Ransomware je typem škodlivého software, jehož cílem je zablokovat přístup k počítači a datům, která jsou uložena na médiích napadaného počítače. Znepřístupnění dat přitom probíhá pomocí šifrování, které zpravidla není jednoduše reverzní. Tedy vyjma případů, kdy kyberzločinci udělají nějakou chybu a použijí například snadno odhalitelný šifrovací klíč či zcela primitivní šifru. Naštěstí pro oběti, takových chyb není zrovna málo a v celé řadě případů je možné data zpřístupnit i pomocí zdarma dostupných nástrojů, například od společnosti Sophos.

Cílem jsou peníze

Záměrem autorů ransomware ve většině případů není trvalé znepřístupnění dat ani jejich krádež, ale získání majetkového prospěchu. Pokud by chtěli data trvale smazat či je ukrást, mohli by snadno využít prostředky umožňující relativně rychlou realizaci takové hrozby. A jak tedy počítačoví zločinci dosáhnou svého cíle? Princip je velmi jednoduchý a souvisí s klasickým vydíráním, jak jej známe v rovině trestněprávní. Oběť je informována, že přístup (k počítači, k datům…) po zaplacení určitého obnosu, nejčastěji ve výši několika málo stovek dolarů. V důsledku využití moderních šifrovacích mechanismů oběti nemusí pomoci zkopírování dat ani použití ukládacího média v jiném počítači.

Kde se vzal?

Ransomware, někdy také označovaný jako shareware, je z počítačového pohledu velmi starou záležitostí. První škodlivé kódy tohoto typu byly velmi primitivní a k jejich šíření docházelo nejčastěji na disketách. Historie ransomware sahá až do roku 1989, kdy uživatelům hledajícím informace o viru HIV a nemoci AIDS byl zakódován pevný disk a pro jeho opětovné zpřístupnění bylo nutné poslat na účet vedený v Panamě 189 dolarů. Dnešní škodlivý software tohoto typu se využívá pro šíření modernějších postupů, včetně sociálního inženýrství a nákazy i zcela legitimních webových stránek.

A jak je to dnes?

V současné době je nejrozšířenějším typem ransomware varianta, která se více zaměřuje na znepřístupnění počítače než na zašifrování všech dat. Konkrétním příkladem je škodlivý software s názvem Reveton, známý také jako Citadela nebo Troj/Ransom. Tento ransomware napadající počítače s operačními systémy Windows znepřístupní nejdůležitější spustitelné programy, skryje pracovní plochu a zobrazí logo FBI. Současně je oběť informována o tom, že na počítači byl objeven nelegální obsah chráněný autorským právem a pro obnovení přístupu je potřeba zaplatit pokutu 200 dolarů. Naštěstí je tento útok poměrně snadno řešitelný restartem počítače s následným spuštěním speciální verze operačního systému vybaveného antivirem.

Někteří autoři ransomware používají ve vydírání i metody, se kterými se oběti prakticky nesetkávaly. Například v červenci loňského roku byl zaznamenán případ, kdy uživatelům napadených počítačů bylo vyhrožováno, že v případě nezaplacení příslušného obnosu bude kontaktována policie se speciálním heslem a informací, že na napadeném počítači je uchovávána dětská pornografie.

Obdobně, jako je tomu u všech ostatních hrozeb počítačové kriminality, je mnohem jednodušší a jistější problémům předcházet. Je proto velmi důležité, aby podniková informační architektura i počítače domácích uživatelů byly dostatečně chráněné nástroji, které si s moderními typy hrozeb umějí poradit.

André Scheffknecht
Autor je viceprezidentem NEEMEA ve společnosti Sophos.