznamenání těchto informací vám pomůže při vyplňování policejní zprávy a urychlí případný proces obnovy.
Karanténa postižených systémů
Postižené systémy je důležité co nejdříve izolovat. Ransomware obvykle intenzivně skenuje cílovou síť a šíří se laterálně do dalších systémů. Pro omezení infekce a zastavení šíření ransomwaru je nejlepší postižené systémy oddělit od sítě.
Zakázat automatizované úlohy údržby systémů
V postižených systémech byste měli okamžitě zakázat automatické úlohy údržby, jako je odstraňování dočasných souborů a rotace protokolů. Tím zabráníte tomu, aby tyto úlohy zasahovaly do souborů, které by mohly být užitečné pro forenzní a vyšetřovací analýzu.
Odpojte zálohování včetně cloudových úložišť!
Většina moderních "kmenů ransomwaru" jde okamžitě po zálohách, tak aby zmařila snahy o případnou obnovu. Proto je nezbytné, abyste vy nebo vaše organizace zabezpečili zálohy jejich odpojením od zbytku sítě. Měli byste také zablokovat přístup k záložním systémům, dokud nebude infekce odstraněna. Po odpojení postižených systémů od sítě změňte všechna online hesla a hesla účtů. Po odstranění ransomwaru byste měli opět změnit všechna systémová hesla.
Odstranění ransomware z postižených zařízení
K vyčištění počítače od ransomwaru použijte antivirový nebo antimalwarový software, ale pouze v případě, že jste rozhodnuti výkupné nezaplatit (!). V opačném případě počkejte, dokud neobnovíte své soubory. Možná budete muset restartovat počítač do nouzového režimu současným stisknutím tlačítka napájení a klávesy S na klávesnici.
Odstranění ransomwaru vaše soubory nerozšifruje a může zmařit vaše šance na získání souborů zpět zaplacením výkupného. Umožní vám však provést všechny následující kroky bez rizika, že ransomware zašifruje nové soubory nebo se pokusí zmařit proces obnovy.
Zjištění typu škodlivého kódu
Pokuste se přesně zjistit, o který druh šifrování (ransomwaru) jde. Pokud ransomware neoznamuje svůj vlastní název, zkuste online nástroj Crypto Sheriff nebo online nástroj ID Ransomware. Oba umožňují nahrát zašifrované soubory a poté vám sdělí, zda lze šifrování zvrátit. V mnoha případech to však bohužel možné není.
Pokuste se vyhledat vhodné dešifrovací nástroje
Naštěstí je na internetu k dispozici mnoho dešifrovacích nástrojů, například na stránkách No More Ransom.
Pokud již znáte název svého druhu ransomwaru, můžete jej jednoduše zadat na webové stránky a vyhledat odpovídající dešifrování. Seznam není abecedně řazen a web přidává nové dešifrovací nástroje na konec seznamu.
Pokud nenajdete to, co potřebujete, zkuste některé další webové stránky, které shromažďují "ransomwarové dešifrátory":
https://www.avast.com/en-eu/ransomware-decryption-tools
https://www.avg.com/en-us/ransomware-decryption-tools
https://www.bitdefender.com/blog/labs/darkside-ransomware-decryption-tool/
Rozhodněte se, zda zaplatit, nebo ne
Rozhodnutí zaplatit za dešifrovaní dat není snadné a má svá pro a proti. Za dešifrovaní plaťte pouze v případě, že jste vyčerpali všechny ostatní možnosti a ztráta dat je pro vás nebo vaši společnost škodlivější než zaplacení výkupného. Je si však třeba uvědomit, že ani zaplacení není jistotou, že útočník vaše zašifrovaná data zpřístupní.
Ransomware je trestný čin a měl by být nahlášen místním orgánům činným v trestním řízení nebo příslušným úřadům. V české republice se jedná o Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). I když orgány činné v trestním řízení nemohou pomoci s dešifrováním vašich souborů, mohou alespoň pomoci ostatním, aby se vyhnuli podobnému osudu.
