Podle Cybersecurity Ventures ("Cybercrime To Cost The World $10.5 Trillion Annually By 2025") dosáhnou škody způsobené ransomwarem letos přibližně 20 miliard USD. Ransomwarové útoky se kyberzločincům jednoduše vyplácí.
Nárůst útoků souvisí i s dostupností hrozeb. Řada hackerských skupin nabízí ransomware jako službu, takže kdokoli si tento typ hrozby může pronajmout. A to včetně infrastruktury, vyjednávání s obětmi nebo vyděračských webových stránek, kde je možné zveřejňovat ukradené informace. Výkupné se potom mezi dělí mezi zúčastněnými stranami.
![ransom-1](https://casopis.chip.cz/obrazky/jiri-palyza/28-04-7-2021/ransom-1.jpg)
Na začátku útoku je často phishingový e-mail. Při útocích ransomwaru Ryuk byl k proniknutí do sítě používán malware Emotet, následně byla síť infikována Trickbotem a až nakonec došlo k zašifrování dat ransomwarem. | Zdroj: Pete Linforth/Pixabay
Bezpečnostní specialisté z CheckPointu radí, že pokud už k ransomwarovému útoku dojde, je dobré se držet následujících kroků:
Zachovejte chladnou hlavu: pokud se stanete obětí ransomwarového útoku, v první řadě je důležité nepanikařit. Okamžitě kontaktujte bezpečnostní tým a udělejte si foto vyděračské zprávy, bude se vám hodit pro policejní orgány i další vyšetřování.
Izolujte napadené systémy: okamžitě odpojte infikované systémy od zbytku sítě, aby se zabránilo dalším škodám. Zároveň identifikujte zdroj infekce. Jak už bylo zmíněno, ransomwarový útok obvykle začíná jinou hrozbou a hackeři se v systému mohli pohybovat dlouhodobě a postupně maskovat stopy, takže odhalení „pacienta nula“ nemusí většina společností zvládnout bez externí pomoci.
Pozor na zálohy: útočníci dobře ví, že organizace se budou snažit obnovit svá data ze záloh, aby se tak vyhnuli placení výkupného. Proto jednou z fází útoků bývá i snaha vyhledat a zašifrovat nebo smazat zálohy. K infikovaným zařízením také nikdy nepřipojujte externí zařízení. Při obnově zašifrovaných dat může dojít k jejich poškození, například vinou chybného klíče. Proto může být užitečné vytvořit kopie zašifrovaných dat. Postupně také vznikají dešifrovací nástroje, které mohou pomoci rozluštit i dříve neznámý kód. Pokud jste vytvořili zálohy, které nebyly zašifrovány, zkontrolujte před úplnou obnovou integritu dat.
Žádné restarty ani údržba systému: vypněte automatické aktualizace a jiné úlohy související s údržbou infikovaných systémů. Pokud by došlo ke smazání dočasných souborů nebo jiným změnám, mohlo by to zbytečně zkomplikovat vyšetřování a nápravu škod. Zároveň systémy nerestartujte, některé hrozby pak mohou začít mazat soubory.
Spolupracujte: v boji s kyberzločinem, a ransomwarem obzvlášť, je spolupráce klíčová. Kontaktujte proto policejní orgány a národní kybernetické úřady a neváhejte se obrátit na specializovaný tým reakce na incidenty (Incident Response Team) některé renomované kyberbezpečnostní společnosti. Informujte o incidentu i zaměstnance, včetně pokynů, jak v případě jakéhokoli podezřelého chování postupovat.
Určete typ ransomwaru: pokud přímo ve zprávě od útočníků není uvedeno, o jaký typ ransomwaru se jedná, pak můžete využít některý z bezplatných nástrojů. Také je dobré navštívit stránky projektu „No More Ransom“. Možná tam najdete dešifrovací nástroj pro ransomware, který napadl vaše systémy.
Zaplatit nebo ne?
![ransom-2](https://casopis.chip.cz/obrazky/jiri-palyza/28-04-7-2021/ransom-2.jpg)
Pokud je ransomwarový útok úspěšný, stojíte před volbou, jestli zaplatit výkupné nebo ne. | Zdroj: Gerd Altmann/Pixabay
Odpověď není tak jednoduchá, jak se na první pohled zdá. I když se někdy částky pohybují ve stovkách tisíců nebo milionech dolarů, výpadky kritických systémů mohou tyto sumy hravě překonat. Je nutné si ale uvědomit, že i když výkupné zaplatíte, neznamená to, že skutečně dojde k dešifrování dat nebo alespoň jejich části. Jsou známy i případy, kdy útočníci dokonce měli chyby v kódech, takže data nemohli obnovit, ani kdyby chtěli.
S rozhodnutím nespěchejte a pečlivě zvažte všechny možnosti. Platba výkupného by měla být až opravdu tou úplně krajní možností.