Blog

Fenomen ransomware-a i što mi mislimo o tome

 

 

Rješenja za IT sigurnost tvrtke ESET spadaju među najpouzdanije proizvode na tržištu i štite korisnike od gotovo svih „kripto virusa“ koji služe za iznuđivanje novaca od vlasnika „zaključanih“ podataka. Međutim, u stvarnom svijetu ne postoji stopostotna zaštita. Danas postoje platforme za izradu malicioznog koda, što znači da proizvodnja virusa više ne zahtjeva visoku razinu informatičke pismenosti. Ova činjenica se odražava u ogromnom broju novih vrsta i podvrsta malicioznih kodova koji se pojavljuju na dnevnoj bazi – nezavisni njemački institut za informatičku sigurnost AV Test registrira preko 390.000 novih uzoraka štetnih kodova dnevno. Uz pretpostavku o uspješnosti detekcije određenog antivirusnog programa od 99,99%, još uvijek će preostati neprimijećeno 39 prijetnji dnevno. Za gubitak podataka je dovoljna jedna.

Načini napada i zašto antivirus ne može zaustaviti sav ransomware

Maliciozni program koji šifrira podatke na računalima najčešće stiže – ne biste vjerovali – putem e-pošte. Među rizičnim kanalima su i inficirani web serveri i Remote Desktop Protocol. U prvom slučaju se napad oslanja na naivnost prosječnog korisnika koji će teško odoljeti iskušenju da otvori link na neku zanimljivu
vijest ili privitak namijenjen upravo njemu, pa je neophodno neprestano upozoravati korisnike na mogućnost zaraze ovim putem. Pod udarom je niz raznih datoteka na svim odredištima na kojima napadnuti korisnik ima pravo pisanja/brisanja (lokalni i vanjski diskovi, USB memorije, mapirani mrežni diskovi, mapirani cloud diskovi,…).

Razlog iz kojeg antivirusni programi nisu savršeno pouzdani u otkrivanju ransomeware-a je u tome što ransomware nakon obavljanja svojeg prljavog posla na računalu nestane te je nemoguće pronaći njegov trag i poslati ga proizvođaču antivirusnih rješenja kako bi ovaj „naučio“ svoje proizvode da ga ubuduće
prepoznaju. Čak i antivirusni programi koji imaju razvijenu tzv. heuristiku, to jest algoritam koji maliciozne kodove prepoznaje po njihovom karakterističnom ponašanju, ne mogu uvijek razlikovati ponašanje ransomeware-a od ponašanja savršeno dobroćudnog programa. Antivirusni program je moguće konfigurirati tako da proširi definiciju „rizičnog“ ponašanja programa, ali pretjerano osjetljiv antivirusni program bi zatrpao korisnika „false-positive“ upozorenjima i vrlo brzo doveo do frustracije. Uspješan napad ransomeware-om na računalu korisnika kreira šifrirane kopije izvornih dokumenata koje je nemoguće „otključati“ bez pomoći napadača, koji u pravilu traže između 300 i 2000 američkih dolara za „ključ“. Šifrirane kopije obično nose specifične ekstenzije („*.omg“, „*india.com“,
„*anointernet.com“, „*lycos.com“, „*nonpartisan.com_IQ*“, itd.).

Što činiti kako bi se napad spriječio?

Iako smatramo da je proizvod kojeg zastupamo izuzetno pouzdan u detekciji prijetnji, nikada ne bismo tvrdili da je instalacija antivirusnog software-a sve što trebate napraviti za sigurnost svojih podataka. Uostalom, i sam ESET je nedavno u obitelj svojih proizvoda dodao proizvode za backup i povrat
podataka tvrtke StorageCraft, čime je pokazao da u ovom poslu nema mjesta aroganciji. Ukoliko je naš cilj zaštita podataka korisnika, tada je potrebno napraviti apsolutno sve da bi se rizik od njihovog gubitka sveo na minimum, a ne samo ono što mi vjerujemo da je dovoljno. Dakle, čak i u našoj ulozi zastupnika izuzetno pouzdanih antivirusnih rješenja mi svojim korisnicima savjetujemo da poduzmu sljedeće mjere za zaštitu svojih podataka:
1. Backup. Mi smo pobornici najstrože definicije ovog termina, koja ne priznaje jednostavno kopiranje podataka na bilo koji mrežni disk ili uređaj koji ostaje spojen na isti sistem kao i nosač originala podataka. Backup označava redovito presnimavanje važnih podataka na medij koji se nakon stvaranja kopije iskapča i fizički odvaja od nositelja originala podataka. U idealnoj situaciji ćete koristiti najmanje dva diska / USB memorije naizmjenično. Više o temi backup-a
možete pronaći u našoj bazi znanja.
2. Korištenje antivirusnog software-a i drugih sigurnosnih tehnologija. Sva računala na mreži jednostavno moraju imati antivirusni program, ali uvijek imajte u vidu da antivirusni programi nikada nisu bili namijenjeni zaštiti od apsolutno svih vrsta napada.
3. Nadogradnja i sve sigurnosne zakrpe i nadopune operacijskih sustava, kao i nadogradnja svih aplikacija na računalima, uključujući i antivirusni program, na najnovije verzije. Korištenje zastarjelih računalnih sustava koji više nisu podržani od strane proizvođača povećava rizik od uspješnog napada virusom. Preporučujemo da redovito preuzimate i instalirate sve sigurnosne zakrpe i nadopune operacijskog sustava kao i svih aplikacija koje imate instalirane na računalu. Prema našim iskustvima s terena, većina uspješno napadnutih korisnika je imala instaliran Windows XP i staru ili pogrešno konfiguriranu verziju ESET-ovog programa. Microsoft je napustio Windows XP još u travnju 2014 te sigurnosni propusti tog operativnog sistema nikada neće biti ispravljeni. Svakako nadogradite ESET proizvod na najnoviju dostupnu verziju i provjerite da li je aktivna funkcija ESET Live Grid.

Što učiniti u slučaju uspješnog napada ransomware-om?

Ovo je trenutak kada počinju stizati loše vijesti – podatke „zaključane“ ransomware-om je trenutno praktički nemoguće dešifrirati bez ključa, pa žrtvi napada u slučaju da nema backup podataka u pravilu preostaje samo plaćanje „otkupnine“. Pri tome imajte na umu riječi ESET-ovog stručnjaka za sigurnost i glavnog urednika portala We Live Security Raphaela Labaca Castro: „Zapamtite, ovo nije uslužna djelatnost, to su cyber-kriminalci“. Drugim riječima, ne postoje nikakve garancije da ćete nakon plaćanja vratiti podatke, kao što nema garancije da nakon plaćanja nećete biti podvrgnuti ponovnom napadu. U vrlo rijetkim slučajevima je moguće vratiti podatke pomoću sitnih trikova kao što je korištenje opcija File History ili System Protection u Windows-ima koje omogućuju povrat prethodne verzije zaključanih datoteka (više o svim mogućnostima vraćanja podataka u slučaju zaključavanja od strane ransomwarea pogledajte u našoj bazi znanja).

Zaključak

Isključivo oslanjanje na antivirusni program radi zaštite podataka na vašem računalu predstavlja prilično rizičnu igru. Opasnosti od ransomware-a su tolike da agencije kao što su američki Department of Homeland Security (DHS) i kanadski Canadian Cyber Incident Response Centre (CCIRC) izdaju upozorenja kako bi pojedinci i poduzeća postali svjesni prijetnje. Nadamo se da svima koji su pročitali ovaj članak nikakva dodatna upozorenja neće biti potrebna.