Atak ransomware. Zapłacenie okupu nie gwarantuje odzyskania danych

cyberatak, haker, fot. pixel2013, pixabay

Eksperci ds. cyberbezpieczeństwa ostrzegają, by w przypadku infekcji ransomwarem Ryuk nie płacić okupu przestępcom. W związku z błędem aplikacji służącej do odszyfrowywania zarażonych Ryukiem plików niemożliwym jest odzyskanie dostępu do części danych.

Ryuk to jeden z najniebezpieczniejszych wykorzystywanych obecnie szczepów ransomware. Podobnie jak inne tego typu oprogramowanie, jest on stosowany do wyłudzania okupu poprzez szyfrowanie zgromadzonych na komputerze danych. Kwoty żądane w atakach z wykorzystaniem Ryuka są z reguły dużo wyższe niż w przypadku innych tego typu incydentów. Mimo to część zdesperowanych ofiar – w większości duże firmy – decyduje się na zapłatę okupu, by uzyskać program, który pozwala odszyfrować zainfekowane pliki.

Jak się jednak okazuje, ugięcie się pod żądaniem przestępców nie gwarantuje odzyskania dostępu do cennych danych. Specjaliści z firmy Emsisoft odnaleźli w aplikacji do odszyfrowywania poważny błąd. Polega on na tym, że algorytm w trakcie pracy ucina pierwszy i ostatni bajt poszczególnych plików. W większości przypadków nie powoduje to żadnych problemów, gdyż utracone dane nie zawierają istotnych informacji, jednak w przypadku niektórych formatów plików, np. VHD i VHDX, może to uniemożliwić ich poprawny odczyt. Sprawę dodatkowo komplikuje fakt, że w trakcie swojej pracy narzędzie usuwa pliki źródłowe. Oznacza to, że procedury odszyfrowywania nie można drugi raz powtórzyć, a część danych zostaje bezpowrotnie utracona.

Nie tylko Ryuk niszczy dane

Nie jest to pierwszy incydent tego typu, kiedy na skutek błędu twórców zagrożenia dane zaszyfrowane przez ransomware są nie do odzyskania. W 2016 roku głośny był przypadek szczepu RANSOM_CRYPTEAR.B, który z powodu pomyłki programisty szyfrował nie tylko pliki użytkownika, ale również plik z kluczem, niezbędny do ich odzyskania. Ważną przestrogą powinien być także incydent z udziałem ransomware NotPetya z 2017 roku, kiedy to oprogramowanie Petya zostało celowo zmodyfikowane przez grupę stojącą za atakiem w taki sposób, by dane na zainfekowanych komputerach były nie do odzyskania.

Zdaniem Piotra Zielaskiewicza, Product Managera STORMSHIELD w firmie DAGMA Bezpieczeństwo IT, tego typu incydenty to tylko jeden z argumentów za tym, by w razie ataku ransomware nigdy nie płacić przestępcom okupu.

- Płacąc przestępcom nie tylko nigdy nie mamy pewności czy odzyskamy zaszyfrowane dane. Zachęcamy ich także do tego, by dalej kontynuowali swoją działalność. Szkodzi to nie tylko nam, jako ofiarom, ale również zwiększa ryzyko ataków w przyszłości. W przypadku problemów z ransomware dużo lepiej zapobiegać, niż leczyć. Z tego powodu zawsze warto mieć pod ręką aktualny backup najważniejszych plików, oraz korzystać z poprawnie skonfigurowanego rozwiązania UTM lub next-generation firewall, które pomoże nam powstrzymać większość tego typu incydentów – wyjaśnia Piotr Zielaskiewicz.

30 lat Ransomware

Za datę „narodzin” ransomware uznaje się grudzień 1989 roku, a za jego „ojca” uważany jest dr Joseph Popp. Z wykształcenia biolog, z zainteresowania...haker. Do swojego ataku wykorzystał zainfekowane dyskietki. Firma Poppa, PC Cyborg Corporation, wysłała 20 tys. tych nośników do uczestników konferencji Światowej Organizacji Zdrowia poświęconej AIDS (stąd nazwa PC Cyborg lub AIDS), firmom i instytucjom. Zawierały one ankietę oceniającą ryzyko zarażenia wirusem HIV, która uruchamiała wirusa szyfrującego dane. Po 90. restarcie komputera na monitorze wyświetlał się komunikat o konieczności uruchomienia drukarki. Po jej włączeniu drukował się list z żądaniem okupu - 189 dolarów za odszyfrowanie danych, które miały zostać przekazane na tajemnicze konto w Panamie. Ransomware przeżywa swoje wzloty i upadki, ale jednego nie można mu odebrać - wciąż pozostaje w czołówce zagrożeń dla przedsiębiorców. Od czasów pojawienia się bitcoina nie ma miesiąca, w którym nie dochodzi do głośnego ataku - rodzina ransomware stale powiększa się o jego nowe odmiany. Do dziś 98% okupów płacone jest w kryptowalucie.