Po definiciji, ransomware predstavlja klasu malicioznog softvera koju sajber kriminal koristi da bi preuzeo delimičnu ili potpunu kontrolu nad računarom žrtve i/ili njegovim podacima, a u svrhu kasnijeg otkupa zahtevajući isplatu od žrtve. Zvuči pomalo apsktraktno, podseća na holivudske krimi priče  i većina korisnika računara će pomisliti da su ove vrste napada, po uobičajnom scenariju, rezervisane samo za bitne kompanije i pojedince. Istina je, međutim, da se ransomware širi nasumično i globalno i da ne bira žrtve, jer mu krajnji cilj nije upravljanje važnim sistemima i pristup wikileaks podacima, već potencijalna zarada od otkupnine u zavisnosti od toga koliko su žrtvi kompromitovani podaci bitni. Cena otkupa se kreće od 300 do 2000 dolara, a broj zaraženih računara se meri desetinama hiljada i povećava svakog dana, pa vi matematiku izvedite sami. Nažalost, ransomware postaje sve popularniji način za iznudu novca, vektori širenja su uspešni kao i za drugi malvera tehnike infiltracije uspešno koriste socijalni inženjering i propuste u softveru.

http://www.welivesecurity.com/

http://www.welivesecurity.com/

Zašto je Criptolocker važan?

Cryptolocker je specifična ransomware pretnja i veoma česta tema u IT svetu (ESET ga detektuje kao Win32/Filecoder). Širi se spamom u talasima na veliki broj adresa, prevashodno u SAD i Velikoj Britaniji. Poput ozloglašenog kriminalca, često se pojavljuje se u pratnji backdoor trojanaca, downloader-a, massmailer-a, kradljivaca lozinki i sličnih pošasti. Infiltrira se samostalno (e-mail) ili uz pomoć navedenog malvera, kao dodatna komponenta. Ono što ga suštinski razlikuje od srodnih pretnji su vredni i uporni autori koji uspešno drže korak sa promenama u tehnologiji zaštite i kontinuirano objavljuju nove podvarijante infekcije uz ciljanje različitih grupa korisnika.

Počevši od septembra prošle godine, Cryptolocker je pored ciljanih grupa u SAD i V. Britaniji zahvatio i ostatak sveta jer za spam ne postoje geografska ograničenja. U početku su napadani kućni korisnici, zatim mala i srednja preduzeća, a sada su na meti i globalne kompanije. Još jedan vektor napada koji koristi su otvoreni RDP portovi, a najranjiviji su oni obezbeđeni slabim lozinkama. Bilo da napada od spolja ili sa već zaraženog računara u kompaniji, Criptolocker će proveriti standardni port 3389 i isprobati najčešće korišćene lozinke (admin, 12345, password, P@ssw0rd…). Sposoban je da inficira popularne formate fajlova (.doc, .jpg, .pdf…) bilo da se nalaze na računaru, mapiranim diskovima, eksternim hard diskovima, USB stikovima, mrežnim folderima, pa čak i u cloud-u, ukoliko je korisnik podesio permanentni pristup. Ako je, recimo, vaš Dropbox folder mapiran lokalno i stalno online, ciljani fajlovi će takođe biti inficirani, tj. kriptovani.

U ovom trenutku, Cryptolocker broji na desetine hiljada zaraženih računara, iako je procenjeno da su isporučeni milioni spam poruka sa ovim malverom. Ostali korisnici su najverovatnije, kao što se i preporučuje, obrisali spam poštu bez otvaranja i rešili problem mogućeg aktiviranja potencijalnih pretnji.

Cryptolocker - http://en.wikipedia.org

Cryptolocker – http://en.wikipedia.org

Pogođeni korisnici završavaju sa velikim brojem šifrovanih fajlova. Najčešče su to Microsoft Office dokumenta, Adobe formati, iTunes i ostali audio i video zapisi uključujući i fotografije. Autori malvera koriste dve vrste enkripcije. Fajlovi se zaključavaju sa 256-bitnom AES enkripcijom, a nakon toga se ključ za dešifrovanje tih fajlova kriptuje sa 2048-bitnom RSA enkripcijom i prosleđuje autorima. Ključ nije moguće dešifrovati ili pronaći u memoriji zaraženog računara, a autori su, navodno, jedini koji mogu da dešifruju zaključane podatke.

Šta možete da uradite?

S jedne strane pretnja zvuči zastrašujuće – ukoliko Cryptolocker zarazi vaš sistem, pristup šifrovanim fajlovima će, najverovatnije, biti trajno blokiran. S druge strane, ako se pravilno pripremite za ovu vrstu zaraze, ona neće biti ništa više od obične smetnje. U nastavku su saveti koji će vam pomoći da se odbranite od ransomware-a uopšte i, što je najvažnije, izbegnete destruktivne posledice:

Napravite rezervnu kopiju podataka

Najbolje oružje u borbi protiv ransomware-a je redovan, ažuran backup. Ako je ransomware napao vaš računar, izgubićete dokumente koji su nastali nakon poslednjeg backup-a, ali ćete posle reinstalacije operativnog sistema i vraćanja rezervne kopije biti ponovo operativni. Nemojte zaboraviti da Cryptolocker šifruje dokumenta i na mapiranim diskovima – spoljnim diskovima, USB stikovima, kao i na bilo kojem mrežnom disku, deljenim folderima ili cloud-u, ako je isti mapiran na računaru kao disk jedinica. Znači, potreban vam je sistem za redovno pravljenje rezervnih kopija na eksterni disk ili online backup servis kojem se ne dodeljuje oznaka disk jedinice ili je isključen kada se ne radi backup.

Naredna tri saveta odnose se na prevenciju uopšte i poznato ponašanje Cryptolocker-a u sistemu (što ne mora uvek biti slučaj).

Prikažite skrivene ekstenzija fajlova

Criptolocker se često pojavljuje u obliku fajla sa ekstenzijom .pdf.exe. Windows operativni sistemi po podrazumevanom podešavanju (default) ne prikazuju poznate ekstenzije fajlova (.xlsx, .doc, .jpg, .exe, .bat…) u imenu fajla, već korisnik na osnovu prepoznatljive ikonice zaključuje koji format fajla je u pitanju. Budući da je .exe ekstenzija sakrivena po defaultu-u, korisnik lako može da pomisli da je sporni fajl standardni .pdf dokument i da nesmotreno dvoklikom aktivira prikriveni .exe. Ako u podešavanjima prikaza direktorijuma (Folder Options/View) isključite ovu opciju, omogućićete prikazivanje pune ekstenzije i lakše uočiti fajlove sumnjivog porekla.

Windows 7 - Hide extensions for know filetypes

Windows 7 – Hide extensions for know filetypes

Filtrirajte .exe fajlove u elektronskoj pošti

Ako vaš klijent elektronske pošte ima mogućnost filtriranja fajlova po ekstenziji, trebalo bi da ga podesite da odbija sve poruke sa izvršnim fajlovima u prilogu (.exe, .bat, .com). Ako vam je ipak neophodna razmena izvršnih datoteka, možete ih slati i primati u arhiviranom obliku (.zip, .rar, .7zip…), zaštićene lozinkom ili putem online servisa (Dropbox, SkyDrive…).

Onemogućite izvršavanje fajlova u AppData / Local AppData folderu

Kreirajte pravilo u okviru Windows-a ili  Host Intrusion Prevention System-a koje će sprečiti pokretanje izvršnih datoteka u AppData i lokalnom AppData folderu, što je i zapaženo ponašanje Cryptolocker-a. Ako iz nekog razloga, a to nije čest slučaj, imate legalan softver za koji znate je podešen da se izvršava u ovim folderima, izuzmite ga iz ovog pravila. Na ovoj stranici ćete pronaći uputstvo kako to možete da uradite sa ESET proizvodima.

Blokirajte RDP

Cryptolocker pristupa računarima i preko Remote Desktop Protocol-a (RDP), Windows alata koji vam omogućava da pristupite svome računaru daljinski. Ako vam RDP nije neophodan, onemogućite ga i zaštitite svoj računar od Filecoder-a i velikog broja infekcija koje zloupotrebljavaju RDP protokol. Uputstvo za gašenje RDP-a možete naći u člancima Microsoft baze znanja u nastavku:

Onemogući RDP, Windows XP
Onemogući RDP, Windows 7
Onemogući RDP, Windovs 8

Ažurirajte operativni sistem i instalirani softver

Sledeća dva saveta spadaju u opšte preporuke koje se odnose podjednako i na Cryptolocker i na sve ostale pretnje koje harače Internetom. Autori malvera taktiku širenja najčešće baziraju na nezakrpljenim operativnim sistemima i zastarelom softveru sa poznatim ranjivostima koje mogu neometano i neprimetno da eksploatišu. Redovnim ažuriranjem operativnog sistema i ostalih programa značajno ćete smanjiti mogućnost pojave ransomware-a  na vašem računaru. Veliki proizvođači softvera poput Microsoft-a i Adobe-ja izdaju redovne beozbednosne ispravke na mesečnom nivou, svakog drugog utorka u mesecu. Česte su i neplanirane ispravke ukoliko se neki bitni propust pronađe, ili neka infekcija počne da ga eksploatiše. Zbog toga uključite automatsko ažuriranje operativnog sistema i softvera kad god je to moguće, ili posetite sajt proizvođača i proverite da li su dostupne novije verzije.

Koristite dokazana i ugledna Security Suite rešenja

Najbolja praksa je da računare štitite dobrim antivirusnim softverom sa zaštitnim zidom koji može da vam pomogne u identifikovanju komunikacije u fazi napada, pre nego što infekcija napravi štetu. Posao autora malvera je da unapređuje svoj maliciozni softver, a kako smo već naveli, Cryptolocker je po tome daleko ispred ostalih. Kada su u pitanju takve pretnje, dobro je imati višeslojnu zaštitu, jer i ako nova, nepoznata podverzija prođe pored antivirusne zaštite koja nema odgovarajuću definiciju, komunikacija malvera sa autorom može biti zaustavljena zaštitnim zidom koji će onemogućiti dalje upravljanje infekcijom.

Ako se nađete u situaciji u kojoj ste već pokrenuli ransomvare bez da ste obavili bilo koju od navedenih mera predostrožnosti, opcije su vam prilično ograničene, ali nije sve izgubljeno. Postoji nekoliko koraka koje možete da uradite i ublažite štetu, naročito ako je Cryptolocker u pitanju.

Isključite lokalnu mrežu ili WiFi, odmah!

Ako pokrenete fajl za koji sumnjate da je ransomware, a još niste dobili karakterističan prozor sa obaveštenjem (druga slika), odmah isključite računar sa mreže – možda ćete time ublažiti štetu i zaustaviti komunikaciju malvera sa autorom pre nego što se završi šifrovanje fajlova. Za šifrovanje podataka je ipak potrebno neko vreme, a prekidanjem komunikacije sa autorom otvarate mogućnost da pronađete proces koji nije završio svoje prikrivanje  i zaustavite ga pre nego što u potpunosti izvrši zadatak. Ova tehnika definitivno nije sigurna, brzina izvršavanja malvera je velika, ali bolje išta nego ništa.

Pokušajte da iskoristite Sistem Restore za povratak sistema u prethodno (čisto) stanje

Ako je System Restore omogućen na vašem računaru, a podrazumevano jeste, pokušajte da rešite problem vraćanjem sistema na neki prethodan datum kada računar nije bio inficiran. System Restore vrši povrat sistema i promena nad aplikacijama, ali se ne bavi se fajlovima kreiranim od strane korisnika (personal files). Ipak, na ovaj način se možete rešiti same infekcije koja je takođe aplikacija, ali sa malicioznim karakterom. Nažalost, novije verzije Cryptolocker-a po automatiznu brišu čiste kopije zaraženih fajlova iz System Restore foldera, tako da povrat sistema ne pomaže puno.

Ugasite odmah računar, premestite hard disk u nezaražen računar i napravite backup

Cryptolocker-u je neophodan operativni sistem da bi se pokrenuo i aktivan je na onom operativnom sistemu na kojem je pokrenut. Gašenje računara (držite dugme za gašenje 5 sekundi ili, još bolje, resetujte pa odmah ugasite računar) je najbrži način za prekidanje procesa šifrovanja dokumenata. Prebacivanjem zaraženog hard diska na čist računar onemogućavate izvršavanje infekcije jer zaražen operativni sistem neće biti startovan. Skenirajte zaraženi disk sa antivirusnim softverom i uklonite izvršne fajlove infekcije koji će biti izloženi jer nisu pokrenuti i prikriveni u zaraženom sistemu. Nakon toga napravite backup dokumenata na čistom računaru. Cryptolocker napada sledeće formate dokumenata – 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Potom formatirajte zaraženi hard disk, vratite ga u matični računar i preinstalirajte operativni sistem. Nakon toga možete vratiti vaša dokumenta iz backup-a.

Podesite BIOS sat unazad

Cryptolocker odbrojava tajmer za plaćanje koji je obično podešen na 72 sata, nakon čega povećava cenu otkupa značajno.  Postavljanjem BIOS časovnika unazad odgađate povećanje cene otkupa. Naš je savet – ne plaćajte otkupninu! Plaćanjem otkupa postoji šansa da povratite vaše podatke, ali je bilo i slučajeva gde ključ za dešifrovanje nikada nije stigao, ili ako i jeste, nije mogao pravilno da dešifruje fajlove. Setite se da radite sa kriminalcima i da od njih ne možete da očekujete poštenje – mogu da vam uzmu novac i ne obezbede ništa zauzvrat.

Nazovite podršku, budite u toku

Ako ste kupac ESET proizvoda i zabrinuti ste zbog ransomware-a, kontaktirajte nas, a mi ćemo vam pružiti najnovije detalje o tome kako možete pravilno da se zaštitite i smanjite nivo rizika po vaš sistem.

Pored toga, postoji mnoštvo sadržaja na Interenetu koje pružaju više informacija o ovoj pretnji:

Filecoder: Holding your data to ransom

Remote Desktop (RDP) Hacking 101: I can see your desktop from here!

Podcast  – Ransomware 101 by Aryeh Goretsky, Posted 14. Dec. 2013

The Guardian – CryptoLocker attacks that hold your computer to ransom

I da ponovimo, ransomware svakako zvuči zastrašujuće, ali postoje i oni drugi, benigni problemi koji predstavljaju prave katastrofe. Koliko ste puta čuli da je nekome, jednostavno, ‘crko’ hard disk na kojem su bile porodične fotografije od prošlih 10 godina? Zato je uvek bilo i biće – najbolja praksa da se zaštitite od gubitka podataka je redovni backup! Na taj način ćete, bez obzira šta se desi, biti u mogućnosti da oporavite svoj digitalni život i nastavite dalje bez tragičnih gubitaka. Ako je nešto dobro što možemo da naučimo iz ovog ransomware trenda, onda je to razumevanje značaja redovnog i čestog backup-a, kako bi zaštitili naše dragocene podatke.

Tekst preveden i dopunjen sa originalnog članka: 11 things you can do to protect against ransomware, including Cryptolocker