Istinita sajber horor priča

Cilj ove priče nije stvaranje panike. Želimo da vam skrenemo pažnju i upozorimo vas na opasnost, kako biste mogli da se zaštitite.

Istinita sajber horor priča

Cilj ove priče nije stvaranje panike. Želimo da vam skrenemo pažnju i upozorimo vas na opasnost, kako biste mogli da se zaštitite.

Verovatno ste čuli priču o ransom malware-u (ransomware), ucenjivačkom malicioznom softveru koji kriptuje fajlove na hard drajvu i onda ucenjuje žrtvu – plati ili se pozdravi sa fajlovima zauvek.

Čuli ste možda i za neke žrtve, na primer neke policijske stanice u Americi, ili za stariji bračni par, takođe iz Amerike, koji je platio skoro 3000 dolara ucenjivačima. Žrtava je bilo i na drugom kraju sveta. U Kini, na primer, najnovije mete bile su Narodna banka Kine i Banka Istočne Azije. Ali Kina i Amerika su daleko i ove priče vas ne plaše mnogo. Ne plaši vas ni podatak da je broj ransom malvera porastao 500% u odnosu na prošlu godinu, jer to su samo brojke. Međutim, sledeće istinite priče iz Srbije će vas, ako ne uplašiti, onda bar naterati na razmišljanje i oprez.

Sredinom januara došli smo do informacija da je počela još jedna žestoka spam kampanja kojom se širi novi ransomware-a pod imenom CTB-Locker. Istražili smo o kakvoj pretnji je reč, koje se mere zaštite preporučuju, kako prepoznati mamac i poslali našim pretplatnicima na biltene (za pretplatu posetite: www.netpp.rs/pretplata) uputstva kako prepoznati ovakve pretnje i koje mere zaštite treba preduzeti. Prve nama poznate žrtve pojavile su se u roku od nekoliko dana. Jedna od tipičnih bila je i sekretarica direktora firme koja je dobila email u kome je pisalo da se u prilogu nalazi faktura. Baš ono na šta smo i upozorili, ali kako ta sekretarica nije bila na našoj emailing listi, niti je neko iz firme prosledio upozorenje, jednim klikom je uspela da zarazi svoj računar. Kako je CTB-Locker mudro napisan malver, ništa se nije desilo odmah... tek nakon nekoliko dana, sekretarica je primetila da ne može da otvori pojedine dokumente na računaru, a onda se pojavilo i zlokobno crveno upozorenje: plati da ti vratimo fajlove koje je CTB-Locker kriptovao!

Na licu mesta smo našli virus, očistili računar (sa Symantec Endpoint Protection alatima), utvrdili o kom crypto lockeru se radi, ali na žalost, spasa dokumentima nije bilo. Za taj tip crypto lockera nisu postojali alati, niti generatori ključeva za dekriptovanje fajlova. Jedina nada je bio bekap fajlova, ali ni tu situacija nije bila bolja – iz onoga što su mislili da je bekap (polu ručni), izvučen je samo deo dokumenata, ostatak je bio izgubljen zauvek! Srećom, malver je završio samo na jednom računaru, a gubitak fajlova nije bio tako veliki i nenadoknadiv. S druge strane, shvatili su da nisu svi antivirusi isti, a nakon par sastanaka i da je backup obavezan za sve važne podatke firme, ma gde se oni nalazili – na serverima ili na radnim stanicama, kao i da je cena dobrog rešenja za backup zapravo manja od cene i vrednosti samih podataka koje svaka firma danas ima u elektronskom obliku!

Nakon još dva slična slučaja, poslali smo novi mail, upozorili da je pretnja stvarna i da se dešava i u Srbiji. Napravili smo detaljnije objašnjenje i spisak IP adresa koje treba blokirati (za koje smo u tom trenutku znali da sadrže malver).

Nakon nekoliko dana, pojavio se novi slučaj. IT administrator. Nije naš korisnik u pitanju, zovu nas po preporuci. Čoveku koji zove u glasu se čuju panika i očaj, kaže:

  • „Nadam se da možete da nam pomognete, zakačili smo virus, svi fajlovi na serveru su nam zaključani. Traže nam bitcoin-e za otkupninu“.

Mi mu kažemo da je verovatno u pitanju neki od lockera – tzv. ransomware i da se nadamo da imaju backup. Tišina sa druge strane žice.

  • „Backup? Kakve veze ima backup sa virusom?“.

Objasnimo mu o čemu je reč i pitamo koliko su im važni ti fajlovi, pošto backup nemaju. Čovek uzdiše i kaže:

  • „Najvažniji. To je ceo naš posao. Sve što je cela firma radila u ovoj i prethodnoj godini. Mislili smo da imamo podatke na sigurnom, imamo RAID5 (redudantne diskove – prim. aut.) na serveru. Da li će nam otključati fajlove ako im platimo?“

Na žalost, to niko ne može da garantuje.

Šta je naravoučenije ove priče?

Ako koristite Internet – i vi ste meta!

Niko nije bezbedan. Ransomware pretnje, kao što su CryptoLocker, KeyHolder i CTB Locker, pogađaju sve, od pojedinaca do velikih firmi.

Upoznaj neprijatelja da bi ga pobedio.

Šta je karakteristika ove grupe malvera? Kao što se može naslutiti iz naziva, ovaj malver pokušava da od vas iznudi novac (ransom), tako što kao taoce drži vaše važne podatke.

Kako dolazi u posed vaših podataka? Malver se najčešće širi kroz spam. Žrtva primi email sa nepoznate adrese ili na prvi pogled poznate (a zapravo je lažna) u kome je link ili attachment, za koji piše da je faktura ili faks, glasovna poruka i slično. Otvaranjem fajla pokreće se preuzimanje drugog kriptovanog fajla, koji je zapravo sam malver koji dalje kriptuje podatke na vašem računaru.

Zaključane, kriptovane fajlove je nemoguće otključati na silu, a neki ransomware-i vas čak upozoravaju da će vam, ako to pokušate, fajlovi biti izbrisani. Za neke srećom postoje alati za dekripciju sa generatorima ključeva, ali za neke nema spasa!

Autori ransomware-a najčešće traže da im otkupninu platite u bitcoin-ima ili dolarima i daju vam rok do kog morate da platite otkupninu ili će vam uništiti podatke.

Rešenje ne postoji! Postoji samo preventiva. Samog malvera možete da se rešite, ali da vratite podatke ako nemate backup nećete moći.

Šta ne treba raditi?

Opšti savet je da se otkupnina ne plaća!

Plaćanje otkupnine možda deluje kao jedino rešenje, ali na taj način samo podstičete napadače i finansirate ih. Dodatni razlog da ne plaćate je taj što ne postoje garancije da će vam otključati fajlove kad platite. Dešavalo se i da ljudi ili preduzeća plate otkupninu, dobiju svoje fajlove, samo da bi kasnije bili ponovo napadnuti i da bi im tražili još više para.

Ako ne platite odmah, ucenjivači posle određenog roka podižu sumu, tako da otkupnina može da dostigne i sumu od 10 hiljada dolara!

Šta se preporučuje da uradite?

  • Skinite zaraženi sistem sa mreže i uklonite pretnju. Sistem mora što pre da se odvoji od mreže da se pretnja ne bi širila.
  • Vratite fajlove sa bekapa za koji znate da je dobar i da nije zaražen. To je najbrži i najsigurniji način da dođete do podataka.

Da li je moguće doći do fajlova bez plaćanja otkupnine i bez vraćanja sa backup-a?

Najverovatnije nije moguće. Bilo je slučajeva, kod nekih od ranijih varijanti ovih pretnji, da napadači samo sakriju fajlove, ostave kopije originalnih fajlova (ili se do njih može doći preko Volume Shadow Copy service ako je kojom srećom bio uključen) ili da ostave kopije privatnih ključeva u lokalu, u memoriji računara. Svakako istražite o kojoj varijanti pretnje se radi, možda postoji rešenje, mada nemojte da se nadate previše, jer su autori malvera jako ažurni i trude se da otklone sve „nedostatke“ starijih verzija.

Kako se zaštititi od ovih ransomware-a?

  1. Redovno ažurirajte operativni sistem i softver za zaštitu. Razmislite zašto su neka rešenja za zaštitu besplatna, a neka se plaćaju!
  2. Ne otvarajte attachmente od nepoznatih pošiljalaca, pa čak ni od poznatih ako vam taj email deluje i najmanje sumnjivo. Ako ste u firmi, potrudite se da organizujete obuku ili barem napravite obaveštenje za korisnike o tome kako da prepoznaju spam/phishing poruka i zašto je važno da se u takvim porukama ne klikće na linkove i ne otvaraju prilozi.
  3. Redovno pravite backup važnih podataka i držite ih na mestu, storage-u koji nije direktno povezan sa svim korisnicima. Čuvajte i organizujte pravljenje kopija backup-a.
  4. Razmislite i o čuvanju podataka u cloud-u. Preduzećima preporučujemo da se pobrinu i za sledeće:
  5. Ako ste uložili novac u dobro rešenje za zaštitu, pobrinite se da je ono pravilno konfigurisano, da se sve funkcije primenjuju i da neko taj sistem stalno nadgleda.
  6. Koristite dobar firewall nove generacije (ne, klasičan firewall vam neće pomoći)
  7. Obezbedite dobro antispam rešenje (da, mislimo da postoje razlozi zašto neka antispam rešenja koštaju više, a naročito zašto nisu besplatna)
  8. Organizujte sistem upozorenja za zaposlene, obuke za osnove sigurnosti i podizanje svesti o bezbednosti na Internetu (angažujte pomoć, ako ne možete ili ne znate sami).
  9. Uvedite backup podataka i za radne stanice i laptop računare (hteli ili ne, nikada svi važni podaci neće biti na serverima, uvek će se naći i na po nekom računaru). Backup servera i podataka sa servera već imate, zar ne?

Opširnije o ransomware-u kao unosnom poslovnom modelu i o najboljim načinima za prevenciju ransomware-a, pročitajte u našem White paper-u: Najbolji saveti za prevenciju ransomwarea.pdf

Najbolji saveti za prevenciju ransomwarea