Ransomware je nova digitalna pošast

Jedan bračni par izdvojio je 2.600 američkih dolara da plati ključ za dekriptovanje fajlova na – sopstvenom računaru. Radi se o ličnim fotografijama čiju rezervnu kopiju nisu imali. Neko se igrao programima za enkripciju i zaboravio je ključ? Ne, oni su bili meta napada nove digitalne pošasti – ransomware programa.

Zanimljivo je navesti i slučaj zabeležen u Mejnu, SAD, gde su četiri policijske uprave, uključujući kancelariju šerifa, platile 318 dolara u Bitcoin valuti kako bi dektriptovale fajlove na svojim računarima koji su bili zaraženi megacode programom. Reklo bi se da su dobro prošli, jer je uprava grada Detroita bila ucenjena na 800.000 dolara (odbili su da plate). Bezbednost ličnih podataka dobija poslednjih meseci sasvim novu dimenziju. Dok se s virusima i svakakvim ‑ware programima uspešno izlazi na kraj, ransomware (ransom na engleskom znači otkupnina) programe je teško ili nemoguće prepoznati jer između njih i programa za enkripciju nema gotovo nikakve razlike.

Način rada prilično je jednostavan: jednom kada se instalira, program će kriptovati vaše lične fajlove po ključu čija je polovina javna (znate je), dok je druga polovina u vlasništvu neke druge osobe. Nakon uplate tražene sume dobijate drugu polovinu ključa i, barem bi tako trebalo da bude, dekriptujete svoje fajlove u izvorni oblik. Stvari se komplikuju kada takav program počne sam sebe da modifikuje i razmnožava, zatim krene da preuzima druge programe takve vrste, pa jednom već kriptovani fajlovi postanu dodatno kriptovani…

Dobro, reći ćete, „Imam kopiju u oblaku“. Servere za skladištenje vaših podataka manje‑više nije briga šta ćete vi tamo čuvati (od dozvoljenih stvari), u smislu da li je to RAR datotaka s lozinkom, obična slika ili kriptovan fajl.

Ovo poslednje je ključno – ako „nešto“ kriptuje fajl, kriptovaće i njegovu kopiju u oblaku. Dakle, potencijalno su ugroženi svi fajlovi koje imate na svim medijima (osim onim na read‑only medijima) i na svim lokacijama na kojima imate prava upisa podataka.

Istorija ransomware‑a

Dodatnu razliku između štetnih programa (virusa, crva, raznih logera, hajdžekera…) i ransomware programa čini potencijalna zarada onoga ko takve programe piše što, naravno, daje dodatni motiv. A gde je dobra zarada, rast „ponude“ je eksponencijalan sve do „stabilizacije tržišta“ ili do pojave antiransomware programa.

Prvi od ransomware programa nazvan je CryptoLocker (septembar 2013). Njega je bilo lako prepoznati, pa su programi za zaštitu vrlo brzo počeli da ga otklanjaju s računara. Problem za korisnika nastaje kada je CryptoLocker već kodirao fajlove – antimalware programi mogu da ga uklone, ali ne mogu da dekodiraju datoteke. Zatim je CryptoLocker dobio dve varijante pod nazivima CryptoWall i TorrentLocker. Korisnik ovaj tip programa sam instalira, što je i najčešći slučaj zaraze, ne samo kod ransomware‑a. Oni dolaze putem e‑mail poruka ili se preuzimaju sa phishing sajtova. Praktično se mogu naći i na svim drugim mestima – na raznoraznim sajtovima za razmenu datoteka, u cloud sistemima, mogu biti u obliku EXE, ZIP ili lažne PDF datoteke…

Za drugu polovinu ključa obično se traži 300 američkih dolara i to u Bitcoin valuti (pravom novcu lako je ući u trag). Na korisniku ostaje da odluči hoće li platiti za ključ ili se pomiriti s gubitkom privatnih datoteka. Čak i nakon uplate, ne postoji garancija da se datoteke neće ponovo kriptovati na isti način, sledećom verzijom ili drugim programom, jer na jednom zaraženom sistemu teško je otkriti ovu vrstu programa – koliko ih je i kakvog su tipa.

Napadači mutiraju

Primer AAEH downloader‑a, kojim se instaliraju, pokazuje koliko su prilagodljivi programi za širenje ransomware infekcije: „AAEH je“, citiramo US‑CERT (United States Computer Emergency Readiness Team), „polimorfni downloader s više od dva miliona jedinstvenih verzija. Kada se instalira na neki sistem, on se menja svakih nekoliko časova i brzo širi mrežom. AAEH preuzima i instalira čitavu grupu ransomware programa u koje spadaju Zeus, CryptoLocker, ZeroAccess  CutwailIi.“

Do sada smo opisivali treću, najgoru grupu. U prve dve spadaju blaže varijante programa koji zahtevaju otkupninu kako bi korisniku vratili pristup računaru i datotekama. Scareware je vrsta lažnog anti‑nečega koja je, navodno, našla na računaru opasne infekcije i koja će ih ukloniti tek kada korisnik uplati izvesnu količinu novca. Manje‑više istu poruku daju i oni pravi antimalware programi. Stvar se tu obično ne završava – program se ugradi u sistem i sa svih strana iskaču poruke o infekciji ili program imitira infekciju koju je sam opisao. Ova vrsta napasti lako se uklanja kada se prepozna.

Drugu grupu čine programi koji nemaju destruktivno dejstvo, ali zaključavaju pristup računaru. To je obično poruka na engleskom jeziku sa amblemima zvaničnih SAD institucija (npr. FBI). Korisniku se kazuje da je načinio nelegalne radnje, preuzimao piratovanu muziku ili filmove (ko nije?) i, da bi ponovo dobio pristup računaru i datotekama, mora da plati kaznu. Poruka deluje vrlo ubedljivo i samo se može zamisliti broj prosečnih korisnika koji nasednu na prevaru („bolje da platim 300 dolara nego da imam posla sa FBI‑jem“). Kada se već sve seli na elektronsku razmenu, zašto ne bi i kazne?

Poslednji u nizu vrlo gadnih ransomware programa zove se CoinVault. Korisnik ima dva izbora: da se pomiri s gubitkom privatnih datoteka ili da plati otkupninu. Neki od kompletnih ključeva su poznati, pa ih pojedine kompanije dodaju u svoje programe zaštite. Ako ste žrtva ransomware programa, posebno CoinVault‑a, pogledajte Kaspersky stranicu posvećenu ovim napastima na noransom.kaspersky.com.

Kako se zaštititi?

Odmah ćemo reći ono najvažnije – sami korisnici sebe najbolje štite. Problem je što korisnika ima raznih, a većina ne može da prepozna vrstu programa kojima dozvoljava da se pokreću. Idemo na redosled preventivnih postupaka. Koji god e‑mail servis da koristite, a većina online e‑mail servisa to već radi dosta dobro, uključite filtriranje poruka prema sadržaju ili priključenim datotekama. Najčešće je ovakvo filtriranje već u startu uključeno. Ukoliko niste sigurni u sadržaj poruke ili prikačene datoteke, možete se poslužiti trikom: pošaljite sami sebi neizmenjenu poruku preko Google e‑mail‑a. Ako prođe, velika je šansa da je sadržaj poruke bezbedan ili da su prikačene datoteke bezbedne. Ako vam Google e‑mail ne godi iz bilo kog razloga, možete podesiti Gmail da radi momentalni forward svih prispelih (bezbednih) poruka na vašu adresu. Recimo, koristite isključivo Yahoo! e‑mail. Svaku sumnjivu poruku pošaljite na svoj Gmail i sačekajte da vam on vrati poruku. Kada poruka prođe ova dva e‑mail sistema, velika je šansa da je potpuno bezbedna.

Backup ima veći značaj nego ikada, čak veći nego u doba čestih nestanaka struje i prilično nepouzdanih hard‑diskova. I to na medije koji se ne mogu prepisivati, ako je to izvodljivo zbog količine i veličine datoteka. Cloud sisteme izbegavajte jer i oni mogu biti inficirani. Ako ih ipak koristite, potražite opciju koja se najčešće naziva versioning. U slučaju da vaše lokalne datoteke budu kriptovane, kao i neke od prethodnih verzija pre nego što ste uopšte primetili nešto neobično, obično ćete naći neku raniju verziju datoteke koja nije kriptovana. Idealna je kombinacija cloud i lokalnog backup-a, ali tako da ne pravite backup istovremeno, već rotirate odredište kopije.

Windows XP je doneo skroman način zaštite korisnika u vidu „bezbednih aplikacija“. Kroz naredne verzije, 7 i 8, sistem je unapređen, ali još uvek nije dovoljno dobar. Windows obično traži od korisnika da potvrdi pokretanje neke aplikacije jer „ona može biti potencijalno nebezbedna“. Ovde se, opet, računa na znanje korisnika. Sve verzije Windows‑a, 7, 8 i buduća 10, ali samo u verziji Enterprise imaju AppLocker, odnosno „belu listu aplikacija“ koje su bezbedne za pokretanje. Enterprise verzije su pak dostupne samo kroz Microsoft volume licencing… Možda bi dobra odluka Microsoft‑a bila da AppLocker uključi u sve verzije Windows‑a.

Kod privatnih korisnika opisani načini prevencije infekcije mogu da funkcionišu. U sistemima kompanija s više umreženih računara, implementacija zaštite i obuka korisnika (ili barem cirkularno obaveštenje) apsolutno su neophodne. Tu je i backup velikih količina datoteka i prava noćna mora kada bilo ko od korisnika donese u mrežu ransomware infekciju. U tome znatno može pomoći SmartScreen Filter tehnologija predstavljena u Windows‑u 8; ona je sastavni deo verzije 8.1 i buduće 10. Filter uključuje prepoznavanje i blokiranje phishing sajtova, ima ugrađen sistem rangiranja aplikacija prema reputaciji i antimalware alatke. U Microsoft Windows‑u 7 postoji samo na niovu Internet Explorer‑a!

Najbolja zaštita je kombinacija svega nevedenog. Ne otvarajte datoteke pristigle e‑mail‑om koje barem malo deluju sumnjivo i ne preuzimajte datoteke sa tzv. file‑sharing sajtova. Tu niko ne odgovara za sadržaj i štetu koja može nastati. Uvek instalirajte najnovije verzije Jave, Flash‑a i Silverlight‑a, ali i ujedno ostavite automatski update ovih aplikacija uključenim. Konačno, Web browser očistite od neželjenih dodataka (reklama, traka „alatki“, raznih polja za pretragu…) koja su često otvorena vrata za dodatne napasti.

Kako otkloniti ransomware?

Osnovno je da se ukloni uzrok problema. Prve dve grupe bezazlenih ransomware programa uklanjanju se prilično lako upotrebom antimalware programa. Međutim, ne pokrećite skeniranje sistema antimalware programa pre nego što pređete u Windows Safe režim rada. Pre skeniranja uklonite kompletan sadržaj Temp (privremenog) foldera. Napredni korisnici obično to učine sami brisanjem sadržaja foldera c:UsersKorisničko ImeAppDataLocalTemp, dok je lakši način upotrebom alatke Disk Cleanup. Tek tada pokrenite skeniranje sistema.

Ako je vrsta ransomware‑a takva da vam ne dozvoljava pokretanje programa, a imate pristup podešavanjima računara (System Properties), pokrenite System Restore mehanizam i vratite sistem u neko od pređašnjih stanja. Vaše datoteke ostaće netaknute, ali će SR vratiti sve izmenjene sistemske datoteke. Ako vam je pristup System Restore mehanizmu nemoguć iz učitanog Windows‑a, možete ga pokrenuti tokom boot procesa. Resetujte računar i, nakon boot informacija, pritisnite i držite F8 taster sve dok ne vidite meni Advanced Boot Options. Odaberite Repair Your Computer i pređite na naredni ekran. Windows će zahtevati da se prijavite s vašim korisničkim imenom i lozinkom. Odatle imate pristup System Restore‑u. Konačno, ako ni tako ne možete da pokrenete SR, onda to možete učiniti instalacionim diskom Windows‑a, a može da posluži i Windows System Repair Disc koji možete napraviti na bilo kom računaru koji ima istu verziju Windows‑a kao i vi.

Ponekad ne postoji upotrebljiva kopija sistema ili je System Restore isključen. Tada ransomware možete pokušati da uklonite skeniranjem inficiranog sistema „podizanjem“ pomoćnog sistema sa butabilnog diska ili USB memorije. Način ovakvog skeniranja i programe za tu svrhu opisali smo u PC #201 („Nezvani gosti“). U osnovi, postupak se svodi na skeniranje sistema podignutog sa spoljnjeg medija na kome se obično nalazi antivirus program – ne učitava se ništa sa zaraženog diska.

U najgorem slučaju, ako su vaše datoteke već kriptovane, nema pravog odgovora. Izbor je ili da platite traženi iznos ili da pokušate s programima vodećih bezbednosnih firmi. Savet „da sačekate“ ne važi jer svi ransomware programi ostavljaju kratak rok do kada ponuda važi, obično je to nekoliko dana. Zatim cena raste, a nakon drugog roka vaš ključ se, navodno, briše, a vama ostaje gomila besmislenih podataka koja je zamenila vaše dokumente, tabele, fotografije… Vredi se malo potruditi da bi se izbegao takav scenario.

Branislav Mihaljev

(Objavljeno u Časopisu PC#222)