„Upomoć, rasturi nas crypto Locker!“
Šta raditi, a šta nikako ne raditi ako vaš računar napadne crypto Locker ili neki drugi ransomware.
Zadnjih nekoliko meseci je crypto locker, ransomware je hit tema u Srbiji i regionu. Prvobitna verzija se pojavila u martu 2015.g. i uglavnom se širila kroz igrice, pa su gajmeri bili i prve žrtve ovog ransomware-a. Zaražene su uglavnom bile igrice koje su se skidale torrentom. Crypto Locker šifrira fajlove, obriše originalne dokumente i traži otkup - plaćanje (odatle i izraz ransomware) za ključ kojim se mogu dešifrovati dokumenti/fajlovi. Zbog ograničenog načina infekcije, nije bilo mnogo žrtvi, ali je cyber podzemlje nastavilo sa razvojem crypto locker-a i danas svi vidimo rezultat...
Neko se dosetio da je najefikasniji način inficiranja kroz email i to kroz najobičnije Word i Excel dokumente (uz pomoć JavaScripta). Masovno se šalju emailovi koji liče na račune, zaduženja, vraćena plaćanja i sl. u kojima se nalazi Word ili Excel (po negde i sam JavaScript) u koje su vešto ubačeni makroi/skriptovi koji se izvršavaju i "dovlače" - preuzimaju crypto locker koji započinje svoj destruktivni posao - uništenje vrednih dokumenata, slika, mrežnih foldera...
Zbog veštog načina skrivanja, ove nove makro/javascript viruse je vrlo teško detektovati klasičnim tehnikama, tako da se dešava da prolaze kroz osnovne email sisteme zaštite, a onda je samo pitanje kada će neko od korisnika kliknuti na "invoice", "account statement" ili sličan dokument. Takođe, sam ransoware se menja, a veliki broj varijatni je moguće kupiti i na "crnom" tržištu cyber kriminalaca.
Kako sprečiti infekciju?
Ključno pitanje je kako sprečiti infekciju ransomware-om i šta činiti kada je već kasno - kada je računar zaražen? Prvi (nulti) korak jeste da ne otvarate priloge email poruka od nepoznatih ljudi. Naročito je važno da ni drugi ljudi iz vašeg okruženja to ne čine, zato ih upozorite pre nego što bude kasno.
Drugi korak - napravite backup podataka. Ako nemate, pobrinite se za backup podataka i sa radnih stanica (servere već backup-ujete, redovno, zar ne?)!
Treći korak je da poboljšate zaštitu email saobraćaja ili ako je već nemate - uvedete je!
Četvrti korak je višeslojna antivirusna zaštita na računarima! Možda klasične virus definicije ne mogu da "uhvate" sve varijante crypto ransomwarea, ali neka druga komponenta zaštite hoće.
Održavajte sistem zaštite i pratite šta se dešava. Pripremite plan šta treba učiniti i ko će to raditi u slučaju incidenta. Testirajte plan.
Ko želi da ode korak dalje - ili je već otišao - tu su firewall sistemi sledeće generacije, NGFW, koji uglavnom "hvataju" ovakve pretnje. Takođe, tu su i Advanced Threat Protection rešenja, sendbox izvršavanje potencijalnog malvera, koja su jednako uspešna u otkrivanju ovakvih pretnji.
Od pomoći je i sprečavanje izvršavanja JavaScript-ova, mada se time dosta gubi na izgledu i funkcionalnosti dobrog dela današnjih web prezentacija. Word i Excel makroe takođe možete da blokirate.
Na kraju, šta ako je neki računar već zaražen? Odmah ga "skinite" sa mreže. Isključite ga. Potražite backup podataka - to je zapravo jedini pravi spas. Ako nemate backup, možete da probate alate za dešifrovanje koji se mogu naći na Internetu - ali ne očekujte čuda. Ako imate uključeno čuvanje kopija verzija fajlova u Windows-u, možda ima nade da vratite prethodne verzije fajlova. Takođe, ako nije mnogo fajlova šifrovatno, možete da pokušate sa undelete alatima, za vraćanje obrisanih fajlova - ponovo, sa malom verovatnoćom uspeha.Važno je napomenuti: nemojte plaćati otkup - ucenu! Time samo pomažete njihov dalji razvoj i mogućnost da se ponovo nađete u sličnoj neprilici.