Ransomware

Ransomware to forma złośliwego oprogramowania, która blokuje użytkownika z jego plików lub urządzenia, a następnie żąda zapłaty za przywrócenie dostępu. Atakujący ransomware uderzają w firmy, organizacje oraz indywidualnych użytkowników.

Darmowy program antywirusowy

Najważniejsze wnioski

  • Oprogramowanie typu ransomware to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do systemu lub plików osobistych do czasu uiszczenia okupu. Stąd nazwa „ransomware”.
  • W 2023 roku kwota wypłacanych okupów za oprogramowanie ransomware po raz pierwszy przekroczyła 1 miliard dolarów rocznie , a średnia wysokość okupu wzrosła do 620 000 dolarów.
  • W 2024 roku Threatdown 63-procentowy wzrost liczby ataków ransomware w Stanach Zjednoczonych oraz 67-procentowy wzrost w Wielkiej Brytanii. 
  • Od 2026 roku cyberprzestępcy zwiększyli szybkość i skuteczność swoich ataków dzięki nowym taktykom. 
  • Istnieją różne rodzaje oprogramowania ransomware, takie jak scareware, programy blokujące ekran, oprogramowanie ransomware szyfrujące dane i inne.
  • Ataki ransomware dotykają firmy, ale ofiarami padają również zwykli konsumenci.

Czym jest ransomware?

Definicja ransomware

Złośliwe oprogramowanie żądające okupu, czyli ransomware, to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do ich systemu lub plików osobistych i żąda zapłaty okupu, aby odzyskać dostęp. Chociaż niektórzy mogą myśleć, że "komputer został zablokowany przez wirusa," ransomware zazwyczaj klasyfikuje się jako inny rodzaj złośliwego oprogramowania niż wirus.

Najwcześniejsze wersje ransomware powstały pod koniec lat 80., a płatność miała być przesyłana pocztą tradycyjną. Dzisiaj autorzy ransomware wymagają, by płatność była dokonywana za pomocą kryptowalut lub kart kredytowych, a atakujący celują we wszelkiego rodzaju osoby, firmy i organizacje. Niektórzy autorzy ransomware sprzedają swoją usługę innym cyberprzestępcom, co jest znane jako Ransomware-as-a-Service lub RaaS.

Ataki ransomware

Jak dokładnie aktor zagrożenia przeprowadza atak ransomware? Przede wszystkim muszą uzyskać dostęp do urządzenia lub sieci. Dostęp pozwala im wykorzystać złośliwe oprogramowanie potrzebne do szyfrowania, czyli blokowania twojego urządzenia i danych. Ransomware może infekować komputer na kilka różnych sposobów.

Jak dostaję ransomware?

  • Malspam: Aby uzyskać dostęp, niektórzy aktorzy zagrożeń używają spamu, wysyłając e-mail z złośliwym załącznikiem do tylu osób, ile to możliwe, licząc, że ktoś otworzy załącznik i "weźmie przynętę". Złośliwy spam, czyli malspam, to niechciany e-mail używany do dostarczania złośliwego oprogramowania. E-mail może zawierać załączniki z pułapką, takie jak pliki PDF lub dokumenty Word. Może również zawierać linki do złośliwych witryn.
  • Malvertising: Inną popularną metodą infekcji jest malvertising. Malvertising, czyli złośliwa reklama, polega na użyciu reklamy online do dystrybucji złośliwego oprogramowania z niewielką lub żadną interakcją użytkownika. Podczas przeglądania sieci, nawet na legalnych stronach, użytkownicy mogą zostać przekierowani na serwery przestępcze bez konieczności klikania w reklamy. Te serwery katalogują szczegóły dotyczące komputerów ofiar i ich lokalizacji, a następnie wybierają najlepiej dopasowane złośliwe oprogramowanie do dostarczenia. Często tym złośliwym oprogramowaniem jest ransomware. Malvertising często używa zainfekowanej ramki iframe, czyli niewidocznego elementu strony internetowej, do swojej pracy. Iframe przekierowuje na stronę lądowania exploitu, a złośliwy kod atakuje system z tej strony poprzez zestaw exploitów. Wszystko to dzieje się bez wiedzy użytkownika, dlatego często mówi się o tym jako o drive-by-download.
  • Spear phishing: Bardziej ukierunkowanym sposobem na atak ransomware jest spear phishing. Przykładem spear phishingu byłoby wysyłanie e-maili do pracowników określonej firmy, twierdząc, że CEO prosi o wypełnienie ważnej ankiety pracowniczej lub dział HR wymaga pobrania i przeczytania nowej polityki. Termin "whaling" używany jest do opisania takich metod, skierowanych na osoby decyzyjne wysokiego szczebla w organizacji, takie jak CEO lub inni członkowie zarządu.
  • Socjotechnika: Malspam, malvertising i spear phishing mogą, a często zawierają elementy socjotechniki. Aktorzy zagrożeń mogą używać socjotechniki w celu nakłaniania ludzi do otwierania załączników lub klikania na linki, udając że są wiarygodne – czy to przez podawanie się za zaufaną instytucję czy znajomego. Cyberprzestępcy używają socjotechniki w innych typach ataków ransomware, na przykład podszywając się pod FBI, aby przestraszyć użytkowników w płacenie określonej sumy pieniędzy za odblokowanie ich plików. Innym przykładem socjotechniki mogłoby być, gdy aktor zagrożenia zbiera informacje z twoich publicznych profili w mediach społecznościowych o twoich zainteresowaniach, miejscach, które często odwiedzasz, twojej pracy itd., i wykorzystuje niektóre z tych informacji, aby wysłać ci wiadomość wyglądającą znajomo, licząc na to, że klikniesz, zanim zdążysz sobie zdać sprawę, że to nie jest prawdziwe. 
Infografika o złośliwej reklamie i oprogramowaniu ransomware.

Szyfrowanie plików i żądanie okupu

Niezależnie od metody użytej przez aktora zagrożenia, gdy uzyskają dostęp, oprogramowanie ransomware (zwykle aktywowane przez kliknięcie przez ofiarę linku lub otwarcie załącznika) szyfruje twoje pliki lub dane, uniemożliwiając ci ich dostęp, a następnie pojawia się wiadomość żądająca zapłaty okupu za przywrócenie tego, co zostało zabrane. Często atakujący będą żądać płatności za pomocą kryptowalut.

Rodzaje ransomware

Trzy główne rodzaje ransomware obejmują scareware, blokery ekranu i ransomware szyfrujące:

  • Scareware: Scareware, jak się okazuje, wcale nie jest takie straszne. Obejmuje nieuczciwe oprogramowanie zabezpieczające i oszustwa związane z pomocą techniczną. Możesz otrzymać wyskakującą wiadomość twierdzącą, że wykryto złośliwe oprogramowanie i jedynym sposobem na pozbycie się go jest zapłacenie. Jeśli nic nie zrobisz, prawdopodobnie nadal będziesz bombardowany wyskakującymi okienkami, ale twoje pliki są zasadniczo bezpieczne. Legalny program cyberbezpieczeństwa nie zabiegałby o klientów w ten sposób. Jeśli nie masz jeszcze oprogramowania tej firmy na swoim komputerze, to nie będzie ono monitorować cię pod kątem infekcji ransomware. Jeśli posiadasz oprogramowanie zabezpieczające, nie będziesz musiał płacić za usunięcie infekcji - już zapłaciłeś za oprogramowanie, które wykonuje to zadanie.
  • Blokery ekranu: Podnieś poziom zagrożenia do pomarańczowego dla tych gości. Kiedy ransomware blokujące ekran dotrze na twój komputer, oznacza to, że zostajesz całkowicie zamrożony z dostępu do swojego PC. Po uruchomieniu komputera pojawi się pełnowymiarowe okno, często z pieczęcią wyglądającą na oficjalną FBI lub Departamentu Sprawiedliwości USA, mówiące, że na twoim komputerze wykryto nielegalną działalność i musisz zapłacić grzywnę. Jednakże, FBI nie zamroziłoby cię z dostępu do twojego komputera ani nie zażądałoby zapłaty za nielegalną działalność. Jeśli podejrzewaliby cię o piractwo, pornografię dziecięcą lub inne przestępstwa cybernetyczne, podeszliby do tego za pomocą właściwych kanałów prawnych.
  • Ransomware szyfrujące: To faktycznie nieprzyjemne rzeczy. To oni porywają twoje pliki i szyfrują je, żądając zapłaty za ich odszyfrowanie i ponowne dostarczenie. Powodem, dla którego ten typ ransomware jest tak niebezpieczny, jest fakt, że kiedy cyberprzestępcy przejmą twoje pliki, żadne oprogramowanie zabezpieczające ani przywracanie systemu nie mogą ich ci przywrócić. Chyba że zapłacisz okup – w większości przypadków, są one stracone. I nawet jeśli zapłacisz, nie ma gwarancji, że cyberprzestępcy zwrócą ci te pliki.

Ransomware dla Mac

Dowiedz się o KeRanger, pierwszym prawdziwym oprogramowaniu ransomware dla Mac.

Nie chcąc zostać poza grą ransomware, autorzy złośliwego oprogramowania dla Mac stworzyli pierwsze ransomware dla systemów operacyjnych Mac w 2016 roku. Nazwany KeRanger, ransomware zainfekował aplikację o nazwie Transmission, która po uruchomieniu kopiowała złośliwe pliki pozostające cicho w tle przez trzy dni, aż do momentu, gdy eksplodowały i szyfrowały pliki. Na szczęście, wkrótce po odkryciu ransomware, wbudowany program anty-malware Apple, XProtect, wydał aktualizację, która blokowała jego infekcję systemów użytkowników. Niemniej jednak, ransomware dla Mac przestało być jedynie teorią. 

Po KeRanger przyszły Findzip i MacRansom, oba odkryte w 2017 roku. Niedawno, w 2020 roku, pojawiło się coś, co wyglądało na ransomware (ThiefQuest, aka EvilQuest), ale okazało się, że to tak naprawdę tzw. "wiper". Udawało ransomware jako przykrywka dla faktu, że wykradało wszystkie dane, a choć szyfrowało pliki, nigdy nie miało sposobu, aby użytkownicy mogli je odszyfrować lub skontaktować się z gangiem w sprawie płatności. 

Mobilne oprogramowanie ransomware

Nie było to aż do pojawienia się słynnego CryptoLocker i innych podobnych rodzin w 2014 roku, że ransomware zostało zauważone na dużą skalę na urządzeniach mobilnych. Mobilne ransomware zazwyczaj wyświetla wiadomość, że urządzenie zostało zablokowane z powodu jakiejś nielegalnej działalności. Wiadomość mówi, że telefon zostanie odblokowany po zapłacie opłaty. Mobilne ransomware często jest dostarczane za pomocą złośliwych aplikacji i wymaga uruchomienia telefonu w trybie bezpiecznym oraz usunięcia zainfekowanej aplikacji, aby odzyskać dostęp do urządzenia mobilnego.

Jak mogę usunąć ransomware?

Mówią, że uncja zapobiegania jest warta funta leczenia. Jest to z pewnością prawda, jeśli chodzi o ransomware. Jeśli atakujący zaszyfrują twoje urządzenie i zażądają okupu, nie ma gwarancji, że odszyfrują je, niezależnie od tego, czy zapłacisz, czy nie.

To dlatego tak ważne jest, aby być przygotowanym, zanim zostaniesz zainfekowany ransomware. Dwa kluczowe kroki do podjęcia to:

  • Zainstaluj oprogramowanie zabezpieczające zanim zostaniesz zainfekowany ransomware.
  • Kopiuj zapasowe ważne dane (pliki, dokumenty, zdjęcia, filmy itp.)

Jeśli znajdziesz się z infekcją ransomware, najważniejsza zasada to nigdy nie płacić okupu. (Jest to obecnie porada zalecana przez FBI.) Jedyne co to robi, to zachęca cyberprzestępców do przeprowadzania kolejnych ataków, albo na ciebie, albo na kogoś innego. 

Jedną z potencjalnych opcji na usunięcie ransomware jest możliwość odzyskania części zaszyfrowanych plików za pomocą darmowych dekryptorów. Aby było jasne: Nie wszystkie rodziny ransomware miały stworzone dla siebie dekryptory, w wielu przypadkach ze względu na to, że ransomware wykorzystuje zaawansowane i skomplikowane algorytmy szyfrowania.

I nawet jeśli istnieje dekryptor, nie zawsze jest jasne, czy jest to właściwa wersja malware. Nie chcesz dalej szyfrować swoich plików, używając złego skryptu deszyfrującego. Dlatego musisz zwracać baczną uwagę na wiadomość z żądaniem okupu, albo poradzić się specjalisty ds. bezpieczeństwa/IT przed próbą jakiegokolwiek działania.

Inne sposoby radzenia sobie z infekcją ransomware obejmują pobieranie produktu zabezpieczającego znanego z usuwania zagrożeń i uruchamianie skanowania w celu usunięcia zagrożenia. Może się zdarzyć, że nie odzyskasz swoich plików, ale możesz być pewien, że infekcja zostanie usunięta. W przypadku ransomware blokującego ekran może być konieczne pełne przywrócenie systemu. Jeśli to nie zadziała, spróbuj uruchomić skanowanie z bootowalnego CD lub pendrive'a.

Jeśli chcesz zatrzymać działanie ransomware szyfrującego w trakcie akcji, musisz być szczególnie czujny. Jeśli zauważysz dziwne spowolnienie systemu, wyłącz go i odłącz od Internetu. Jeśli po ponownym uruchomieniu złośliwe oprogramowanie będzie nadal aktywne, nie będzie mogło wysyłać ani otrzymywać poleceń z serwera kontrolnego. To oznacza, że bez klucza lub możliwości wyłudzenia płatności, oprogramowanie może pozostawać nieaktywne. W tym momencie pobierz i zainstaluj produkt zabezpieczający i uruchom pełne skanowanie.

Jednak te opcje usuwania oprogramowania ransomware nie będą działać we wszystkich przypadkach. Jak wspomniano powyżej, konsumenci powinni aktywnie bronić się przed oprogramowaniem ransomware, instalując oprogramowanie zabezpieczające, takie jak Malwarebytes Premiumoraz tworząc kopie zapasowe wszystkich ważnych danych. W przypadku firm, dowiedz się więcej o rozwiązaniach biznesowych Malwarebytes , które obejmują wykrywanie, zapobieganie i wycofywanie oprogramowania ransomware

Jak chronić się przed ransomware?

Eksperci ds. bezpieczeństwa zgadzają się, że najlepszym sposobem ochrony przed oprogramowaniem ransomware jest zapobieganie jego wystąpieniu.


Przeczytaj o najlepszych sposobach, jak zapobiec infekcji ransomware.

Przeczytaj o najlepszych sposobach, jak zapobiec infekcji ransomware.

Choć istnieją metody radzenia sobie z infekcją ransomware, są to w najlepszym razie nieidealne rozwiązania, które często wykraczają poza możliwości przeciętnego użytkownika komputera. Dlatego zalecamy, co ludzie powinni robić, aby uniknąć skutków ataków ransomware.

Pierwszym krokiem w zapobieganiu ransomware jest zainwestowanie w niesamowite cyberbezpieczeństwo - program z ochroną w czasie rzeczywistym, który został zaprojektowany w celu udaremnienia zaawansowanych ataków złośliwego oprogramowania, takich jak ransomware. Należy również zwrócić uwagę na funkcje, które zarówno chronią podatne programy przed zagrożeniami (technologia anty-exploit), jak i blokują ransomware przed przetrzymywaniem plików jako zakładników (komponent anty-ransomware ). Na przykład klienci korzystający z wersji premium Malwarebytes dla Windows byli chronieni przed wszystkimi głównymi atakami ransomware w 2017 roku.

Następnie, choć może to być dla Ciebie uciążliwe, musisz regularnie tworzyć bezpieczne kopie zapasowe swoich danych. Zalecamy korzystanie z pamięci w chmurze, która zapewnia wysoki poziom szyfrowania i uwierzytelnianie wieloskładnikowe. Możesz jednak kupić pamięć USB lub zewnętrzny dysk twardy, na którym możesz zapisywać nowe lub zaktualizowane pliki — pamiętaj tylko, aby po utworzeniu kopii zapasowej fizycznie odłączyć urządzenia od komputera, w przeciwnym razie również mogą one zostać zainfekowane oprogramowaniem ransomware.

Upewnij się, że twoje systemy i oprogramowanie są aktualizowane. Wybuch ransomware WannaCry wykorzystał lukę w oprogramowaniu Microsoft. Choć firma wypuściła łatkę na ten problem w marcu 2017 roku, wiele osób jej nie zainstalowało, co uczyniło ich podatnymi na atak. Rozumiemy, że trudno jest nadążać za rosnącą liczbą aktualizacji z rosnącej liczby używanych na co dzień aplikacji i programów. Dlatego zalecamy zmienić ustawienia, aby umożliwić automatyczne aktualizacje.

Bądź na bieżąco. Jednym z najczęstszych sposobów infekcji komputera przez ransomware jest socjotechnika. Edukuj siebie (i swoich pracowników, jeśli jesteś właścicielem firmy) na temat rozpoznawania malspamów, podejrzanych stron internetowych i innych oszustw. I przede wszystkim, używaj zdrowego rozsądku. Jeśli coś wydaje się podejrzane, prawdopodobnie takie jest.

Kim są hackers?

Czym jest scareware?

Czym jest oprogramowanie szpiegujące?