Ransomware może być przemycany na wiele różnych sposobów, ale najczęstszym wektorem ataku są pliki dołączone do poczty elektronicznej. Innym popularnym sposobem na zainfekowanie kodem ransomware jest metoda „drive-by”, która skutkuje niepostrzeżonym zainstalowaniem szkodliwego oprogramowania podczas wizyty na zarażonej stronie internetowej.

Jak się uchronić?

Oto 10 rzeczy, które powinieneś zrobić, aby chronić siebie oraz swoją organizację przed ransomware:

1. Opracuj plan kopii zapasowych i odzyskiwania. Regularnie twórz kopie zapasowe systemów oraz przechowuj je na osobnym urządzeniu w trybie offline.

2. Korzystaj z profesjonalnych zabezpieczeń internetowych oraz narzędzi pozwalających skanować zawartość e-maili, stron czy plików w poszukiwaniu szkodliwego oprogramowania. Istotne jest również blokowanie potencjalnie niebezpiecznych reklam i witryn mediów społecznościowych, które nie mają znaczenia biznesowego. Narzędzia te powinny być wyposażone w funkcję piaskownicy (sandbox), dzięki czemu nowe lub nierozpoznane pliki mogą być analizowane i uruchamiane w bezpieczny sposób.

3. Aktualizuj swoje systemy operacyjne, urządzenia oraz oprogramowanie.

4. Upewnij się, że Twój antywirus, IPS i antymalware są uaktualnione do najnowszej wersji.

5. Jeśli to możliwe, korzystaj z białej listy, która zapobiega pobieraniu i uruchamianiu nieautoryzowanych aplikacji.

6. Podziel swoją sieć na strefy bezpieczeństwa, zapobiegając tym samym rozprzestrzenianiu się potencjalnej infekcji.

7. Nadaj użytkownikom indywidualne prawa dostępu tak, aby potencjalnie jak najmniejsza ich liczba była w stanie zarazić dane, usługi czy aplikacje o krytycznym znaczeniu.

8. Wdróż rozwiązanie bezpieczeństwa BYOD odpowiedzialne za inspekcje i blokowanie urządzeń nie spełniających wymogów bezpieczeństwa (brak zainstalowanego klienta antymalware’owego, nieaktualna baza antywirusa lub brak kluczowych łatek w systemie operacyjnym).

9. Korzystaj z narzędzi analitycznych, dzięki którym po ataku można określić:
a. skąd pochodzi infekcja,
b. jak długo była w danym środowisku,
c. czy została usuniętą ze wszystkich urządzeń,
d. czy infekcja nie powróci.

10. Uświadamiaj pracowników w kwestiach bezpieczeństwa. Poinstruuj użytkowników, aby w e-mailach nie klikali w nieznane załączniki i linki oraz nie pobierali plików niewiadomego pochodzenia. To człowiek jest najsłabszym ogniwem łańcucha bezpieczeństwa i to na nim należy skupić uwagę, jeśli chodzi o przedsięwzięcie odpowiednich środków.

Co robić w przypadku ataku? Odpowiada Mariusz Rzepka, dyrektor Fortinet na Polskę, Ukrainę i Białoruś

Pozostaje nadzieja, że posiadasz kopię zapasową systemu, dzięki czemu możesz wyczyścić swoje urządzenie i załadować niezainfekowaną wersję. Oto kilka kroków, które należy podjąć w razie ataku:

1. Zgłoś przestępstwo

W Internecie szybko znajdziesz stronę, gdzie można zgłosić cybeprzestępczą aktywność w danym kraju lub regionie. W Polsce informacje na ten temat znajdują się na stronie http://www.policja.pl/pol/zwalczaj-cyberprzestep/83643,Zwalczaj-cyberprzestepczosc.html

2. Zapłacenie okupu nie daje gwarancji

Opłacenie okupu nie daje nam pewności, że pliki zostaną odszyfrowane. Gwarantuje to jedynie, że nasze pieniądze, a czasami też i informacje bankowe, trafią do szantażystów. Dodatkowo odszyfrowanie plików wcale nie oznacza, że infekcja została usunięta.

3. Skontaktuj się z ekspertami

Producenci wielu systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa mają w swojej kadrze ekspertów, którzy mogą udzielać porad na temat sposobów reagowania w wypadku, gdy Twój system został zainfekowany. Istnieją również zewnętrzni specjaliści, którzy mogą pomóc Ci stanąć na nogi.

4. Miej plan B

Co zrobisz, jeśli Twoje systemy komputerowe lub sieci stają się niedostępne? Czy masz plan awaryjny? Czy istnieje sposób, aby utrzymać Twoją działalność (choćby w ograniczonym zakresie), podczas gdy Twoje systemy są w trakcie naprawy? Czy wiesz, jakie koszty poniesie Twoja organizacja, jeśli na godzinę systemy staną się niedostępne? Czy ten koszt jest uwzględniony w Twoim budżecie bezpieczeństwa IT? Informacje te muszą zostać zawarte w Twojej polityce bezpieczeństwa.

Cyberprzestępczość jest nastawioną na zysk działalnością generującą miliardowe dochody. Podobnie jak większość firm, cyberprzestępcy są bardzo zmotywowani, aby znaleźć sposoby generowania przychodów. Posuwają się do podstępu, wymuszeń, napadów, gróźb i wabienia swoich ofiar w celu uzyskania dostępu do najcenniejszych danych i zasobów.

Ransomware nie jest niczym nowym, jednak jego rosnąca skala oraz poziom zaawansowania to coraz wyraźniejszy cyberprzestępczy trend.