BIZIT 11 - prvi dan

Kriptomalver – istinita sajber horor priča

Verovatno ste čuli priču o ransom malware‑u (ransomware), ucenjivačkom softveru koji kriptuje fajlove na hard‑drajvu i onda ucenjuje žrtvu – plati ili se pozdravi sa fajlovima zauvek. I vaši podaci su u opasnosti…

1433920286880Cilj ove priče nije stvaranje panike. Želimo da vam skrenemo pažnju i upozorimo vas na opasnost kako biste mogli da se zaštitite

Čuli ste možda i za neke žrtve, na primer neke policijske stanice u Americi ili za stariji bračni par, takođe iz Amerike, koji je platio skoro 3000 dolara ucenjivačima. Žrtava je bilo i na drugom kraju sveta. U Kini, na primer, najnovije mete bile su Narodna banka Kine i Banka Istočne Azije. Ozbiljne kompanije…

Kina i Amerika su daleko i ove priče vas ne plaše mnogo. Ne plaši vas ni podatak da je broj ransom malware‑a porastao 500 odsto u odnosu na prošlu godinu, jer to su samo brojke. Međutim, sledeće istinite priče iz Srbije barem će vas naterati na razmišljanje i oprez.

Ovu priču za PC Press prenosi Net++ technology

Sredinom januara došli smo do informacija da je počela još jedna žestoka spam kampanja kojom se širi novi ransomware pod imenom CTB‑Locker. Istražili smo o kakvoj pretnji je reč, koje se mere zaštite preporučuju, kako prepoznati mamac i poslali našim pretplatnicima na biltene (za pretplatu posetite: www.netpp.rs/pretplata) uputstvo kako da prepoznaju ovakve pretnje i koje mere zaštite treba da odmah  preduzmu.

Prve nama poznate žrtve pojavile su se u roku od nekoliko dana. Jedna od tipičnih bila je i sekretarica direktora firme koja je dobila e‑mail u kome je pisalo da se u prilogu nalazi faktura. Baš ono na šta smo i upozorili, ali kako ta sekretarica nije bila na našoj e‑mail listi, niti je neko iz firme prosledio upozorenje, jednim klikom uspela je da zarazi svoj računar.

Kako je CTB‑Locker mudro napisan malver, ništa se nije desilo odmah… tek nakon nekoliko dana sekretarica je primetila da ne može da otvori pojedine dokumente na računaru, a onda se pojavilo i zlokobno crveno upozorenje: plati da ti vratimo fajlove koje je CTB‑Locker kriptovao!

Na licu mesta našli smo virus, očistili računar (Symantec Endpoint Protection alatima), utvrdili o kom crypto locker‑u se radi, ali nažalost, spasa dokumentima nije bilo. Za taj tip crypto locker‑a nisu postojali alati niti generatori ključeva za dekriptovanje fajlova.

Pročitajte i:  Zaštita podataka: kako se oporaviti od ransomware napada?

Jedina nada bio je backup fajlova, ali ni tu situacija nije bila srećna – iz onoga što su mislili da je backup (poluručni), izvučen je samo deo dokumenata, ostatak je bio izgubljen zauvek! Srećom, malver je završio samo na jednom računaru, a gubitak fajlova nije bio tako veliki i nenadoknadiv.

S druge strane, shvatili su da nisu svi antivirusi isti, a nakon par sastanaka i da je backup obavezan za sve važne podatke firme, ma gde se oni nalazili – na serverima ili na radnim stanicama, kao i da je cena dobrog rešenja za backup zapravo manja od cene i vrednosti samih podataka koje svaka firma danas ima u elektronskom obliku.

Nakon još dva slična slučaja, poslali smo novi e-mail, upozorili da je pretnja stvarna i da se dešava i u Srbiji. Napravili smo detaljnije objašnjenje i spisak IP adresa koje treba blokirati (za koje smo u tom trenutku znali da sadrže malver).CTB-Locker1

Nakon nekoliko dana, pojavio se novi slučaj. IT administrator. Nije naš korisnik u pitanju, zovu nas po preporuci. Čoveku koji zove u glasu se čuju panika i očaj, kaže:

Nadam se da možete da nam pomognete, zakačili smo virus, svi fajlovi na serveru su nam zaključani. Traže nam bitkoine za otkupninu“.

Mi mu kažemo da je verovatno u pitanju neki od locker‑a – tzv. ransomware i da se nadamo da imaju backup. Tišina s druge strane žice.

Backup? Kakve veze ima backup sa virusom?“.

Objasnimo mu o čemu je reč i pitamo koliko su im važni ti fajlovi, pošto backup očito nemaju. Čovek uzdiše i kaže:

Najvažniji. To je ceo naš posao. Sve što je cela firma radila u ovoj i prethodnoj godini. Mislili smo da imamo podatke na sigurnom, imamo RAID5 (redundantne diskove – primedba autora) na serveru. Da li će otključati fajlove ako im platimo?“. Nažalost, to niko ne može da garantuje.

Šta je naravoučenije ove priče?

Ako koristite Internet – i vi ste meta!  Niko nije bezbedan. Ransomware pretnje, kao što su CryptoLocker, KeyHolder i CTB‑Locker, pogađaju sve, od pojedinaca do velikih firmi.

Pročitajte i:  Android: Zaključavanjem protiv lopova

Ostaje samo da upoznamo neprijatelja da bismo ga lakše pobedili. Šta je karakteristika ove grupe štetnog softvera? Kao što se može naslutiti iz naziva, ovaj malver pokušava da od vas iznudi novac (ransom), tako što kao taoce drži važne podatke upisane na vaše diskove.

Kako dolazi u posed vaših podataka? Malver se najčešće širi kroz spam. Žrtva primi e‑mail s nepoznate adrese ili na prvi pogled poznate (a zapravo je lažna) u kome je link ili attachment, za koji piše da je faktura ili faks, glasovna poruka i slično. Otvaranjem fajla pokreće se preuzimanje drugog kriptovanog fajla, koji je zapravo sam malver koji dalje kriptuje podatke na vašem računaru.

Zaključane, kriptovane fajlove nemoguće je otključati „na silu“ , a neki ransomware‑i vas čak upozoravaju da će vam, ako to pokušate, fajlovi biti fizički izbrisani. Za neke, srećom, postoje alati za dekripciju sa generatorima ključeva, ali za neke nema spasa. Autori ransomware‑a najčešće traže da im otkupninu platite u bitkoinima ili dolarima i daju vam rok, a posle isteka uništavaju podatke.

Rešenje ne postoji! Postoji samo preventiva. Samog malvera možete da se rešite, ali nećete moći da vratite podatke ako nemate backup.

Šta ne treba da radite?

Opšti savet je da se otkupnina ne plaća. Plaćanje otkupnine možda deluje kao jedino rešenje, ali na taj način samo podstičete napadače i finansirate ih. Dodatni razlog da ne plaćate je taj što ne postoje nikakva garancija da će vam napadač otključati fajlove. Dešavalo se i da ljudi ili preduzeća plate traženu otkupninu, dobiju svoje fajlove, samo da bi nešto kasnije bili ponovo napadnuti i da bi im tražili još više para.

Ako ne platite odmah, ucenjivači posle određenog roka podižu sumu, tako da otkupnina može da dostigne i sumu od 10 hiljada dolara!

Šta se preporučuje da uradite?

Uklonite zaraženi sistem s mreže i time uklonite pretnju. Sistem mora što pre da se odvoji od mreže da se pretnja ne bi širila.

Vratite fajlove sa backup-a za koji znate da je dobar i da nije zaražen. To je najbrži i najsigurniji način da dođete do podataka. Ako imate backup.

Pročitajte i:  Nove prevare: Kad u mejlu piše da vas partner vara

Da li je moguće doći do fajlova bez plaćanja otkupnine i bez vraćanja sa backup‑a?

Najverovatnije nije moguće. Bilo je slučajeva, kod nekih od ranijih varijanti ovih pretnji, da napadači samo sakriju fajlove, ostave kopije originalnih fajlova (ili se do njih može doći preko Volume Shadow Copy service ako je kojom srećom bio uključen) ili da ostave kopije privatnih ključeva u lokalu, u memoriji računara. Svakako istražite o kojoj varijanti pretnje se radi, možda postoji rešenje, mada nemojte da se nadate previše, jer su autori malvera vrlo ažurni i trude se da otklone sve „nedostatke“ starijih verzija.

Kako se zaštititi od ovih ransomware‑a?

  1. Redovno ažuritajte operativni sistem i softver za zaštitu. Razmislite zašto su neka rešenja za zaštitu besplatna, a neka se plaćaju!
  2. Ne otvarajte attachment‑e od nepoznatih pošiljalaca, pa čak ni od poznatih ako vam taj e‑mail deluje i najmanje sumnjivo. Ako ste u firmi, potrudite se da organizujete obuku ili barem napravite obaveštenje za korisnike o tome kako da prepoznaju spam/phishing poruke i zašto je važno da se u takvim porukama ne klikće na linkove i ne otvaraju prilozi.
  3. Redovno pravite backup važnih podataka i držite ih na mestu, storage‑u koji nije direktno povezan sa svim korisnicima. Čuvajte i organizujte pravljenje kopija backup‑a.
  4. Razmislite i o čuvanju podataka u cloud‑u.

Preduzećima preporučujemo da se pobrinu i za sledeće:

  1. Ako ste uložili novac u dobro rešenje za zaštitu, pobrinite se da je ono pravilno konfigurisano, da se sve funkcije primenjuju i da neko taj sistem stalno nadgleda.
  2. Koristite dobar firewall nove generacije (klasičan firewall neće vam pomoći).
  3. Obezbedite dobro antispam rešenje (da, mislimo da postoje razlozi zašto neka antispam rešenja koštaju više, a naročito zašto nisu besplatna).
  4. Organizujte sistem upozorenja za zaposlene, obuke za osnove sigurnosti i podizanje svesti o bezbednosti na Internetu (angažujte pomoć, ako ne možete ili ne znate sami).
  5. Uvedite backup podataka i za radne stanice i laptop računare (hteli ili ne, nikada svi važni podaci neće biti na serverima, uvek će se naći i na ponekom računaru). Backup servera i podataka sa servera već imate, zar ne?

(Objavljeno u Časopisu PC#223)

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , , , , , ,

One thought on “Kriptomalver – istinita sajber horor priča

  • 09. 09. 2015. at 16:51
    Permalink

    Hah koja ironija, pa sam tekst je napisan da podigne paniku da bi se svi pretplatili za Net++ biltene… povrachachu

Comments are closed.