Dovoluji si parafrázovat Osudy dobrého vojáka Švejka, protože to vypadá, že nám někde na Internetu zuří válka youtuberů, a ta s sebou přináší i collateral damages neboli vedlejší škody neboli necílené neplánované oběti. A taky bychom mohli být jedněmi z nich …

Jako „starší“ ročník nesleduji youtubery a opravdu nevím, kdo je PewDiePie nebo T-series, avšak chtíc, nechtíc, jsem trochu zatažen do jejich světa. V březnu tohoto roku byl totiž objeven a registrován ransomware nazývaný PewCrypt. Jeho původ není až tak docela jasný, někdo říká, že to je jenom žert (ransomware je opravdu velká sranda, zejména pak pro jeho oběti) a někdo říká, že je to dílo „šíleného“ fanouška youtubera PewDiePie.

O co se jedná? Uvedený ransomware se chová obdobně jako každý jiný a po infekci zašifruje své oběti soubory na počítači. Následně vyskočí zpráva od útočníka, kde žádá výkupné – peníze za to, že poskytne oběti dešifrovací klíče. V tomto případě se však ve zprávě dozvíte, že se máte registrovat k odběru youtube kanálu uvedeného youtubera a pokud dosáhne počet registrovaných 100.000.000 odběratelů, slavnostně vám uvolní dešifrovací klíče. No super! Dále vás upozorní, že pokud youtuber T-series porazí v popularitě zmíněného PewDiePie, tak dešifrovací klíče zničí a oběti mají slušně řečeno smůlu.

O samotném ransomware zatím víme to, že je napsán v Javě a pro šifrování používá algoritmy AES a RSA. Zašifrované soubory získávají další příponu - .pewcrypt (takže např. soubor obrazek.jpg je přejmenován na obraze.jpg.pewcrypt). Zatím není úplně známo, jaké využívá mechanismy pro svou distribuci a jestli se šíří pomocí trojských koňů nebo využívá „červí“ techniku prolomení RDP. Jedinou dobrou zprávou je, že společnost Emsisoft již dokázala napsat dešifrovací nástroj.

Celá ta youtuberská „patálie“ však nese dvě špatné zprávy – jednak, že kód je zbraň, která se velice jednoduše dostane do rukou šílence, který si s její pomocí vynucuje, jakýkoliv šílený nápad. A další, že tímto představuje příklad, že takto to jde. Mimochodem, aby to bylo ještě děsivější, tak již někdo pod účtem JustMe (jenom já) zveřejnil na GitHubu zdrojový kód PewCryptu. Nám nezbývá, než se bránit a být velice opatrní.

Co tedy můžeme udělat? Udržovat aktuální antivirový software a zaplátovaný operační systém. Aktualizovaný antivirový systém může detekovat již známý ransomware a upozorní na jeho existenci. Jelikož moderní ransomware umí dosáhnout na sdílené nebo síťové disky a je tedy potřebné síť segmentovat tak, aby uživatelé (a tedy jejich stroje) neviděli kompletně celou síť, protože jinak můžeme očekávat pokus o šifrování všeho, na co infikovaný stroj dosáhne.

Co když všechna preventivní opatření selžou nebo nejsou implementovány? Co dělat, když už na nás zabliká z displeje „vyděračská zpráva“? V takovém případě naleznete a odstraníte soubor ransomware a následně data obnovíte ze záloh. Samozřejmě je potřebné provádět zálohy pravidelně, protože v okamžiku, kdy je ransomware aktivní, tak data šifruje a může tedy dojít k zálohování již zašifrovaných dat. Nezapomeňte tedy provádět zálohy pravidelně, a čím častěji, tím lépe a samozřejmě na off-line mediu nebo v úložišti, které ransomware „neuvidí a na které nedosáhne“.

Když to tedy shrnu:

  • Implementujte antispam
  • Implementujte antivirové řešení
  • Segmentujte síť
  • Implementujte zálohování
  • Vzdělávejte uživatele
  • Pravidelně zálohujte

Pokud tedy chcete poradit jak a proti čemu zabezpečit svá data, aplikace a sítě, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká za zeptání, nic nedáte :-) AUTOCONT ví jak.