Pretnja podacima - "Extreme" uputstva kako da zaštitite sebe i kompaniju od "ransomwarea"

"Ransomware" - naročito agresivna forma malicioznih programa koji predstavljaju ozbiljnu pretnju kako za kućne korisnike, tako i u poslovnom okruženju, postaju svakodnevica. "Ransomware" infekcija blokira pristup korisničkom uređaju ili podacima na njemu, a za otključavanje zahteva plaćanje otkupnine u kriptovaluti. "Cryptolocker", jedna od prvih i najpoznatijih "ransomware" pretnji zaključavao je sva dokumenta na računaru i nudio mogućnost otkupa ključa za 300 USD/EUR. Novije varijante predstavljaju pretnju po celu mrežu jer osim podataka na računaru kriptuju i mrežne diskove, deljene foldere, pa čak i sadržaj na cloudu. Ukoliko se prisustvo "ransomware" programa ne primeti na vreme, sam će se oglasiti sa porukom da su svi korisnički podaci zaključani, uputstvom za plaćanje i vremenom u kojem je transakcija moguća.

O načinima za zaštitu ličnih i kompanijskih računara od ovakvih pretnji razgovarali smo sa Denisom Daničićem iz tehničke podrške beogradske firme "Extreme" koja se dugi niz godina bavi bezbednošću računara i računarskih mreža svojih klijenata, oslanjajući se na alate kompanije ESET.

- Razlozi za ekspanziju "ransomwarea" su jednostavni – napadačima je zarada skoro pa zagarantovana, transfer novca na Internetu može biti potpuno anoniman, sistemi za distribuciju se prodaju online, dostupni su svima, a "tržište" je globalno. Može se slobodno reći da je "crypto ransomware" doneo svojevrsnu revoluciju u tehnološkom podzemlju jer više nije potrebno biti haker iz Matrixa – dovoljno je samo par stotina dolara i pristup internetu da se uplovi u svet cyber kriminala – objašnjavaju u beogradskoj kompaniji "Extreme".

Pri ovakvom odnosu snaga nijedna karika u lancu IT zaštite ne sme da popusti – kažu, a za "eKapiju" ističu najbitnija uputstva kako zaštititi sebe i kompaniju od "ransomware"-a.

To se meni neće desiti

Pre svega, korisnici moraju biti svesni da, bez obzira na nivo zaštite koju imaju, mogu da "zarade" "ransomware", bilo neznanjem, bilo nepažnjom u datom trenutku. Ne postoje bezbednosni sistemi imuni na ovu pretnju i svako može postati žrtva. Ipak, potencijalna opasnost se može svesti na minimum ukoliko se pridržavate nekih osnovnih pravila - upozoravaju u "Extreme"-u.

Čuvajte se malicioznih veb sajtova

Jedan od čestih vektora za distribuciju malvera su maliciozni veb sajtovi. Iako poslovna okruženja uglavnom imaju bezbednosne polise koje korisnicima ne dozvoljavaju posećivanje stranica nerelevantnih za poslovanje, one mogu biti poprilično restriktivne i teško se primenjuju.

– Korisnici, svi bez izuzetka, moraju da znaju da posećivanjem online kladionica, torrent portala, gejming sajtova, preuzimanjem besplatnih programa i igara, skidanjem krekova i nelegalnih aplikacija, prelistavanjem tabloidnog sadržaja i sličnim akcijama u poslovnom okruženju direktno ugrožavaju bezbednost kompanije i snose odgovornost za svoje aktivnosti - kažu u kompaniji "Extreme".

Kako objašnjavaju, navedeni sajtovi su veoma popularni i niču kao pečurke po internetu, a novac zarađuju od prikazivanja reklamnih banera. Baneri mogu da vode i na neproverene izvore i upravo u tome leži potencijalna opasnost. Trend distribucije malvera putem malicioznih banera je toliko popularan da je dobio i svoje ime – malvertising! Čak su i respektivne kompanije poput AOL-a i "Yahoo"-a "učestvovale" u jednoj od kampanja širenja Cryptowalla 2.0 i izložile više od 3 miliona svojih korisnika potencijalnoj pretnji. Dovoljno je da kliknete na jedan od njih, ili čak pokušate da zatvorite neželjeni pop-up prozor, i vaš računar može biti inficiran (pop-up prozor možete bezbedno zatvoriti kroz task manager sa naredbom end task). Savremeni veb pregledači i antivirusni programi obaveštavaju korisnike na opasnost za veliki broj malicioznih sajtova, ali se ni u kom slučaju ne oslanjajte u potpunosti na tu funkcionalnost.

Čuvajte se pogrešnih veb adresa

Korisnici ponekad završe na malicioznim sajtovima sasvim slučajno, pogrešnim unosom veb adrese u pregledaču ili pretraživaču. S druge strane, kreatori malvera znaju za ovaj problem i održavaju upravo te web adrese sa pogrešnim imenima popularnih pretraga. "Google" većinu ovih adresa blokira i ne prikazuje ih u pretragama, ali ne sve i u svakom trenutku.

- Obratite pažnju na ispravnost adrese veb sajta koji želite da posetite, pre nego što odaberete "Enter" ili "Search" u "Google" pretrazi – ističu u "Extreme"-u.

Preuzimanje besplatnih programa može biti opasno

Korisnici mogu instalirati malver omaškom, "ransomware" ili bilo koji drugi, instalirajući besplatne programe koji mogu biti, ali najčešće nisu relevantni za posao. Obavezno konsultujte IT odeljenje pre instalacije besplatnog softvera. Nakon instalacije može biti kasno. Proverite mišljenje online zajednica od poverenja (forumi, blogovi) i komentare korisnika pre nego što instalirate nepoznati softver.

Nepoznate e-mail poruke tretirajte kao nagazne mine

Sledeći, verovatno najčešće korišćeni način za distribuciju "ransomware"-a su SPAM poruke. Na meti nisu samo kućni korisnici, već i mala i srednja preduzeća koja nemaju adekvatne bezbednosne polise i antivirus i antispam rešenje. Poruke mogu sadržati linkove ka malicioznim sajtovima ili inficirane priloge, a korisnik postaje žrtva klikom na link ili otvaranjem priloga.

Budite obazrivi sa linkovima i prilozima

Iako prikazivanje e-mail poruka nije više pretnja, kliktanje na linkove i otvaranje priloga može biti veoma opasno! U "Extreme" savetuju da se obrati pažnja na lažne poruke (spoofed e-mails) koje naizgled potiču sa regularnih izvora i od dobro poznatih kompanija, a koje zahtevaju vašu pažnju u vezi sprovođenja određenih aktivnosti kao što su isporuke paketa, povraćaj novca, nedovršene finansijske transakcije, promena kredencijala i sl.

- Svi linkovi i prilozi su potencijalna opasnost, bilo da su u pitanju putanje do društvenih mreža, cloud servisa, pdf dokumenta ili excel fajlovi. Ako želite da se obezbedite u potpunosti, ne klikćite na linkove i ne otvarajte priloge – kažu u "Extreme".

Ažurirajte, ažurirajte, ažurirajte!

Ažurirajte operativni sistem, pregledače, plug-in-ove i aplikacije. Propusti u "Windowsu", "Javi", "Adobe Flash"-u, "Adobe Reader"-u, "Silverlight"-u su najčešće rupe kroz koje se malver provlači na računar čak iako postoji antivirusni softver.

"Extreme" upozorava da pravimo razliku između legitimnih i lažnih ažuriranja. Većina legitimnih proizvođača softvera, kako kažu, ne šalje obaveštenja putem mail poruka. Legitimni proizvođači softvera redovno ažuriraju svoje proizvode. Većina, ali ne svi, nude korisnicima mogućnost automatskog ažuriranja.

Jesam li zaražen?

Simptomi "ransomware"-a lako su uočljivi: prilikom otvaranja priloga iz mail poruke ništa se ne dešava ili program za otvaranje prikazuje grešku (prvi simptom da ste aktivirali "ransomware" ili bilo koji drugi malver). U ovom koraku je moguće sprečiti zaključavanje fajlova ukoliko se momentalno razvežete sa mreže, isključite spoljne memorijske uređaje i uklonite maliciozni program. Ova manifestacija može biti i lažna uzbuna, ali je "bolje sprečiti nego lečiti".

Dalje objašnjavaju u "Extreme"-u, može se dogoditi da naprasno ne možete da otvorite svoja dokumenta (word, excel, pdf, jpg, mp3, avi…) ili dobijate greške da su fajlovi korumpirani ili imaju pogrešnu ekstenziju.

- Na desktopu se pojavljuje obaveštenje da su fajlovi zaključani uz uputstvo za plaćanje ako želite da ih otključate. Obaveštenje prikazuje tajmer sa preostalim vremenom za plaćanje. Prozor sa obaveštenjem se kontinuirano prikazuje iznad svih aktivnih prozora i nije ga moguće isključiti, dok istovremeno na računaru pronalazite fajlove HOW TO DECRYPT FILES.TXT ili DECRYPT_INSTRUCTIONS.HTML.

Inficiran sam, šta sad?

Ako ste sigurni, ili ste samo posumnjali da ste inficirani "ransomware"-om, reagujte odmah.

- Pod hitno isključite računar sa bilo koje mreže na kojoj se nalazi i, ukoliko je vaš računar deo kompanijske mreže, obavestite IT sektor o novonastalom problemu. Isključite sve bežične adaptere kao što su Wi-Fi ili bluetooth. Isključite sve spoljne memorijske jedinice, USB memorije i hard diskove. Ne brišite ništa sa računara i ne pokrećite skeniranje antivirusnim softverom ukoliko planirate da eventualno platite otkup. Cilj je da se računaru momentalno onemogući komunikacija sa ostatkom mreže i spoljnim memorijskim uređajima - kažu u "Extreme".

Utvrdite obim problema

U sledećem koraku je potrebno da utvrdite koliku je štetu infekcija napravila. Na prvom mestu, objašnjavaju u "Extreme", treba utvrditi čemu je sve računar imao pristup: mapirani diskovi, deljeni folderi, mrežni diskovi NAS, eksterni hard diskovi , USB memorije, cloud servisi ("DropBox", "Google Drive", "Microsoft OneDrive/Skydrive" etc…) . Dalje treba proveriti navedene lokacije i potražiti znakove "ransomware"-a. Ovo je važno iz nekoliko razloga. U slučaju cloud storage servisa ćete možda biti u mogućnosti da povratite fajlove u prethodno stanje, stariju verziju zapisa pre enkripcije što je opcija koju većina servisa nudi. Ukoliko imate backup, prethodno morate da utvrdite koji su fajlovi kompromitovani i uporediti ih sa kopijama koje imate u backupu. I na kraju, ukoliko odlučite da platite otkup, morate znati na kojim lokacijama se nalaze zaključani fajlovi koje treba otključati.

Drugi način za utvrđivanje štete je pretraga Windows registra i listinga koji je kreirao "ransomware". "Ransomware" mora da zna koje je fajlove zaključao radi kasnijeg eventualnog otključavanja i taj spisak mora da postoji negde kao zapis. Najčešće je to zapis u bazi registra, ali budući da svaka verzija "ransomware"-a radi na svoj način, treba izguglati svojstva verzije sa kojom je računar zaražen. Kao finalna opcija, postoje specijalizovani alati za izlistavanje zaključanih fajlova na računaru.

Utvrdite osobine infekcije

Veoma je važno da znate sa kojom ransomware infekcijom imate posla. Svaki ransomware će uraditi osnovni zadatak, zaključati fajlove i tražiti otkup do određenog roka, ali zavisno od toga kojom ste verzijom zaraženi, možete odrediti naredne korake u rešavanju problema.

- Osobine ransomware-a variraju, neki traže veću otkupninu, neki nude više načina plaćanja. Takođe postoji i mogućnost, doduše minimalna, da za vašu verziju postoji alat za otključavanje i u tom slučaju ne morate plaćati otkup. Ukoliko ste pogođeni sa tek objavljenom verzijom, u saradnji sa IT osobljem ili tehničkom podrškom prikupite što više informacija kako biste bolje utvrdili sa čime se suočavate – kažu u "Extreme".

Rešenje problema?

Ukoliko nemate backup i ne želite da finansirate sajber kriminal, rešenja nema – poručuju iz "Extreme".

Blog kompanije sa tekstovima na sličnu temu možete pogledati ovde.