Ransomware je, već neko vreme, glavna tema svih proizvođača sigurnosnog softvera, pa izuzetak nije ni GFi koji redovno objavljuje tekstove na svom kompanijskom blogu: http://www.gfi.com/blog/.

Među njihovim tekstovima izdvojili smo i preveli jedan koji nam se učinio vrlo korisnim za one koji se tek upućuju u temu ransomwarea i traže osnovne smernice za zaštitu.

Originalni tekst: 10 ways to prevent ransomware from damaging your business, autor: Andrew Tabona

Ransomware je goruća tema. Sve veći broj članaka u medijima govori o bolnicama u USA koje su postale žrtve ransomwarea, čije su baze podataka postale neupotrebljive što je drastično ugrozilo svakodnevno poslovanje. U slučaju Hollywood Presbyterian Medical centra, CEO je izjavio: „najbrži i najefikasniji način da vratimo svoj sistem u normalno stanje je bio plaćanje otkupnine“ (u iznosu od 17 000 USD u bitcoinima).

Ransomware, koji se uobičajeno prenosi kroz email ili web sajtove, je zlonameran kod koji enkriptuje sve podatke do kojih može da dođe, koristeći veoma jak ključ za enkripciju (npr. 2048-bitni RSA). Nakon toga, vlasniku zaraženog računara se traži otkupnina kako bi se podaci otključali.
U ovom tekstu ćemo predstaviti 10 različitih tehnika (bez posebnog reda) koje pomažu da se smanji verovatnoća da do zaraze dođe.

1. Redovni backup podataka

Redovni backup podataka će vam omogućiti ponovni pristup podacima u najbržem mogućem roku. Kako biste izbegli da se i backup zarazi, neophodno je da se on drži na sigurnoj offline lokaciji (ili u okviru cloud baziranog rešenja) i da bude podešen na read only mode. Povremene provere integriteta nad bekapovanim podacima su neophodne kako biste se uverili da su podaci netaknuti.

Napomena: Možda je suvišno reći, ali backup plan bez provere i testa restore procesa ne znači ništa. Bekapovani podaci nad kojima se ne može uraditi restore su neupotrebljivi.

2. Skeniranje i blokiranje email priloga korišćenjem email security rešenja

Korišćenje email security rešenja koje skenira email priloge i blokira određene tipove fajlova pre nego što oni uopšte stignu do korisničkog mailbox-a je odličan način da se korisnici zaštite tj. da ne podlegnu prevari i postanu žrtve ransomwarea.
Dodatno, treba koristiti antivirus sa funkcionalnostima kao što je zaštita u realnom vremenu (real time protection) ili on-access scanning koji će pratiti sumnjive aktivnosti u pozadini i odmah preduzeti akciju ukoliko korisnik klikne na zlonamerni file.

3. Blokiranje izvršnih fajlova sa određenih foldera u korisničkim profilima

Potrebno je da, koristeći Windows Software Restriction Policies ili Intrusion Prevention Software na endpointu, blokirate izvršenje fajlova sa sledećih lokacija (ovi folderi i pod-folderi su poznati po tome što se koriste za smeštanje zlonamernih procesa):
• %userprofile%\AppData
• %appdata%
• %localappdata%
• %ProgramData%
• %Temp%

Rulovi bi trebalo da budu konfigurisani tako da „blokiraju sve, propuštaju ponešto“ (“block all, allow some”), tako da podrazumevano ponašanje bude da se blokiraju svi izvršni fajlovi, osim ukoliko određene aplikacije ne stavite na tzv. belu listu.
Savet: Ransomware Prevention Kit by ThirdTier sadrži grupne polise, informacije i ostale resurse koje možete iskoristiti kako biste umanjili rizik od ransomwarea i implementirali gore pomenuta pravila.

4. Ažurirajte redovno i konzistentno

Jedan od najčešćih načina infekcije je iskorišćenje ranjivosti samog softvera od strane malvera. Ukoliko su vaš operativni sistem, pretraživač, Office paket, firewall, mrežni uređaji itd. redovno ažurirani, u velikoj meri smanjujete rizik od zaraze tj. napada.

5. Pratite i blokirajte sumnjivi izlazni saobraćaj

Intrusion Detection and Prevention System (IDPS) prati sumnjiv izlazni saobraćaj i obaveštava vas ukoliko je potrebno da preduzmete nešto (npr. prekinete konekciju ili rekonfigurišete firewall). Iskoristite ove informacije, kao i one iz threat intelligence sharing grupa kako biste izvršili fino podešavanje sigurnosne infrastrukture i otežali ransomware komunikaciju u ili iz vaše mreže (sprečite komunikaciju iz Comand and Controle centra).

6. Usvojite koncept najmanjih mogućih prava

Ukoliko se ransomware izvršava u okviru admin sigurnosnog konteksta, on izaziva mnogo više štete i mnogo se dalje širi (npr. ima mogućnost da enkriptuje podatke na mrežnim diskovima, deljenim folderima i prenosivim medijumima.
Usvajanjem koncepta najmanjih mogućih prava, koji podazumeva dodeljivanje korisnicima samo onaj nivo prava koji je neophodan za obavljanje njihovog posla, potencijalno smanjujete štetu nastalu usled širenja malvera. Neki malveri pokušavaju i da sami sebi dodele viši nivo prava, međutim najveći broj se oslanja na sigurnosni kontekst u kome je izvršen.
Sa ovim konceptom, ideja je da ukoliko korisnik želi da izvrši komandu ili instalira/deinstalira aplikaciju u admin kontekstu, morao bi da unese set kredencijala koji bi mu omogućio pristup admin nivou, ali samo u vremenu koje mu je potrebno da završi željenu operaciju.

7. Isključite „Hide extensions for known file types“ opciju

Jedan od načina na koji ransomware pokušava da se sakrije je prerušavanje u neki od fajl formata kojima se veruje. Na primer, fajl koji se prerušava u PDF može imati naziv „Invoice.pdf.exe“. Ukoliko je uključena opcija “Hide extensions for known file types” naziv ovog fajla će se prikazivati kao: “Invoice.pdf”. Dakle, ovime samo pomažete korisniku da lakše uoči sumnjive fajlove na disku.

8. Poboljšajte sigurnosna podešavanja za Microsoft Office aplikacije

Najskorija varijanta ransomwarea pod nazivom Locky koristi zlonameran macro da downloaduje i inicira svoj payload. Možete koristiti grupne polise kako biste deaktivirali makro ili možete aktivirati opciju “Disable all macros except digitally signed macros”. Slično, možete podesiti ActiveX i External Content na Prompt ili Disabled (u zavisnosti od potreba vašeg poslovanja).

9. Obučite svoje korisnike

Korisnici su vaša poslednja linija odbrane od ransomwarea. On nikada ne bi bio toliko uspešan, da nije ljudskog faktora i nasumičnog preuzimanja i izvršavanja malvera (npr. otvaranje email priloga, klik na zlonamerni link itd.).
Upućivanjem korisnika u najbolje prakse i način da se pretnja prepozna smanjuje se rizik od nenamernog rizičnog ponašanja. Neke od stvari koje u obuci treba naglasiti su:
1. Ne otvarajte email prilog od pošiljaoca kojeg ne poznajete
2. Nemojte kliktati na link iz emaila pošiljaoca kojeg ne poznajete
3. Proverite slovne greške tj. nepravilnsti u domenima u email adresama (npr. rncom umesti microsoft.com)
4. Proverite čudno formatirane sadržaje i naslove emailova
5. Prijavite bilo koji sumnjiv fajl ili email svom IT timu

1o. Skenirajte sve što preuzimate s Interneta

Koristite Web Monitoring and Scanning rešenje za skeniranje svega što preuzimate s Interneta. Ovo će sprečiti korisnike da pristupe već poznatim zlonamernim sajtovima, a vi ćete skenirati i blokirati određene tipove fajlova. Sa ovakvim rešenjem, čak i ako phishing email prođe i korisnik klikne na link, rešenje će blokirati pristup zlonamernom sajtu i preuzimanje fajlova.
TL; DR?

Zvuči pomalo kao kliše, ali višeslojni pristup prevenciji ransomware će vam dati najbolje šanse da izbegnete infekciju. Ako bismo morali da napravimo kratki siže metodologije za prevenciju zaraze, preporuke bi bile sledeće:

  1. Počnite tako što ćete obezbediti dobar backup i recovery plan. Ovo će osigurati da, čak i ako dođe do infekcije, imate skorašnju kopiju podataka koji nisu kriptovani.
  2. Smanjite izloženost ransomware napadima tako što ćete adresirati dva najčešća načina na koji on napada – email i preuzimanje s Interneta (rešenja kao što su GFI MailEssentials i GFI WebMonitor mogu puno pomoći u ovom koraku zaštite).
  3. Implementirajte podešavanja i polise koje će povećati vidljivost ransomwarea u okviru vaše mreže, kako biste detektovali sumnjive fajlove ili aktivnosti i smanjili šansu da se malver izvrši na nekoj od vaših mašina.
  4. Na kraju, verovatno i najvažnije, podučite svoje korisnike tome kako da zapaze bilo šta sumnjivo i koje korake u tom slučaju da sprovedu.