Izsiljevalski virusi

Ne mine teden, da ne bi v Anni dobili vsaj vsaj enega klica stranke, ki ji je izsiljevalski virus »pojedel« podatke. V glavnem bi lahko te razdelil na tri skupine:

  1. stranke, ki jim okužba predstavlja veliko nadlogo, a vedo, da imajo rezervno kopijo podatkov in od nas potrebujejo le »razkuževanje« ter restavriranje podatkov;
  2. isto kot pri prejšnji skupini, le da mislijo, da imajo rezervno kopijo podatkov, a prepozno ugotovijo, da je rezervno kopiranje odpovedalo že nekje v preteklosti.
  3. tiste, ki jim taka okužba pomeni katastrofo, ker vedo, da nimajo rezervnih podatkov.

Povsem sveža dogodivščina

Uporabnik nas je poklical, da mu je virus »požrl« podatke. Takoj je bilo jasno, da gre za izsiljevalski virus, ki kriptira podatke na računalniku.

Tako, kot se lahko zgodi posamezniku, se lahko zgodi tudi v podjetju, še posebej, če ni primerno zaščiteno za take primere.

Če bi uporabnik imel rezervno kopijo podatkov, nas najverjetneje ne bi poklical, zato smo sklepali, da se bomo morali ukvarjati z nakazovanjem bitcoin drobiža in nato dekripcijo podatkov, pri čemer jim bomo morali nekako zaupati – kriminalcem, namreč. Nepridiprav je hotel razmeroma malo – 490 USD v bitcoinih. Prej kot v dnevu smo prišli do dekriptorja in lahko smo (uspešno) dekriptirali podatke.

Seveda pa ni prav nobene garancije, da bomo sploh lahko vzpostavili kontakt s kriminalci in da bomo po opravljeni transakciji dejansko dobili dekriptor in nato podatke. Vsekakor pa je treba zapisati, da njihov poslovni model vseeno temelji na uspešnem odklepanju podatkov. Če ne bi bili vsaj toliko »pošteni« (kakšna ironija!), bi hitro izgubili klientelo, ki jim ne bi več zaupala.

Kako deluje izsiljevalski virus?

Večinoma uporabnik na svojem sistemu požene datoteko s škodljivo kodo. Še posebej pri najnovejših različicah teh škodljivcev protivirusni programi ne pomagajo kaj dosti, kajti lahko gre za kodo, ki na prvi pogled na datotečnem sistemu ne počne nič nenavadnega, v ozadju pa se poveže z nadzornim strežnikom in od tam prenese tako imenovani »payload«, v katerem pa je bistvo nevšečnosti.

Škodljivec bo nato začel kriptirati (šifrirati) vse podatke na disku uporabnika, ki mu pridejo pod roko. Neuporabni bodo torej postali dokumenti, fotografije, videi, outlookove datoteke z elektronsko pošto, baze podatkov s poslovnimi podatki in tako naprej.

Sam operacijski sistem ima sicer že kar nekaj časa na voljo poseben mehanizem rezervnih kopij, s katerim si lahko pomagate, ko ste po nesreči prepisali kakšno datoteko. Če želite do stare vsebine, kliknete na datoteko, nato na možnosti in nato iščete po zavihku »prejšnje različice«.

A kaj, ko to v primeru teh nadlog ne deluje več. Ti izsiljevalski virusi so toliko prebrisani, da namenoma pokvarijo omenjeni sistem rezervnih kopij (shadowcopy) in zato si z njimi ne moremo pomagati.

Ko hobotnica pogoltne vse, kar vidi

Seveda pa se izsiljevalski virus ne ustavi na enem računalniku. Kriminalci, ki so vam zakuhali godljo, se zanašajo tudi na to, da je vaš (okužen) računalnik povezan v omrežje in da ima znotraj tega omrežja pravice za pisanje v najrazličnejše mape. Povedano drugače: virus bo kriptiral podatke povsod tam, kjer imate vi kot uporabnik pravico spreminjanja datotek.

In v podjetjih je to lahko prava nočna mora, še posebej, če pravice na deljenih mapah niso pametno zastavljene in ne sledijo varnostnim priporočilom.

Opozarjamo na eno najslabših praks, ki jih lahko zasledimo v nekaterih podjetjih. Celotni diski posameznih računalnikov in tudi strežnikov, so deljeni z vsemi, ki imajo dostop do omrežja. Govorim o pravicah »everyone«, ki jih ne bi smel pravzaprav nihče uporabljati, pa jih prevečkrat. No, velika napaka je že to, da se »šerajo« celotni (sistemski) diski in ne le posamezne mape.

In v takih primerih je katastrofa lahko popolna. Če seveda ni poskrbljeno za ustrezno dnevno rezervno kopiranje.

Okužite se lahko na več načinov

Med viri okužb seveda prednjačijo priponke iz elektronskih sporočil. Kolikor bolj uporabniki postajajo previdni, toliko bolj iznajdljivi postajajo izsivljevalci.

V lanskem letu smo lahko videli tudi že to, da so zdravstveni zavodi dobivali elektronsko pošto o tem, da kako da prihaja ministrica na obisk in da je razpored njenih obiskov v priponki. Uganete, kaj se je zgodilo, če ste odprli tako datoteko?

Kot že omenjeno, uporabniki postajajo previdni. Hekerji so se zato lotili drugih načinov. Eden izmed njih je še vedno popularen. Poskenirali so celoten internet in iskali računalnike, ki imajo v svet odprta vrata 1389 oziroma storitev RDP (oddaljeno namizje). Nato pa so s slovarskimi napadi iskali pravilne kombinacije uporabniških imen in gesel.

Slabe razvade v zvezi z gesli so še ena izmed velikih varnostnih pomanjkljivosti tako doma kot v podjetjih.

Gesla so premalo kompleksna in takšna, da se jih da dobiti v slovarjih. Naj kar navedem primer, pri katerem smo v preteklosti sodelovali, ko je bilo potrebno počistiti katastrofo. Uporabnik na računalniku je bil Janez (namenoma sem spremenil ime), geslo pa je bilo Janez1. Ni si težko predstavljati, da je taka kombinacija uporabniškega imena in gesla lahko pohekana v izjemno kratkem času, če se uporabi prave slovarje.

Preventiva

Ta je po zlajnani rečenici vedno boljša od kurative.

Najprej je treba začeti pri učinkovitem, delujočem in preizkušenim backupom. O tem sem že pisal v posebnem blog zapisu o klobasah.

Drugi korak v preventivi pa je ustrezna varnostna rešitev. Danes še zdaleč ni več dovolj, da imamo nameščen protivirusni program. Proti takim škodljivcem bio to bolj blažev žegen. Potrebno bo poseči po rešitvah, ki danes v veliki meri že uporabljajo principe strojnega učenja in umetne inteligence.

Ti sistemi znajo iz opazovanja normalnega prometa znotraj omrežja, učenja o anomalijah in tudi o podatkih, ki jih varnostna podjetja zbirajo globalno, odkriti netipično obnašanje.

In izsiljevalski virusi se navadno netipično obnašajo, ko skušajo iz kontrolnih strežnikov pridobiti navodila za to, kakšno škodo morajo početi.

Panda Adaptive Defense

V Anni že dolga leta na varnostnem področju najbolj zaupamo podjetju Panda, ki nima samo odličnega protivirusnega programa, marveč tudi celotno zbirko storitev in orodij. Storitev Adaptive Defense pa je paradni konj Pande. Namenjen je celoviti obrambi podjetja pred nevarnostmi, ki na najrazličnejše načine prihajajo v podjetja. Upraviteljem omrežja in varnosti pa v realnem času omogočajo zaznavo nevarnega dogajanja in preprečitev škode.

Bi si želeli kaj več izvedeti o tem? Nekaj na to temo imamo zapisano tudi na naši spletni strani, vsekakor pa pričakujemo vaš klic ali pa pišite našemu strokovnjaku Toniju Jeršinu.

Fejk izsiljevalci

Zagotovo ste v zadnjih mesecih že dobili kakšno elektronsko sporočilo, ki gre v tej smeri: »Okužil sem vaš računalnik in ga imam v oblasti. Opazil sem, da si zelo poreden in da obiskuješ perverzne spletne strani. Ker lahko kontroliram tudi tvojo kamero, mi je uspelo, da sem te posnel med tem, ko se samozadovoljuješ. Če ne želiš, da ta posnetek objavim, na mojo bitcoin denarnico nakaži protivrednost 500 dolarjev.«

Taki poskusi so »fejk« (vseeno pa gre za kaznivo dejanje) in seveda nekdo poskuša samo izkoristiti priložnost in morda na ravno tako nezakonit način pridobiti nekaj denarja. Na take maile se ne ozirajte preveč, če pa navedbe držijo, pa vseeno dvakrat premislite. In nato zamahnite z roko, kajti zagotovo gre za »fišing«.  :)