Kako spriječiti napad ransomware-a?

Bitdefender Vas može vrlo efikasno zaštititi i od većine malwarea iz vrste “kripto virusa” (tehnički gledano, ne radi se zapravo o virusu nego o “hakerskim” napadima na računala i/ili “socijalnom inženjeringu” – prijevarom se navede korisnika da sam aktivira zlonamjerni program) ako je ispravno konfiguriran.

No, stopostotna zaštita jednostavno ne postoji nigdje (ni u realnom životu, pa tako niti u digitalnom) i nijedan postojeći antivirusni program neće zaštititi računalo od svih vrsta prijetnji. Bitdefender-ovi programi su među najboljim antivirusnim programima, ali niti naši programi ne mogu jamčiti zaštitu 100% (dnevno se identificira preko 350.000 novih virusa i ako pretpostavimo uspješnost detekcije i sprječavanja 99,9999% prijetnji, još uvijek će preostati najmanje 35 novih zlonamjernih programa dnevno koji će proći nezapaženo pokraj antivirusa, a dovoljan je i samo jedan za gubitak podataka).

Zašto antivirusni programi ne prepoznaju ovu vrstu napada?

Virus signature database – Jedan od (naj)većih problema je činjenica da se kriptiranje obavlja izuzetno brzo i korisnici ne stignu reagirati, a nakon obavljenog posla program izbriše sve svoje tragove s diska i iz memorije. Budući da se antivirusna industrija ipak uglavnom temelji na uzorcima i kreiranju obrane protiv konkretnog malwarea, očito da je dolazak do uzoraka dugotrajan posao. [Zato skeniranje računala nakon incidenta u većini slučajeva pokazuje da su računala “čista” (u rjeđim slučajevima se naiđe na tragove generičkih droppera, trojanca i sl.)].

Heuristika – Navedeni programi nemaju nikakve karakteristike ponašanja malwarea – u principu je stvar ista kada vam poznanik pošalje e-mail s linkom na koji kliknete, preuzmete program s interneta (npr. Notepad.exe) i pokrenete ga. Nijedna karakteristika programa ili postupka ne upućuje na ponašanje malwarea. Kada bi antivirusni programi prepoznavali ovakve, praktički svakodnevne radnje, nijedna legitimna aplikacija više ne bi mogla biti pokrenuta bez upozorenja na opasnost od virusa, tj. broj false-positive alarma bi dosegnuo takve razine da bi ljudi prestali koristiti antivirusne programe.

Brojne varijante – Još jedna neugodna činjenica je da je na crnom tržištu moguće kupiti izvorni kod Crypto-obitelji i prilagoditi ga svojim potrebama. To uvelike proširuje broj novih varijanti kojih na dnevnoj bazi ima na stotine.

Kako možete spriječiti napad ransomware-a?

  1. Radite backup svojih podataka. Nemojte samo napraviti backup podataka na zasebnu particiju ili vanjski disk (jer ransomware bi mogao pokušati zaraziti i te podatke, ako se njima može pristupiti sa Vašeg računala), razmislite i o cloud servisu. Naravno, kao i kod svake cloud-bazirane usluge, privatnost i sigurnost je na prvom mjestu.
  2. Prestanite pokretati kao administrator. Velikom broju korisnika nisu potrebna administratorska prava za obavljanje svakodnevnih zadaća, ali svake minute koriste administratorske ovlasti, te time povećavaju šansu da ransomware napadne, zaključa ili kriptira ključne baze podataka ili datoteke. Kada koristite administratorska prava, izbjegavajte korištenje Internet preglednika ili otvaranje privitaka iz Vaše e-pošte.
  3. Nemojte pokretati programe sa neovlaštenih stranica. Uvijek budite sumnjičavi prema neželjenim porukama, linkovima ili privitcima, osobito ako ne očekujete da Vas netko kontaktira tim putem ili odabir riječi nije valjan.
    Držite svoje računalo u koraku sa zadnjim sigurnosnim zakrpama, jer će ransomware dosta često koristiti to kao vektor napada.
  4. Razmislite o korištenju programa za blokiranje reklama, jer dosta često ransomware napada preko reklama koje su postavljene kao opasne „zamke“.
    Smanjite mogućnost napada tako da deinstalirate nepotrebne dodatke gdje je god to moguće (kao na primjer, Silverlight, Flash, Java, itd…)
  5. Pokrenite antivirusnu zaštitu na svojim stolnim računalima, laptopima i pametnim telefonima ako je moguće i pobrinite se da iskorištavate sve njegove mogućnosti. Pobrinite se da je redovno ažuriran jer svakoga dana se identificira više od deset tisuća novih prijetnji, te pokrenite antivirusnu zaštitu na svojim stranicama i email serverima radi prevencije napada.
  6. Ako ipak otvorite neželjenu poštu iz privitka (Word dokumenti, PowerPoint prezentacije, Excel tablice) nemojte omogućiti makro naredbe, osim ako niste u potpunosti sigurni da je dokument siguran. Dobra ideja je instalirati besplatne Microsoft Office preglednike u svrhu otvaranje takvih dokumenata.
  7. Informirajte svoje radne kolege o sigurnosti i računalnim prijetnjama. Zadnja linija obrane ste Vi – jer ste Vi onaj koji otvara i posjećuje Internet stranice ili otvara privitke iz e-pošte. Aktivno informiranje i dijeljenje svoga znanja sa svojim radnim kolegama može učiniti Vaše radnom mjesto sigurnijim.

Vektori napada

Program dolazi najčešće putem e-pošte, inficiranih web servera ili napadom na Remote Desktop Protokol (RDP – koji, pojednostavljeno rečeno, omogućuje spajanje na udaljeno računalo preko Interneta); korisnik primi e-poruku s linkom na stranicu koja sadrži kod za iskorištavanje sigurnosnih propusta u Javi, internetskim preglednicima i/ili operacijskom sustavu i na taj način se kopira na računalo žrtve i obavi svoj dio posao. Ponekad se u samoj e-poruci nalazi i izvršni program u arhivi (ZIP, RAR, …) – ova metoda je “najpopularnija”, ako možemo upotrijebiti taj izraz. U nekim slučajevima se koristi dvostruka ekstenzija za privitak (npr.: “rehnung.zip.exe” ili “invoice.pdf.exe”) – Windowsi i/ili mail klijent korisniku prikaže samo prvu ekstenziju (zip ili pdf), čime se stječe dojam da se radi o bezazlenom dokumentu (iako nijedan dokument koji nosi riječ “Račun” u naslovu nije bezazlen).

Što se tiče napada na računala s uključenim RDP-om, radi se najčešće o iskorištavanju slabih (malo znakova, samo slova ili samo brojke, …) i/ili “popularnih” lozinki(123456, admin, password, …) – napadač može jednostavno detektirati da se RDP na tome računalu koristi i onda se pokušava spojiti isprobavajući lozinku po lozinku.

U rjeđim slučajevima se iskorištavaju sigurnosni propusti (https://support.microsoft.com/en-us/kb/2671387).

Nije isključena ni mogućnost napada na druge programe koji omogućuju spajanje preko interneta (npr. TeamViewer, VNC, …), dapače, ima indicija da su takvi napadi već u početnoj fazi.