29. června 2017 6:00 Lidovky.cz > Byznys > Média

Aktualizujte, zálohujte, neplaťte. Šest otázek a odpovědí o kyberútoku

  • Poslat
  • Tisk
  • Redakce
  • 0Diskuse
Ilustrační foto. | na serveru Lidovky.cz | aktuální zprávy Ilustrační foto. | foto: Shutterstock

PRAHA Škodlivé programy útočí. Jak se chovat, aby se snížilo riziko ztráty cenných osobních údajů? Kdo za útoky, které vyřadí z provozu počítače, stojí? Server Lidovky.cz přináší otázky a odpovědi spojené a aktuálním šířením škodlivého počítačového viru.

1. Co dělat proti útokům?

Klíčová je prevence. Experti doporučují udržovat systém aktualizovaný a mít dobré bezpečnostní řešení - antivirus nebo jiný bezpečnostní software. Rovněž by uživatelé neměli zapomínat na obměnu hesel.

Bezpečnostní zásady:

1. Pokud vám přijde neočekávaný e-mail s přílohou (.xlsx, .docx, .pptx, atp.) ověřte si u odesílatele jeho pravost.

2. Stejný problém jako příloha představuje internetový odkaz.

3. Při ověřování odesílatele mailu nepoužívejte volbu "odpovědět", ale do pole "komu" ručně vepište adresu.

4. Pozor na soubory s makry.

5. Neodkládejte aktualizace.

6. Pravidelně zálohujte.

„Jedním krokem jsou aktualizace, druhým správa hesel a používání bezpečnostních produktů,“ řekl serveru Lidovky.cz Michal Salát, ředitel oddělení Threat Intelligence ve společnosti Avast.

„Jsou i nástroje, které dokáží ty zašifrované soubory dešifrovat,“ řekl expert ze společnosti Avast Jakub Křoustek. „Je ale dobré dělat pravidelné zálohy - denní, týdenní - podle toho, jak ta data jsou citlivá. Je dobré ukládat ta data na externí disk, nebo externí úložiště, protože pokud zůstává připojen trvale k počítači, ransomware (druh malwaru, který zabraňuje přístupu k datům, které jsou infikovány - pozn.red.) vám zašifruje i zálohu,“ radí uživatelům.

2. Jak se současný útok rozšířil?

„Ground zero“ úterního útoku je pravděpodobně ukrajinská účetní společnost, přičemž vir se začal šířit firemní sítí a skrz účetní aplikaci společnosti. Útok podle antivirové firmy Eset spustila infikovaná aktualizace účetního softwaru M.E.Doc, který využívají různé instituce na Ukrajině, zejména finanční.

„Pak dokázali ve všech stanicích, které ten účetní software používali, spustit onen ransomware,“ popisuje Křoustek. „Tento účetní software je nejrozšířenější právě na Ukrajině, proto tam bylo nejvíce detekcí a byla zasažena nejvíc,“ podotýká Křoustek.

Vir používá několik způsobů, jak se po vnitřní síti rozšířit, jedním z nich je EternalBlue. „EternalBlue je jedno označení jednoho zneužití jedné zranitelnosti operačního systému Windows. Ten má v sobě implementaci čehosi nazvaného SMB, jakýsi protokol, ve kterém byla zjištěna zranitelnost. Pravděpodobně od NSA (americká Národní bezpečnostní agentura - pozn. red.) - není to úplně potvrzeno, ale všechno k tomu směřuje. Ti lidé, kteří tu zranitelnost objevili, pak na ní napsali kód, a jakmile se zneužije, tak to jsou v podstatě otevřená vrata, jak se dostat do systému,“ popisuje Křoustek.

EternalBlue byl v dubnu 2017 zveřejněn hackerskou skupinou známou jako Shadow Brokers. Microsoft v reakci na současný útok kritizoval také americkou vládu za shromažďování informací o zneužití „děr“ operačního systému.

3. Byli to Rusové, nebo KLDR?

Zatím se nedá určit, odkud útok pocházel. I v případě WannaCry, jak se jmenoval původce minulého globálního kyberútoku, se nedá ukázat prstem na viníka. Jedná se pouze o spekulace.

„Když si vezmeme skupinu Lazarus (skupina hackerů stojící za útokem WannaCry - pozn. red.), tak ona se sice spojuje se Severní Koreou, jsou ale i indicie, že to jsou čínští hackeři, kteří jsou outsourcovaní. Je to takový příklad globalizace. Nejde ani říci, že útočila Čína, když to může být jenom počítač aktuálně uložený v Číně,“ vysvětluje Křousek.

4. Dají se útočníci dohledat?

„Útočníci se samozřejmě schovávají,“ říká Salát. „Stejně jako byste nešel krást do obchodu bez ponožky na hlavě, tak nebudete útočit přes internet ze stroje, který máte v ložnici. Útočníci používají Tor, jednou napadené stroje jako proxy servery a podobně. Někdy se nám podaří útočníky odhalit, ale ne vždy. Hledáme nějaké chyby, které útočník udělá, abychom ho mohli odhalit,“ vysvětluje.

„Co se dá dělat, je sledovat nějaké podobnosti mezi kódy. To je jediné, o co se člověk může opřít v tomto oboru. To, že vidíte nějakou podobnost v jedné aplikaci s tím, co jste již dříve viděli. A to můžete zase s něčím spojovat. Tedy tvořit takový řetěz,“ popisuje Křoustek.

5. Co je ransomware?

Vyděračské viry, které požadují od postižených uživatelů finanční obnos výměnou za „odblokování“ dat, se označují jako ransomware. Tento malware zatím není plně prozkoumán a proto proti němu neexistuje dostatečně účinná automatická obrana.

„Představte si, že jedete na dovolenou, uděláte si tři tisíce fotek, ty přidáte k fotkám vašich nově narozených dětí a pak přijde ransomware, který vám řekne: když mi dáš 500 dolarů, tak ti ty fotky zase dešifruji. Spousta lidí si řekne, že to sice stojí hodně, ale jsou to fotky za dvacet let života a o to nechci přijít. Jedním z důvodů úspěchu ransomwaru je, že za něj lidi zaplatí,“ říká Salát.

„My obecně doporučujeme neplatit. I když zaplatíte, tak existuje vysoká pravděpodobnost, že ta zablokovaná data zpátky stejně nedostanete,“ říká Křoustek.

V případě současného útoku, jakmile je počítač infikovaný, všechno, co uživatel uvidí, je černá obrazovka s červeným textem, vybízející ho k zaplacení útočníkům. Virus zablokuje pevný disk a požaduje výkupné v hodnotě 300 USD ve virtuální měně bitcoin. Ransomware byl zřejmě vytvořen už 18. června a je spojen s e-mailovým účtem wowsmith123456@posteo.net, který ale poskytovatel poštovní služby již zablokoval. Oběti útoku tak sice mohli poslat „výkupné“ na bitcoinovou adresu, ale neexistuje způsob, jak by útočníci obětem počítač odblokovali.

6. Geneze ransomwaru

Části kódu současného ransomwaru jsou dle odborníků velice podobné ransomwaru Petya, který je známý z roku 2016. Některé části jsou ale i nové, je tedy otázka, zda se současný ransomware dá označit za novou verzi Petya.

Podobnost s ransomwarem WannaCry je právě ve využití slabiny - oba ransomwary spojuje zneužití známé jako EternalBlue - v kódu si ale podobné nejsou. Oproti jiným ransomwarům současný útok zašifroval uživatelům celý disk a nedovolil spustit Windows.

Benedikt Vítek, Kryštof Peňás
  • 0Diskuse




REGISTRACE NA SERVERU LIDOVKY.CZ, NEVIDITELNÉM PSU A ČESKÉ POZICI

SMS Registrace

Diskuse LN jsou pouze pro diskutéry, kteří se vyjadřují slušně a neporušují zákon ani dobré mravy. Registrace je platná i pro servery Neviditelný pes a Česká pozice. více Přestupek znamená vyřazení Vašeho telefonního čísla z registrace a vyřazený diskutér se již nemůže přihlásit ani registrovat pod stejným tel. číslem. Chráníme tak naše čtenáře a otevíráme prostor pro kultivovanou diskusi.
Viz Pravidla diskusí. schovat

Jak postupovat

1. Zašlete SMS ve tvaru LIDOVKY REG na číslo 900 11 07. Cena SMS za registraci je 7 Kč. Přijde Vám potvrzující SMS s heslem.

2. Vyplňte fomulář, po odeslání registrace můžete ihned diskutovat

Tel. číslo = login,
formát "+420 xxx xxx xxx"
Kód ze SMS je rovněž heslo
Vaše příspěvky budou označeny Vaším jménem, např. K. Novák.
* Nepovinný.
Odesláním souhlasíte s Pravidly diskusí.