Ransomware dominuje novinovým titulkům. Opět. A stačila na to hrozba s názvem WannaCry – nicméně je důležité připomenout, že tento typ škodlivého software je s námi již nějakou dobu a že mnoho bezpečnostních specialistů ransomware zná. Stejně tak ale platí, že pro řadu společností jde i nadále o vážný problém, který experty na počítačovou bezpečnost zaměstnává prakticky každý den.
Globální síť pro zkoumání hrozeb SophosLabs se proto v jednom ze svých nejnovějších průzkumů zaměřila na zjištění nejaktivnějších rodin ransomware i nejčastěji využívaných vektorů útoku a využila k tomu data za období od října 2016 do dubna 2017. Uvedená fakta sice nezohledňují rychlé rozšíření ransomware WannaCry z poloviny letošního května, ale i tak jde o pohled, který přináší řadu zajímavých zjištění.
SophosLabs založila tento průzkum na analýze dat získaných z počítačů svých zákazníků po celém světě a výsledky ukázaly, že nejaktivnějšími ransomware jsou Cerber a Locky – prvnímu z nich patřila ve sledovaném období celá polovina útoků, druhému pak 24 procent.
Ransomware Cerber má za sebou evoluci v podobě mnoha různých mutací navržených tak, aby obešly technologii sandboxingu i antivirovou ochranu. Jedna z verzí se například šířila pomocí spamů vydávaných za zprávy z přepravní služby. Locky se proslavil přejmenováváním důležitých souborů na napadených počítačích tak, aby měly příponu locky. Nicméně podobně jako v případě Cerbera se taktika a chování mění postupně i u Lockyho.
Zemí s největším výskytem ransomware je Velká Británie následovaná Belgií, Nizozemskem a Spojenými státy americkými. K největšímu nárůstu ransomware aktivity došlo ve sledovaném období během první poloviny března, a to s následným krátkodobým poklesem a s opětovným vzrůstem okolo 5. dubna 2017.
Česká republika je na tom naštěstí poměrně dobře, z absolutního pohledu ji patří 66. příčka s blíže neurčeným podílem pod jedno procento. Z okolních zemí stojí za zmínku například 7. místo Německa, 25. Rakouska a 34. Polska.
Síť SophosLabs se zaměřila i na změny ve způsobech šíření malware, a to za období duben 2016 až duben 2017. Výsledky mimo jiné potvrdily různorodost těchto způsobů, od nevyžádané pošty přes škodlivé reklamy na webech až po přímé stahování. U ransomware je nejrozšířenějším vektorem útoků zneužívání příloh v elektronické poště, obzvláště pak v podobě PDF souborů a dokumentů ve formátech MS Office. Průzkum také ukázal, že drtivá většina škodlivých spamů s nespustitelnými přílohami souvisí právě s ransomware. Na níže uvedeném grafu je patrný i prudký pokles v objemu nebezpečného spamu od prosince loňského roku.
Jak se chránit?
Nejdůležitější je vůbec se nedostat do situace, kterou nelze vyhrát. Společnost Sophos proto pravidelně radí, jak útokům ransomware i jiných typů škodlivého software předcházet, a jak v případě „úspěšného“ bezpečnostního incidentu uvést vše do původního stavu. Pomoc v boji s počítačovými hrozbami lzenaít na několika následujících odkazech:
- Souhrnné informace o ochraně proti ransomware jsou k dispozici v článku How to stay protected against ransomware.
- Chcete-li se chránit před JavaScript přílohami, nastavte si Průzkumníka tak, aby soubory s příponou .JS otevíral v Poznámkovém bloku.
- Chraňte se před zavádějícími názvy souborů – základem je zobrazovat v Průzkumníkovi přípony souborů.
- Více informací o ransomware se dozvíte i ve zvukovém technickém podcastu.
- Na ochranu svých přátel a rodiny před ransomware můžete vyzkoušet řešení Sophos Home, které je zdarma dostupné pro Windows i Mac.
Podrobná infografika k průzkumu o statistickém zastoupení ransomware je k dispozici na adrese sophosnews.files.wordpress.com/2017/06/infographic-of-ransomware-stats-v2-01.png.
