SVETZANIMIVOSTI

Nevarni izsiljevalski virusi

V svetu kiberkriminala so že nekaj zadnjih let na pohodu izsiljevalski virusi, ki nam zaklenejo računalnik, ali nam ukradejo podatke tako, da jih zašifrirajo.

V svetu kiberkriminala so že nekaj let na pohodu izsiljevalski virusi, ki zaklenejo računalnik, ali ukradejo podatke tako, da jih zašifrirajo. Nekoč so bili enostavni in obstajali so postopki, s katerimi smo svoje dokumente lahko povrnili. Danes skoraj nikoli ni več tako.

V začetku leta 2016 smo na SI-CERT prejeli vrsto prijav, ki se nanašajo na izsiljevalska virusa TeslaCrypt 3.0 in Locky. Najpogosteje se širita preko elektronske pošte. Prvi v ZIP priponkah, drugi pa v obliki lažnih računov, Word in Excel datotek, ki pa vsebujejo nevarne makro programe, ki na računalnik namestijo virus.

Zahvaljujemo se Vam ker nas berete :), ne pozabite vščekati našo FB stran

Locky nam celo “prijazno” pomaga pri nakupu Bitcoina.
Primer obvestila izsiljevalskega virusa Locky, ki pojasni uporabniku, kako plačati v valuti Bitcoin.

Po informacijah, ki jih imamo na SI-CERT, po plačilu odkupnine res pošljejo ustrezni ključ, vendar pa moramo poudariti, da vam tega ne more nihče zagotoviti in torej ukrepate na lastno pest in po lastni presoji.

Se lahko izognemo plačilu in kako drugače povrnemo zaklenjene datoteke?

V primeru okužbe nekaterih vrst izsiljevalskih virusov, lahko najdete orodje za povrnitev datotek na spletnem mestu projekta No More Ransom. Ni pa univerzalne rešitve in za nekatere viruse takšnega orodja (še) ni.

Pri naprednih izsiljevalskih virusih se lahko zanesete le na ustrezno izdelane varnostne kopije (backup). Ker virusi običajno zašifrirajo tudi omrežne mape, vam preprosto kopiranje datotek na zunanji ali omrežni disk ne bo vedno pomagalo. Datoteke lahko poskusite poiskati v elektronski pošti, če ste jih prejeli ali s kom delili na ta način. Če uporabljate hrambo v oblaku (recimo DropboxGoogle DriveMicrosoft OneDriveMega, …), bo virus zašifriral tudi te, vendar lahko tam uporabite možnost povrnitve prejšnje različice dokumenta (običajno za obdobje zadnjih 30 dni). Izsiljevalski virusi izklopijo “shadow volume” kopije, ki bi sicer omogočile restavriranje podatkov. Če ste vztrajali pri zavračanju izklopa, potem lahko podatke povrnete od tam.

Nekaj datotek lahko morda povrnete tudi z orodji, kot sta Recuva ali PhotoRec, ki sta namenjena povrnitvi izbrisanih datotek, vendar pa je postopek mogoč le na magnetnih trdih diskih (na SSD diskih pa ne). Uspešnost pa je odvisna tudi od različnih drugih dejavnikov, kot je recimo zasedenost samega diska.

V poslovnih okoljih je centralizirana izdelava varnostnih kopij nujna. Če te še nimate, čim prej poskrbite za to preko lastnega IT oddelka ali poiščite kompetentnega zunanjega izvajalca! Na omrežnih diskih lahko datoteke razdelite na arhivske in delovne. Za prve prepoveste spremembe, druge pa po dokončanju (ko se recimo pogodba dokončno uskladi), premaknete v tak zaščiten arhiv.

Grafika kaže primer obvestila izsiljevalskega virusa TeslaCrypt, ki ser prikaže na zaslonu.
Obvestilo izsiljevalskega virusa TeslaCrypt

Kako se zgodi okužba z izsiljevalskim virusom in kako se ji lahko izognemo?

Škodljiva koda se širi v glavnem na dva načina: v priponkah e-pošte ali prek okužb v mimohodu (angl. drive-by download). V prvem primeru je rešitev enostavna. Ne klikajte priponk v elektronski pošti neznanih pošiljateljev ali priponk, ki jih niste pričakovali in za katere ne veste prav dobro, zakaj ste jih dobili. Pred okužbo v mimohodu ste varnejši, če na računalnik redno nameščate popravke in posodobitve za operacijski sistem in vse programe na njem.

Predvsem pa: “Končno že ustvarite tiste kopije vaših dokumentov!” Obravnavani primeri kažejo tudi, da zelo pogosto pride do okužbe pri brskanju po spletu preko lukenj v Java okolju. Zato izklopite vtičnike zanjo v svojih brskalnikih ali pa Javo kar odstranite iz sistema, če je res ne potrebujete. Enako velja tudi za Adobe Flash okolje.

Izsiljevalski virus Locky za naše dokumente zahteva vrtoglavih 1500 €!
Sporočilo prikazuje zahtevo, da izsiljevalski virus Locky za naše dokumente zahteva vrtoglavih 1500 evrov!

Ne odpirajte priponk v elektronskih sporočilih neznanih pošiljateljev ali priponk v sporočilih, ki jih ne pričakujete in ne veste, zakaj ste jih dobili. Če prejmete Word ali Excel dokument, ki od vas zahteva vklop makrojev, je to znak za alarm! Naredite varnostno kopijo vseh vaših dokumentov in jo redno posodabljajte. Prijavite se na naše Varne novice in nas spremljajte na Facebooku in Twitterju.

Kako vem, da bom po plačilu odkupnine res dobil orodje za odšifriranje podatkov?

Garancije seveda ne morete pričakovati od kriminalcev. Na drugi strani pa so v vseh primerih, ki so nam znani na SI-CERT, storilci po plačilu odkupnine dejansko poslali ustrezno orodje za povrnitev podatkov.

Na kratko o prevari

Kako naklikam izsiljevalski virus?

Škodljiva koda se širi v glavnem na dva načina: v priponkah e-pošte ali prek okužb v mimohodu (angl. drive-by download).

Kako se zaščitim pred okužbo z izsiljevalskim virusom?

Pri naprednih izsiljevalskih virusih se lahko zanesete le na ustrezno izdelane varnostne kopije (backup). Ne odpirajte priponk v e-sporočilih neznanih pošiljateljev ali v sporočilih, ki jih ne pričakujete oz. ne veste, zakaj ste jih dobili.

Kaj se zgodi, če se računalnik okuži z izsiljevalskim virusom?

Izsiljevalski virusi zaklenejo računalnik ali ukradejo podatke tako, da jih zašifrirajo. Napadalci nato zahtevajo odkupnino za šifrirni ključ.

Kako se lahko izgonemo plačilu in povrnemo izgubljene datoteke?

Univerzalne rešitve za vse viruse (še) ni. V primeru okužbe nekaterih vrst izsiljevalskih virusov, lahko najdete orodje za povrnitev datotek na spletnem mestu projekta No More Ransom.

Kako vem, da bom po plačilu odkupnine res prejel šifrifni ključ?

Garancije seveda od kriminalcev ne morete pričakovati. Na drugi strani pa so v vseh primerih, ki so nam znani na SI-CERT, storilci po plačilu odkupnine dejansko poslali ustrezno orodje za povrnitev podatkov.

 

 

 

vir: varninainternetu.si