Trace Id is missing
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je malware?

Získejte další informace o malwaru, o tom, jak funguje a jak můžete chránit sebe i vaši firmu před tímto typem kybernetických útoků.

Začněte používat řešení SIEM a XDR

Definice malwaru

Slovem malware označujeme škodlivé aplikace nebo kódy, které poškozují zařízení koncových bodů nebo narušují jejich normální provoz. Když se zařízení infikuje malwarem, může dojít k neoprávněnému přístupu, ohrožení dat nebo zablokování zařízení, dokud nezaplatíte výkupné.

Lidé, kteří distribuují malware, se označují jako kyberzločinci a jsou motivováni penězi. Na nakažených zařízeních provádějí útoky například s cílem získat přihlašovací údaje do banky, shromáždit osobní údaje, které lze zpeněžit, prodat přístup k výpočetním prostředkům nebo vynutit si od obětí platební údaje.

Jak malware funguje?

Malware funguje tak, že pomocí triků znemožňuje normální provoz zařízení. Jakmile kyberzločinec získá přístup k vašemu zařízení prostřednictvím jedné nebo několika různých technik – jako je phishingový e-mail, nakažený soubor, zneužití chyby v zabezpečení systému nebo softwaru, nakažený USB flash disk nebo škodlivý web –, zneužije tuto situaci ke spouštění dalších útoků, získání přihlašovacích údajů k účtu, shromažďování osobních údajů ke zpeněžení, prodeji přístupu k výpočetním prostředkům nebo vylákání plateb od obětí.

Obětí malwarového útoku se může stát kdokoli. I když někteří z nás mohou mít jistý přehled o způsobech, jakými se malwaroví útočníci snaží cílit na oběti, například dokážou identifikovat phishingový e-mail, kyberzločinci jsou důmyslní a neustále své metody rozvíjejí, aby udrželi krok s vylepšováním technologií a zabezpečení. Malwarové útoky také vypadají a probíhají odlišně v závislosti na typu malwaru. Například oběť rootkitové útoku o něm nemusí mít ani tušení, protože tento typ malwaru je navržený tak, aby byl nenápadný a zůstal co nejdéle bez povšimnutí.

Níže najdete několik způsobů, jak se kyberzločinci pokoušejí dostat malware do zařízení.

Typy malwaru

Malware má spoustu podob – níže uvádíme několik běžných typů.

Útoky phishing
Útok phishing spočívá v tom, že se někdo prostřednictvím e-mailů, webů, textových zpráv nebo jiných forem elektronické komunikace vydává za důvěryhodný zdroj s cílem odcizit citlivé informace. Tyto útoky představují mechanismus pro doručení malwaru. Obvyklým záměrem je odcizit uživatelská jména, hesla, údaje o platebních kartách a bankovní údaje. Tyto typy malwarových útoků můžou vést ke krádeži identity nebo odcizení peněz přímo z něčího osobního bankovního účtu nebo platební karty.

Kyberzločinec se může například vydávat za renomovanou banku a poslat příjemci varovný e-mail, že jeho účet byl kvůli podezřelé aktivitě zablokován, a zároveň ho požádat o kliknutí na odkaz v e-mailu kvůli vyřešení problému. Po kliknutí na odkaz se nainstaluje malware.

Spyware
Spyware funguje tak, že se na zařízení nainstaluje bez souhlasu uživatele a bez odpovídajícího upozornění. Po instalaci může monitorovat chování online, shromažďovat citlivé informace, měnit nastavení zařízení nebo snižovat jeho výkon.

Adware
Stejně jako spyware se i adware nainstaluje na zařízení bez souhlasu uživatele. V případě adwaru je ale cílem zobrazování agresivní reklamy, často v automaticky otevíraných oknech, aby se generovaly výnosy díky kliknutím. Tyto reklamy často zpomalují výkon zařízení. Nebezpečnější typy adwaru můžou také instalovat další software, měnit nastavení prohlížeče a zvýšit zranitelnost zařízení vůči jiným malwarovým útokům.

Viry
Viry jsou navržené tak, aby narušovaly normální provoz zařízení tím, že zaznamenávají, poškozují nebo odstraňují jeho data. Často se šíří do jiných zařízení tím, že uživatele přimějí k otevření škodlivých souborů.

Programy pro zneužití slabých míst a jejich sady
Programy pro zneužití slabých míst (označované jako exploit) využívají zranitelnosti v softwaru k obejití bezpečnostních opatření počítače a zařízení pak infikují. Hackeři se zlými úmysly vyhledávají zastaralé systémy, které v sobě mají kritická ohrožení zabezpečení, a pak je zneužijí nasazením malwaru. Zahrnutím kódu prostředí do programu, jehož cílem je zneužití slabého místa, můžou kyberzločinci stáhnout další malware, který napadne další zařízení a infiltruje organizaci.

Sady pro zneužití slabých míst obsahují kolekci těchto programů, které vyhledávají různé typy slabých míst zabezpečení softwaru. Pokud nějaká objeví, nasadí další malware. Jako příklad potenciálně infikovaného softwaru lze uvést Adobe Flash Player, Adobe Reader, webové prohlížeče, Oracle Java a Sun Java. Mezi běžné sady tohoto typu patří Angler/Axpergle, Neutrino a Nuclear.

Programy pro zneužití slabých míst a jejich sady obvykle k prolomení sítě nebo zařízení využívají škodlivé weby nebo e-mailové přílohy, ale někdy se také skrývají v reklamách na legitimních webech, aniž by o tom jejich provozovatelé věděli.

Bezsouborový malware
Tento typ kybernetického útoku obecně označuje malware, který k prolomení sítě nevyužívá soubory, jako je infikovaná e-mailová příloha. Mohou přicházet například prostřednictvím škodlivých síťových paketů, které zneužijí ohrožení zabezpečení a pak nainstalují malware, který se nachází pouze v paměti jádra. Bezsouborové hrozby je zvlášť obtížné najít a odstranit, protože většina antivirových programů není navržena tak, aby kontrolovala firmware.

Malware využívající makra
Nejspíše už znáte makra – umožňují rychlou automatizaci běžných úloh. Malware využívající makra zneužívá tuto funkci tím, že infikuje e-mailové přílohy a soubory ZIP. Kyberzločinci často skrývají malware v souborech maskovaných jako faktury, účtenky a právní dokumenty, aby uživatele přiměli k jejich otevření.

V minulosti byl malware využívající makra častější, protože se makra při otevření dokumentu spouštěla automaticky. V posledních verzích Microsoft Office jsou ale makra ve výchozím nastavení zakázaná, což znamená, že kyberzločinci, kteří tímto způsobem infikují zařízení, musí uživatele přimět k jejich zapnutí.

Ransomware
Ransomware je typ malwaru, který vyhrožuje obětem tím, že pokud nezaplatí výkupné, jejich klíčová data budou zničena nebo přístup k nim bude zablokován. Při ransomwarových útocích řízených lidmi dojde k napadení organizace prostřednictvím obvyklých chyb v konfiguraci systému a zabezpečení. Ransomware následně infiltruje organizaci, projde si podnikovou síť a přizpůsobí se prostředí a případným slabým místům. Běžnou metodou získání přístupu k síti organizace za účelem zanesení ransomwaru je krádež přihlašovacích údajů skutečného zaměstnance, aby se kyberzločinec mohl za něho vydávat a získal přístup k jeho účtům.

Útočníci, kteří používají ransomware řízený člověkem, cílí na velké organizace, protože ty můžou zaplatit vyšší výkupné než běžný člověk – často jde o mnoho milionů dolarů. Vzhledem k tomu, že narušení podnikové sítě takového rozsahu představuje velké ohrožení, se mnoho organizací rozhodne raději zaplatit výkupné, než aby nechaly uniknout citlivá data nebo riskovaly další útoky kyberzločinců, i když tím nemají zaručeno, že se těmto problémům vyhnou.

S rostoucím počtem útoků ransomwaru řízeného lidmi se zločinci, kteří za útoky stojí, stávají lépe organizovanými. Mnoho ransomwarových útoků dnes používá model „ransomeware jako služba“ (Ransomware as a Service), což znamená, že skupina zločineckých vývojářů vytvoří samotný ransomware a pak najme další kyberzločince, aby se nabourali do sítě organizace a ransomware do ní nainstalovali. Zisky si pak obě skupiny po dohodě rozdělí.

Rootkity
Při použití rootkitu skryje kyberzločinec malware na zařízení na co nejdelší dobu, někdy i na celé roky, aby mohl průběžně krást informace a prostředky. Díky zachycování a změnám standardních procesů operačního systému může rootkit upravovat informace, které zařízení o sobě hlásí. Zařízení nakažené rootkitem nemusí například zobrazovat přesný seznam spuštěných programů. Rootkity mohou také kyberzločincům zajistit správcovská nebo zvýšená oprávnění k zařízením, takže nad nimi mohou převzít úplnou kontrolu a provádět v nich potenciálně škodlivé akce, jako jsou krádeže dat, sledování obětí a instalace dalšího malwaru.

Útoky na dodavatelské řetězce
Tento typ malwaru cílí na vývojáře a poskytovatele softwaru tím, že přistupuje ke zdrojovým kódům, vytváří procesy nebo aktualizuje mechanismy v legitimních aplikacích. Jakmile kyberzločinec objeví nezabezpečený síťový protokol, nechráněnou serverovou infrastrukturu nebo nebezpečný kódovací postup, dostane se dovnitř, změní zdrojové kódy a skryje malware v buildovacích a aktualizačních procesech.

Podvody spojené s technickou podporou
Podvody spojené s technickou podporou se vyskytují v celém odvětví a uplatňují zastrašovací taktiku, aby uživatele přiměly k zaplacení za nepotřebné služby technické podpory v návaznosti na zfalšovaný problém související se zařízením, platformou nebo softwarem. Při tomto typu malwaru může kyberzločinec někomu přímo zavolat a vydávat se za zaměstnance softwarové společnosti. Jakmile si útočník získá důvěru, naléhá na potenciální oběti, aby si nainstalovaly aplikace nebo poskytli vzdálený přístup ke svým zařízením.

Trojské koně
U trojských koní se počítá s tím, že si je uživatel nevědomky stáhne, protože se jeví jako legitimní soubory nebo aplikace. Po stažení můžou:

  • Stahovat a instalovat další malware, jako jsou viry nebo červi.
  • Zneužívat infikované zařízení k podvodným kliknutím.
  • Zaznamenávat stisknutí kláves a weby, které navštívíte.
  • Odesílat hackerovi informace o infikovaném zařízení (například hesla, přihlašovací údaje a historii procházení).
  • Poskytnout kyberzločinci kontrolu nad infikovaným zařízením.

Nežádoucí software
Pokud zařízení obsahuje nežádoucí software, může se uživatel setkat s upraveným prostředím pro webové procházení, s modifikovaným řízením stahování a instalací, se zavádějícími zprávami a s neoprávněnými změnami nastavení zařízení. Občas je nežádoucí software přiložen k softwaru, který si uživatelé stáhnout chtějí.

Červi
Většinou se nachází v přílohách e-mailů, v textových zprávách, v programech pro sdílení souborů, na webech sociálních sítí, v síťových sdílených složkách a na vyměnitelných jednotkách. Červ se šíří přes síť tím, že zneužívá ohrožení zabezpečení a kopíruje se. V závislosti na typu může červ krást citlivé informace, měnit nastavení zabezpečení nebo bránit v přístupu k souborům.

Programy pro těžbu kryptoměn
S nárůstem oblíbenosti kryptoměn se dolování mincí stalo výnosnou činností. Těžaři zneužívají k dolování kryptoměn výpočetní kapacitu zařízení. Nakažení tímto typem malwaru často začíná u e-mailové přílohy, která se pokusí nainstalovat malware, nebo u webu, který zneužije chyby zabezpečení ve webových prohlížečích, případně využije výpočetní výkon počítače k přidání malwaru do zařízení.

Pomocí složitých matematických výpočtů si programy na těžbu kryptoměn udržují blockchainový registr, aby se zmocnili výpočetních prostředků, které těžaři umožňují generovat nové mince. Dolování kryptomincí ale vyžaduje významný výpočetní výkon, přičemž se pak odcizí relativně malý objem kryptoměn. Z tohoto důvodu kyberzločinci často pracují v týmech, aby maximalizovali zisky, které si pak rozdělují.

Ne všichni těžaři ale pracují na zločinném základě – organizace někdy nakupují hardware a elektronickou energii pro legitimní těžbu. Tento postup se stává protiprávním, pokud kyberzločinec infiltruje firemní síť bez vědomí majitele a využije její výpočetní výkon k dolování.

Ochrana před malwarem

I když se obětí malwarového útoku může stát kdokoli, existuje mnoho způsobů, jak útoku předejít.

Nainstalujte antivirový program
Nejlepší formou ochrany je prevence. Organizace mohou zablokovat nebo detekovat mnoho malwarových útoků pomocí důvěryhodného řešení zabezpečení nebo antimalwarové služby, jako je Microsoft Defender for Endpoint nebo Antivirová ochrana v programu Microsoft Defender. Když použijete takový program, vaše zařízení nejprve zkontroluje všechny soubory nebo odkazy, které se chystáte otevřít, aby se ověřila jejich bezpečnost. Pokud je soubor nebo web škodlivý, program vás upozorní a navrhne, abyste ho neotevírali. Tyto programy můžou také odebrat malware ze zařízení, které už je nakažené.

Implementujte pokročilou ochranu e-mailu a koncových bodů
Posilte prevenci proti malwarovým útokům pomocí řešení Microsoft Defender pro Office 365, které kontroluje odkazy a přílohy v e-mailech a nástrojích pro spolupráci, jako je SharePoint, OneDrive a Microsoft Teams. Součástí řešení Microsoft Defender XDR je Defender pro Office 365, který nabízí možnosti detekce a reakce, které eliminují hrozbu malwarových útoků.

Microsoft Defender for Endpoint, který je také součástí řešení Microsoft Defender XDR, využívá senzory chování koncových bodů, analytiku zabezpečení cloudu a analýzu hrozeb, čímž organizacím pomáhá předcházet pokročilým hrozbám, detekovat a prošetřovat je a reagovat na ně.

Pořádejte pravidelná školení
Prostřednictvím pravidelných školení informujte zaměstnance, aby uměli rozpoznat phishingové a další kybernetické útoky. Seznámí se nejen s bezpečnějšími pracovními postupy, ale také s tím, jak bezpečněji používat svá osobní zařízení. Simulační a školicí nástroje, jako je školení prostřednictvím simulace útoků v řešení Defender pro Office 365, usnadňují imitaci reálných hrozeb ve vašem prostředí. Na základě výsledků simulace pak můžete koncovým uživatelům stanovit potřebná školení.

Využívejte cloudové zálohy
Pokud svá data přesunete do cloudové služby, budete je moct snadno zálohovat, takže budou ve větším bezpečí. Pokud by někdy došlo k ohrožení dat malwarem, pomůžou tyto služby zajistit okamžité a zároveň i komplexní obnovení.

Implementujte model nulové důvěry (Zero Trust)
Model nulové důvěry (Zero Trust) posoudí každé zařízení a každého uživatele z hlediska rizik, a teprve pak jim povolí přístup k aplikacím, souborům, databázím a dalším zařízením. Snižuje se tak pravděpodobnost, že by k prostředkům mohla získat přístup škodlivá identita nebo zařízení a nainstalovat malware. Příkladem je implementace vícefaktorového ověřování, což je jedna z komponent modelu nulové důvěry – to snižuje efektivitu útoků na identitu o více než 99 %. Pokud chcete vyhodnotit úroveň vyspělosti své organizace z hlediska této strategie, absolvujte naše posouzení připravenosti na model nulové důvěry (Zero Trust).

Připojte se ke skupině pro sdílení informací
Skupiny pro sdílení informací, které se často organizují podle odvětví nebo geografické polohy, motivují podobně strukturované organizace ke spolupráci na řešeních kybernetického zabezpečení. Rovněž organizacím nabízejí různé výhody, jako jsou služby pro reakci na incidenty a digitální forenzní služby, novinky o nejnovějších hrozbách a monitorování rozsahů a domén veřejných IP adres.

Udržujte offline zálohy
Cílem malwaru může být i vyhledání a odstranění všech vašich online záloh, a proto je vhodné udržovat aktualizované offline zálohy citlivých dat, která budete pravidelně testovat, abyste měli jistotu, že je bude možné použít k obnovení po malwarovém útoku.

Udržujte software v aktualizovaném stavu
Kromě aktualizace všech antivirových řešení (zvažte automatický režim) si nezapomeňte stahovat a instalovat všechny další aktualizace systému a opravy softwaru, jakmile budou k dispozici. Přispějete tím k minimalizaci slabých míst v zabezpečení, která by kyberzločinec mohl zneužít k získání přístupu k vaší síti nebo zařízením.

Vytvořte plán reakce na incidenty
Podobně jako evakuační plány v budovách pro případ požáru zvyšují bezpečí a připravenost, umožní vám i plán reakce na incidenty s předepsanými postupy při malwarových útocích rychle a správně zareagovat při různých scénářích napadení, abyste se mohli co nejdříve vrátit k normálnímu a bezpečnému provozu.

Zjištění a odebrání malwaru

Malware není vždy snadno zjistitelný, zejména v případě bezsouborového malwaru. Organizace i jednotliví uživatelé by si měli všímat jevů, jako je zvýšení počtu automaticky otevíraných reklam, přesměrování webových prohlížečů, podezřelé příspěvky na účtech sociálních médií a zprávy o ohrožených účtech nebo zabezpečení zařízení. Varovným signálem mohou být také změny výkonu zařízení, jako je například jeho zpomalení.

Pokud se obáváte, že jste se stali obětí malwarového útoku, jsou naštěstí k dispozici možnosti, jak ho detekovat a odstranit. Zaprvé využijte antivirové produkty, například ten, který se ve Windows nativně nabízí pro kontrolu malwaru. Po instalaci antivirového programu spusťte kontrolu zařízení, aby se vyhledaly všechny škodlivé programy nebo kód. Pokud program zjistí malware, uvede jeho typ a poskytne doporučení k jeho odstranění. Po odstranění nezapomeňte udržovat software aktualizovaný a funkční, aby se zabránilo budoucím útokům.

V případě sofistikovanějších útoků na organizace, které antivirové programy nedokážou detekovat a zablokovat, jsou tu nástroje SIEM (Security Information and Event Management) a XDR (Security Information and Event Management), které poskytují bezpečnostním specialistům cloudové metody zabezpečení koncových bodů. Ty usnadňují detekci útoků na koncová zařízení a reakci na ně. Protože tyto typy útoků jsou mnohostranné a cílem kyberzločinců je víc než jen převzetí kontroly nad zařízeními, umožňují nástroje SIEM a XDR organizacím rozpoznat útoky ve všech doménách – včetně zařízení, e-mailů a aplikací.

Přechod na nástroje SIEM & XDR , jako jsou Microsoft SentinelMicrosoft Defender XDRMicrosoft Defender for Cloud, představuje zásadní výchozí krok pro zajištění antivirových funkcí. Specialisté na zabezpečení by měli zajistit, aby se nastavení zařízení vždy aktualizovala podle nejnovějších doporučení, čímž pomáhají předcházet malwarovým hrozbám.

Další informace o zabezpečení od Microsoftu

Microsoft Sentinel

Odhalujte sofistikované hrozby a rychle na ně reagujte pomocí snadno použitelného a výkonného řešení SIEM, které využívá cloud a umělou inteligenci.

Další informace

Microsoft Defender XDR

Narušujte útoky napříč doménami díky rozšířené viditelnosti a bezkonkurenční umělé inteligenci ve sjednoceném řešení XDR.

Další informace

Microsoft Defender for Cloud

Posilte zabezpečení cloudu a monitorujte a chraňte úlohy v multicloudových prostředích.

Další informace

Microsoft Defender pro Office 365

Zvyšte ochranu své organizace před hrozbami, které se můžou objevit v e-mailech, odkazech a nástrojích pro spolupráci.

Další informace

Studie Microsoft Digital Defense Report

Seznamte se s aktuálním prostředím hrozeb a s tím, jak můžete vytvořit digitální obranu.

Další informace

Časté otázky

  • Obětí malwarového útoku se bohužel může stát kdokoli. Kyberzločinci jsou stále důmyslnější při imitování e-mailů a dalších forem komunikace od organizací, s nimiž komunikujete, jako je například vaše banka. Jiné typy malwaru jsou ještě méně nápadné a můžou se skrývat v softwaru, který si chcete stáhnout.

    Investice do proaktivních řešení, jako jsou služby pro ochranu před hrozbami, je realizovatelné řešení, jak zlepšit prevenci napadení vaší sítě nebo vašich zařízení malwarem. Nejnižší pravděpodobnost, že se stanou oběťmi malwarového útoku, vykazují totiž osoby a organizace s antivirovými programy a dalšími protokoly zabezpečení, jako je model nulové důvěry (Zero Trust).

  • Malwarové útoky probíhají mnoha různými způsoby. Můžete kliknout na škodlivý odkaz, otevřít nakaženou e-mailovou přílohu, ale ani nemusíte nic aktivně udělat – některé útoky totiž se totiž snaží najít a zneužít chyby v zabezpečení zařízení, i když jste neprovedli žádnou akci.

  • Některé malwarové útoky můžou být devastující, když například dojde k odcizení vaší identity a peněz, ale můžou být i méně závažné, jako je například zobrazování nechtěných reklam na vašem zařízení – i ty jsou však obtěžující.

  • Antivirové programy představují typ softwaru, který vás aktivně chrání před malwarem a odstraňuje ho z vašeho zařízení. Pokud máte nainstalovanou nějakou antivirovou službu, obdržíte před přístupem k napadenému souboru nebo odkazu upozornění, že je potenciálně nebezpečný.

  • Nejlepší prevencí malwarových útoků je stažení a instalace antivirového programu, který bude monitorovat aktivity a akce zařízení a označovat podezřelé soubory, odkazy nebo programy dříve, než se stanou problémem.

Sledujte zabezpečení od Microsoftu