Před několika lety se v IT oblasti objevil nový fenomén zvaný ransomware. Jedná se o viry, které zašifrují data na disku a následně vyžadují zaplacení výpalného, jinak přijdete o soukromá data, ale třeba také o celé účetnictví. Po prvotní vlně publicity to vypadalo, že vlna ustala. Teď už se o něm dočtete jen v případech, ve kterých zasáhne obzvláště šťavnatý cíl, jako jsou nemocnice, úřady nebo sama policie

Neznamená to, že by ransomware nebyl v kurzu, naopak. Daří se mu dobře a nevypadá to, že by se v tomto ohledu mělo něco změnit. Už jenom proto, že napsat "vyděračský vir" je celkem jednoduché a docela výnosné. V posledních několika týdnech jsem se sám připletl ke třem případům reálných ransomware útoků. Škody byly ve všech případech značné. Platí to bez ohledu na to, zda firma výkupné zaplatila, nebo ne; případně v jaké fázi útok zachytila. 

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Zatímco u většiny ostatních forem kybernetické kriminality je výdělek nejistý, často komplikovaný a riskantní, ransomware je přímočarý a "bezpečný". Spoléhá na to, že na datech záleží každému a na provozu firmy také. Výpalné ve formě kryptografických měn se pak snadněji převádí mezi hranicemi států a relativně bezpečně je možné jej zkasírovat, oproti třeba penězům ukradeným přímo z bankovních účtů nebo odebrání zboží koupeného ukradenou kreditkou. Ransomware proto je a zůstane stálicí, a jediné, co je možné s tím dělat, je připravit se na případný útok. 

Otázka je kdy, ne jestli

S trochou nadsázky lze říct, že u běžného uživatele nebo menší firmy otázka nezní, zda se stane obětí vyděračského útoku, ale kdy se tak stane. Technické prostředky, antiviry, takzvané intrusion detection systémy a podobný software, pomohou jenom do určité míry. Většina jednotlivců a menších firem je navíc nedokáže správně nastavit a používat. Poradit si s útokem ransomwaru dokáže technicky jen velká firma, která má schopné IT oddělení a dobře spravovanou síť. V takovém případě lze útok včas odhalit, a když se mu nepodaří úplně zabránit, tak lze alespoň výrazně omezit jeho dopady.
 
Menší firma, která má jen pár desítek zaměstnanců a ajťáka maximálně na telefonu, nemá s největší pravděpodobností šanci. Tím spíše že v takových firmách obvykle nefunguje žádné řízení přístupu, všichni mohou všechno, a existence firmy většinou visí na hromadě excelovských tabulek na jednom sdíleném disku, kam mají plný přístup všichni zaměstnanci.
 
Samozřejmě lze vydat spoustu dobrých rad o tom, jak by se to mělo dělat správně a jak by měli uživatelé být odděleni a vzděláváni atd. Bohužel jsou to vesměs rady poněkud hraběcí a obtížně aplikovatelné.

Zálohovat, ale správně

Když prakticky vzato nelze útoku typu ransomware zcela zabránit, je nutné se na něj připravit a mít připravený plán přežití. Není to ani těžké, ani nákladné, jenom je nutné to dělat správně. A správně nastavené zálohování dokáže vyřešit nejenom útok ransomwaru, ale i lidské chyby (omylem smazaná data), selhání hardwaru (selhání disku nebo RAID řadiče, který zničí data na všech discích k němu připojených) nebo třeba přírodní pohromy typu požár, povodeň, či častější situace jako vykradení nebo zakleknutí orgány veřejné moci.

Všechny tři oběti útoků zmíněné v úvodu textu, se kterými jsem přišel do styku, ale data zálohovaná měly, ale ani jedné z nich to nebylo příliš platné.
 
V jednom případě se data v rámci zálohy kopírovala na síťové úložiště (NAS), které bylo sice fyzicky oddělené, ale dostupné ze zálohovaného systému jako síťový disk. Ransomware zašifroval všechno v dosahu, tedy i síťové disky se zálohami. Což nás přivádí k prvnímu pravidlu pro zálohy: Záloha nesmí být dostupná ze zálohovaného systému. Nejlepší řešení je, když pro zálohování slouží samostatný počítač, který není ze sítě běžně dostupný, a data se nekopírují na něj, ale on sám si je ze zálohovaných zařízení stahuje. Takovým způsobem lze zajistit, že se útočník na zálohovací systém nedostane.
 
V jiném případě sice zálohu měli útokem přímo nezasaženou, ale bohužel jenom jednu, bez historie. Zálohovací server si stáhl data každý den o půlnoci – a přepsal předchozí zálohu. Takže když ransomware v noci z pátku na sobotu zašifroval data, zálohovací skript o půlnoci ze soboty na neděli přepsal původní data těmi zašifrovanými. Záloha musí uchovávat historii změn, nejenom poslední známý stav. Musí vám umožnit vrátit se v čase do okamžiku před útokem, kdy byla ještě data s jistotou v pořádku.
 
Setkal jsem se i s případem, kdy záloha byla na přenosném disku, odpojeném od počítače a bezpečně uloženém ve skříni. Který ovšem připojili k nakaženému systému, takže ransomware zašifroval data i na něm. Jednou napadený systém je navždy nedůvěryhodný, a je nutné se k němu chovat jako ke zdroji infekce.
 
U záloh se dlouhodobě zmiňuje pravidlo 3-2-1. Důležitá data by měla být uložena nejméně ve třech kopiích, na dvou různých médiích a z toho nejméně jedna kopie by měla být uložena off-site, mimo prostory a infrastrukturu, kde je zálohovaný systém.

Tři kopie (originál + dvě zálohy) jsou tu právě proto, aby se předešlo ztrátě dat při selhání zálohovacího média nebo při chybě obsluhy při obnově.
 
Dvě různá média jsou třeba interní disk + NAS, NAS + cloud, magnetické a optické médium a podobně. Pokud budete mít zálohu na dvou discích připojených k témuž počítači, dokáže vám je sejmout virový útok nebo třeba úder blesku, který poškodí elektronické komponenty uvnitř. V ideálním případě by se mělo jednat o dva různé typy médií (třeba magnetické + optické), protože ty jsou odolné proti různým typům fyzického poškození. Běžné harddisky jsou například náchylné na mechanické poškození, ale oproti obecnému přesvědčení dost odolné proti magnetickému poli běžně dostupné intenzity. Optická média (DVD, BD) jsou mechanicky dosti odolná, ale často se "zkazí" časem, protože použité barvivo je chemicky nestabilní. Pásky jsou odolné vůči působení času i proti náhodnému mechanickému poškození, ale zase je dokáže snadno vymazat jeden nespokojený zaměstnanec s neodymovým magnetem za pár korun a minut.

Jedna kopie off-site se hodí v případě fyzického útoku nebo havárie, jako je požár, vykradení firmy, domovní prohlídka a podobné katastrofy. Já jsem se skalním fanouškem off-site záloh stal zhruba před dvaceti lety, kdy jsem se stal obětí loupežného přepadení a zloději mi z kanceláře odnesli nejenom veškerou techniku, ale z neznámých důvodů též záložní (tehdy ještě) cédéčka.

V dnešní době bych k tomuto pravidlu přidal ještě jednu jedničku: Jednu kopii dat mít ve své moci. Čím dál tím častěji využíváme cloudové služby, což je obecně v pořádku. Nicméně tím se stáváme zcela závislými na onom poskytovateli. Na jeho spolehlivosti, technické kvalifikaci, dodržování smluv a politice. Cloudové služby lze snadno zřídit, ale také snadno zlikvidovat, třeba pokud se rozhádáte se správcem, který má přístupové údaje k vašemu účtu. Toto pravidlo platí dvojnásob ve chvíli, kdy používáte consumer-level služby, jako je Dropbox, OneDrive nebo Google Drive. U bezplatných tarifů nemáte zpravidla záruky žádné, u těch placených bývá odpovědnost provozovatele výrazně omezena, v lepším případě vám vrátí zaplacené peníze, ale na náhradu škody můžete zapomenout. Mějte proto u cloudových dat jednu kopii lokálně, nebo v cloudu jiného poskytovatele. 

Zálohování by mělo být, pokud možno, bezobslužné a automatizované. Bude-li záloha vyžadovat manuální činnost, pravděpodobně dlouho nevydrží. Jednou se na to zapomene, jindy na to není čas... A než se nadějete, máte poslední zálohy rok staré.

RPO a RTO: Hraje se o čas

Zálohy je nutné čas od času testovat. Netestujte zálohu, testujte obnovení. Nejlépe prakticky. Barvitě si představte, že váš server právě shořel plamenem, rozjeďte si někde virtuál a zkuste si na něj cvičně obnovit data. Možná zjistíte, že vám něco důležitého chybí.
 
A také si změřte, jak dlouho vám celá ta operace bude trvat a o kolik nezálohovaných dat jste "přišli". U zálohování se stanovují dva časové parametry: RPO a RTO.
 
RPO znamená Recovery Point Objective a znamená, kolik dat přibylo od poslední zálohy, a o která v případě obnovy přijdete. Pokud se například dělá záloha dat o půlnoci a k problému dojde ve čtyři odpoledne, přijdete o osm hodin dat. Což pro vás může být akceptovatelné, nebo ne. Pokud budete provozovat například e-shop s jednotkami objednávek denně, může být takový výpadek z hlediska businessu přijatelný. Pokud budete mít objednávek stovky za hodinu, bude situace (a velikost průšvihu) jiná.
 
RTO je Recovery Time Objective, tedy čas potřebný pro plné obnovení funkčního stavu. Po tuto dobu nebude informační systém plně funkční a provoz firmy bude, pokud ne úplně zastaven, tak minimálně ochromen. V případě hardwarového selhání může jít o dobu koupě a zapojení nového disku a dobu zkopírování dat (která může být v případě větších objemů a cloudových úložišť značná, v závislosti na rychlosti linky a úložiště). V případě útoku malwaru je ale třeba počítat s dobou potřebnou na opětovné vybudování potřebné infrastruktury – minimálně reinstalaci postižených počítačů a serverů, pokud ne celé sítě.
 
V jednom z nedávných případů se útok ransomwaru podařilo detekovat včas, takže firma přišla jenom o malé množství dat, která se podařilo obnovit ze záloh. Přesto ale byla firma několik dnů mimo provoz, protože tak dlouho trvalo, než se z nakaženého systému podařilo data vykopírovat, systém reinstalovat a data nakopírovat zpět. Zásah si nakonec vyžádal reinstalaci všech počítačů ve firmě, protože napadený systém byl zároveň (jediným) řadičem takzvané Active Directory domény.

Konkrétní ukázkový plán pro malou firmu

Pojďme si ukázat konkrétní ukázku, jak se připravit na útok ransomwaru i jiných typů. Představte si malou rodinnou firmu, řádově do deseti zaměstnanců/uživatelů. Jednotky pracovních stanic se systémem Windows 10 a jeden Windows Server, který funguje zároveň jako souborový server a zároveň jako server pro firemní účetní a ekonomický systém, jehož data jsou uložena v SQL serveru.
 
V první řadě je třeba vytvořit strategii pro ukládání a zálohu dat. Některá data mají uživatelé na lokálních počítačích, sdílená data jsou na file serveru.
 
Zřídíme jeden zálohovací počítač, který bude mimo běžnou firemní infrastrukturu. Bude oddělen pravidly na firewallu tak, že nebude možné se k němu žádným způsobem připojit vzdáleně, ale on sám bude mít přístup ke všem datům, které je třeba zálohovat. Počítač nemusí být nikterak výkonný ani nový. Lze použít starší server, starší pracovní stanici nebo třeba koupit repasovaný počítač. Je třeba ho pouze vybavit dostatečnou diskovou kapacitou, která musí být násobně (ideálně řádově) větší, než je objem dat, která chceme zálohovat. To nám umožní udržovat historii záloh. Budeme-li například dělat zálohy jednou denně, vyplatí se mít k dispozici sedminásobek kapacity a každý den zálohovat jinam. Pak bude v každém okamžiku k dispozici záloha za sedm dní zpětně. 

Tento server je jako celek vhodné zálohovat do nějakého cloudu, čímž získáte off-site zálohu a zároveň většinou další sledování historie. Většina služeb je placena podle uloženého objemu dat, ale jsou i služby, které nabízejí neomezený objem zálohovaných dat za pevnou cenu. Největší poskytovatelé tohoto druhu jsou Backblaze, LiveDrive a Carbonite. Osobně mám dobrou zkušenost s Backblazem. Pokud ho chcete vyzkoušet, můžete použít tento odkaz (affiliate link, při využití nabídky získá autor článku malou provizi, pozn. red.), přes který dostanete měsíc navíc zdarma.  

Samostatnou kapitolou, která přesahuje rozsah tohoto článku, je zálohování databází. Tam zpravidla budeme stanovovat nízký RPO a lze provádět třeba plnou zálohu jednou denně a několikrát denně (nebo třeba jednou za hodinu) diferenciální zálohu. Se záložními soubory databáze pak nakládáme jako s ostatními daty (kopírujeme je na zálohovací server).
 
V případě použití Microsoft SQL serveru, včetně bezplatné edice Express, doporučuji zvážit zda (jako doplněk ostatních metod) nepoužívat přímou zálohu do Microsoft Azure Storage. MSSQL je populární mezi účetními a ekonomickými systémy a všechny podporované verze umožňují přímou zálohu dat do cloudu Microsoftu, přičemž ceny za uložená data jsou poměrně příznivé. Provádění zálohy i mazání starých souborů lze triviálním způsobem automatizovat.
 
Pokud chceme dosáhnout dobrého RTO, nestačí zálohovat jenom data, ale i stav systému jako takového: konfiguraci používaného softwaru a podobně. Lze na něj rezignovat, pokud vám stačí RTO v řádu dnů. Ale vyplatí se o něj alespoň pokusit. U jednoduchých systémů stačí udělat zálohu prostředky Windows (system image) na přenosný disk, který se odpojí a uloží do skříně. Aktualizace probíhá ručně jednou za čas nebo v případě zásadnějších změn.

Co dělat v případě napadení ransomwarem 

Jakmile detekujete napadení – mizející či přejmenované soubory a podobně -, okamžitě vypněte napadené počítače a ověřte všechny ostatní a v případě pochybností je vypněte taky. Pod pojmem "okamžitě vypněte" se rozumí, že je prostě vytáhněte ze zásuvky, v tomhle případě je riziko poškození dat náhlým vypnutím výrazně menší než riziko pokračujícího útoku. Počítače už nezapínejte.
 
Dále zjistěte rozsah škod. Vyjměte disky z počítače (nezapomeňte si ovšem poznamenat, jak byly původně zapojeny) a připojte je k systému, který je s jistotou "čistý". Pouhým připojením infikovaného disku a kopírováním dat systém nakazit nelze.

V případě serverových systémů nemusí být připojení disků jednoduché či vůbec možné. Pokud jsou připojeny přes SCSI nebo SAS rozhraní, nemusí být snadné sehnat počítač, který disponuje příslušným řadičem. Pokud jsou zapojeny v HW RAID, je třeba mít kompatibilní řadič i pro něj. V takovém případě vám možná nezbude než nabootovat původní hardware do nějakého čistého recovery prostředí. Někdy stačí Windows PE (Preinstall Environment) z instalačního média Windows, jindy je třeba těžší kalibr. Populární je třeba Hiren's Boot CD PE, což je bootovací image, který obsahuje Windows PE a spoustu specializovaných nástrojů na záchranu dat. Lze použít i specializované distribuce Linuxu pro forenzní analýzu. Já obvykle používám Kali Linux, ale podobných distribucí jsou desítky, dobrou alternativou je třeba Backbox Linux.

Zjistěte, kolik dat infekce zasáhla. Nenechte se zmást pouze změněnými názvy souborů. Šifrování dat nějakou dobu trvá. Řada vyděračských virů soubory nejprve přejmenuje (což je rychlé) a potom je teprve šifruje. Pokud přijdete včas, možná podstatnou část dat zachráníte.
 
Některé (typicky starší typy) ransomwaru lze dešifrovat, existují pro ně bezplatné nástroje. Jejich přehled najdete třeba na webech Avastu, Kaspersky, Trend Micro nebo Dr.WEB. Použití forenzních a dešifrovacích nástrojů vyžaduje znalosti a dovednosti, které běžný "správce sítě" nemusí mít. Nestyďte se obrátit na odborníka.

Platit, nebo neplatit 

Bohužel, někdy dojde na situaci, kdy se data zachránit nepodaří a jedinou šancí je zkusit výkupné zaplatit. Zda to je dobrý nápad nebo ne, na to neexistuje jednotný názor. Já osobně obecně zastávám názor, že s vyděrači se nevyjednává, vyděrači se střílejí. To lze ale obtížně vysvětlit majiteli firmy, jejíž ekonomické přežití závisí na zašifrovaných datech.
 
Je nutné mít na paměti, že celý tento proces je značně nespolehlivý a prost jakýchkoliv záruk. Může se stát, že zaplatíte peníze a nedostanete vůbec nic. Nicméně z dostupných statistik i mých osobních zkušeností vyplývá, že po zaplacení většinou svá data dostanete zpět. Obvykle se udává úspěšnost mezi 70 a 80 procenty. Liší se i zaplacená částka, a to dost dramaticky, prvotní požadavky se pohybují v přepočtu mezi 50 tisíci a půl milionem korun. U případů, u nichž jsem asistoval, byla nejmenší částka výkupného 60 tisíc korun, nejvyšší dvojnásobná. V obou případech napadená firma zaplatila a v obou případech dostala data zpět. K této částce je ale třeba připočíst další náklady: na odstranění škod, škody způsobené výpadkem... Podle serveru SafeAtLast byly loni průměrné náklady na incident dokonce 133 tisíc dolarů (zhruba tři miliony korun).
 
Vyjednávání je samostatná disciplína. Je dobré zachovat profesionální odstup, nemá smysl snažit se působit na city nebo naopak vyděračům hrozit nebo nadávat. Je životně důležité zařídit, aby vyděrač nevěděl, s kým komunikuje, kdo je oběť. Na komunikaci si založte samostatnou freemailovou adresu, rozhodně nepoužívejte adresu firemní. Vyplatí se vyjednávat o ceně. Většinou se podaří srazit cenu minimálně o 20 procent, někdy i podstatně více. Je ale třeba znát míru. Výkupné se platí téměř výhradně v bitcoinech, potřebujete tedy umět s touto virtuální měnou pracovat, nebo si najmout někoho, kdo to umí.  

Ransomware je a zůstane stálicí malwaru. Protože se prostě vyplatí. Musíte na něj být připraveni. Vyjde to v konečném důsledku levněji.

Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru