1. Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.
    Сокриј

Ransomware - како да се заштитите

Дискусија во форумот 'Компјутерска безбедност' започната од gokica, 1 Април 2016.

  1. gokica

    gokica
    Модератор

    8,391
    10,199
    13 Јуни 2009
    Прелистувајќи на форумов наидов на низа теми кои се поврзани со оваа проблематика:

    http://forum.it.com.mk/threads/nov-virus-locky-ransom.56922/
    http://forum.it.com.mk/threads/vrakjanje-na-fajlovi-kriptirani-so-filecoder-em-virus.50472/
    http://forum.it.com.mk/threads/virus.50212/
    и низа други.

    Најопсежна со сознанија и методи на заштита е темата отворена од членот @FLEGMA кој на неколку наврати заедно со низа други членови опишува многу корисни методи:

    http://forum.it.com.mk/threads/crypto-locker-prevencija.37049/

    Но бидејќи форумот е посетен и од лица кои не се запознати со стручна терминологија од оваа област или немаат време да се посветат на поопсежно читање и анализа решив да направам еден сублимат користејќи ги советите од искусните членови на ИТ.КОМ.МК. Следат совети за домашни корисници.

    ctb-locker_critoni_onion_ransomware_screenshot-100389236-orig.gif

    Ransomware или вирус кој го уценува корисникот жртва да направи нешто кое го бара напаѓачот односно креаторот или дистрибутерот на вирусот. Најчести примери се плаќање на извесна сума на пари или пополнување на анкети.

    Беше актуелен во 2013 година но деновиве се актуелизира повторно.

    За разлика од многу други закани Ransomware е специфичен и многу опасен од следните две причини:

    - може заразениот компјутер да го направи тотално бескорисен со тоа што ги кодира сите или најкорисните фајлови и ги претвара во неупотребливи се додека не се внесе шифра за да се откодираат.
    - може да се инфицираме и од најпосетувани веб страни на светот без да знаеме и без ништо да кликнеме на нив.

    Многу тешко се детектира од страна на антивирус програми.

    Како е најлесно да се заштитиме:

    1. Зачувување на копија од податоците на друга локација

    Најдобар метод на заштита е да се има копија од сите фајлови кои ни се значајни во компјутерот на друга локација вон компјутерот. На пример екстерен хард или SSD диск, УСБ стик, на интернет локација (клауд) и слично.

    Многу е значајно да се каже дека тој медиум на кој ќе ги складирате копиите од вашите најважни податоци не треба да биде во континуиран допир со компјутерот. Генерално тоа значи дека откако ќе направите копија го исклучувате медиумот односно не го оставате цело време конектиран зашто доколку се активира Rаnsomware ќе ги шифрира и тие фајлови.

    Идеално е доколку имате копии на фајлови од различни датуми на различни локации. На пример оваа седмица ќе ги копирате на екстерен хард диск. Другата седмица ќе ги копирате на друг диск или на USB стик на пример. Бидејќи овој вирус може да се активира одредено време по инфицирање на компјутерот можно е последната копија на податоците да го има во себе. Затоа се препорачува барем две копии.

    Копирањето може да го правите мануелно или да користите програма сервис која тоа ќе го прави за вас.

    2. Користете лиценциран софтвер. При преземање и инсталација на пиратски софтвер секогаш постои можност за преземање на вируси. Покрај тоа лиценцираниот софтвер секогаш овозможува редовно ажурирање и закрпи од производителот со што истиот веднаш по појавата на ранливост може да креира надградба со што ќе се елиминира вратата која може да го пропушти вирусот.

    3. Настојувајте секогаш сите значајни програми да бидат во својата последна верзија односно правете надградба и ажурирање на пример на Виндовс, Антивирусни програми, Java, Adobe Flash и сл.

    4. Не стартувајте фајлови кои ви се препорачани од непознати сајтови на интернет. Секогаш ќе има неверојатни понуди кои ќе ви понудат многу поволности само доколку го инсталирате фајлот. Најчесто тие се мамка и кога ќе кликнете за инсталација ќе му дозволите на вирусот да навлезе во комјутер. Понатаму кога преземате филмови, музика и сл. никогаш не ги стартувајте доколку се со exe екстензија. Доколку сајтот ве натера да инсталирате некаков дополнителен софтвер (кодек и сл.) немојте веднаш да му верувате. Најверојатно е замка. И за крај избегнувајте посета на сомнителни сајтови.

    5. Не верувајте на пораки по електронска пошта кои се со сомнителна содржина. ваквите пораки најчесто доаѓаат од непознат корисник кој не ви е во адресар и имаат содржина која може да биде лажно претставување од банка и дека имате нешто кое мора да го потврдите или верифицирате. Никогаш не споделувајте приватни податоци пред да се осигурете дека пораката е од сигурен исраќач. Понатаму има примери на лажни пораки како да се од брза пошта дека имате пратка, или како да се од осигурителни компании и сл. Никогаш не одговарајте на вакви пораки. Многу важно: напаѓачите може да дојдат со напад и до податоци од сервер па да добиете порака со името од пријател кој го познавате. ваквите пораки ќе ги препознаете по тоа што содржината е сомнителна односно пријателот ќе бара нешто што е невообичаено. Се разбира за ова Вашиот пријател не е запознат. Користете безбедни и општо прифатени провајдери на електронска пошта како и познат софтвер како Outlook и сл.

    6. Не отворајте никакви фајлови добиени од сомнителна електронска пошта вклучително и PDF или Word документ. Не кликајте на линкови во елетронска пошта од сомнително потекло.

    7. Користете антивирусна програма. Една од најчесто споменатите на нашиот форум е Hitman Pro. Во контекст на програмата може да се инсталира и Cryptoguard кој е неопходен за подобра заштита од Ransomware.

    8. Исклучете autoplay опција доколку вашиот оперативен систем ја има. Ова е значајно доколку на Вашиот компјутер се прикачуваат УСБ стикови кои посетиле други компјутери претходно за кои не можеме да бидеме сигурни колку се безбедни.

    Најпознати варијанти на овој вирус се:
    • Trojan:Win32/Crilock.A
    • Trojan-Ransom.Win32.Blocker.cgmz
    • TROJ_RANSOM
    • TROJ_CRILOCK
    • Cryptolocker
    • Trojan-Ransom.Win32.Foreign.acc
    • Trojan.Ransom.FH
    • Trojan:Win32/Ransom.GT

    Мислам дека ова се општите напатствија за обични корисници. За повеќе информации може да се посетат линковите погоре кои појаснуваат многу потемелно и постручно за начините на заштита од можна инфекција на компјутерот од оваа закана.
     
    На JensenInterceptor, Ile bocev, Fatal1ty_ и уште 24 други им се допаѓа ова.
  2. igor_igor

    igor_igor
    Unstoppable

    2,095
    3,013
    2 Септември 2012
    Машко
    Нема зезанција со ова ѓубре, само превенција и ништо друго.
     
    На gokica му/ѝ се допаѓа ова.
  3. borcep

    borcep
    Practice makes perfect

    765
    1,232
    12 Септември 2013
    Машко
    Препорака за важна тема - стики?
     
    На gokica му/ѝ се допаѓа ова.
  4. Software

    Software
    Gaining Experience

    500
    247
    15 Август 2007
    Машко
    Вчера ми се јавува комшијата кој има дуќан ми бараше помош го инфицирал компјутерот со вирусот LockyCryptolocker.
    Во целиот компјутер имаше само ворд ексел и пдф документи и сите беа заклучени. Само корел документите се отвараа.
    После неколку часа обиди за да се спасат податоците се помири со фактот дека не може да се вратат.
    На компјутерот имаше инсталирано антивирусна AVAST 2016 free. Вирусот го закачил барајќи нешто по некои странски форуми. Кога скенирав во Hitman Pro најде malware во C:/program/files/java

    Го форматирав целиот хард диск и одновно ги креирав партициите. Дали е доволно ??
     
    На tomi му/ѝ се допаѓа ова.
  5. nik0la_

    nik0la_
    Practice makes perfect

    763
    1,251
    5 Јануари 2012
    Како на филмот од профилната, извади рам меморијата и стави ја во микробранова, да бидеш 100% сигурен.
     
    На NERD., RagingDemon, Kajsibebraat и уште 4 други им се допаѓа ова.
  6. gokica

    gokica
    Модератор

    8,391
    10,199
    13 Јуни 2009
    Безбедно е со форматиран диск. Освен доколку сте враќале нешто од бекап на новоинсталираниот компјутер во кој е скриен вирусот (ако бил закачен пред да се направи бекап).
     
  7. Software

    Software
    Gaining Experience

    500
    247
    15 Август 2007
    Машко
    Најјакото во целата работа е што немал бекап а документите ептен важни. Да е некој што не се разбираа да го караш зошто нема бекап ама тој има дуќан за компјутери. :D
    Плус вчера прочитав дека бил светски ден за бекап хахаххаа која иронија :D
     
  8. tomi

    tomi
    Guru

    9,875
    9,115
    16 Април 2007
    Машко
    Невработен
    Бекап да ама да направиш на екстерен и да го извадиш од пц, ако го оставиш упален нон стоп да праи бекап големи се шансите дека и он ке се инфицира
     
    goranzoran, DejV' и на gokica им се допаѓа ова.
  9. DrMTR

    DrMTR
    Guru

    6,223
    6,350
    27 Март 2014
    Ме интересирa, имaм екстерен диск врзaн вo мрежa. Имaм сетирaнo пристaпoт дo дискoт дa биде преку aкaунт. Oвa претстaвувa некaквa зaштитa или дa гo исклучaм oд мрежa oвoј диск ?
     
  10. gokica

    gokica
    Модератор

    8,391
    10,199
    13 Јуни 2009
    Многу интересно и едно од најновите четива:

    https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/

    Понатаму:

    https://community.spiceworks.com/topic/380323-ransomware-encrypted-network-drives
    https://nakedsecurity.sophos.com/20...-learn-about-prevention-cleanup-and-recovery/

    Мислам дека овој вирус е се пософистициран и неговите најнови варијанти се многу интелегентни. Отстрануваат шедоу копии кои се направени со Виндовс или други алатки но сепак мислам дека има слобода толку колку што има и акаунтот преку кој е активен.

    Не можам да бидам сигурен но мислам дека исклучување од мрежа сепак е најбезбедно. Посебно ако преку тој или друг акаунт кој се користи виндовс му задава letter drive C, D, E итн. на екстерниот драјв. Понатаму од контролата која ја има друг акаунт врз овој и сл.
     
    На DrMTR му/ѝ се допаѓа ова.
  11. hipo

    hipo
    Practice makes perfect

    1,598
    1,359
    27 Јануари 2011
    Машко
    На ској диск (простор за чување на податоци) на кој Windows има пристап SATA, USB, IP, Cloud ке бидат енкриптирани.
    Сега има и мутација која покрај податоците ги енкриптира и MBR и MFT.
     
    stefan_mkd, DrMTR и на gokica им се допаѓа ова.
  12. DrMTR

    DrMTR
    Guru

    6,223
    6,350
    27 Март 2014
    Фала ви дечки, сепак превентивно ке го исклучам дискот од мрежата.
     
    На borcep и gokica им се допаѓа ова.
  13. NecrotoX

    NecrotoX
    Unstoppable

    2,821
    2,665
    4 Март 2013
    Машко
    Илустратор
    Според сите искуства што ги прочитав на жртвите, најчест начин на зараза е преку отварање на Office документи и овозможување на macros, или преку отварање на зипувани атачменти.
     
    На gokica му/ѝ се допаѓа ова.
  14. toshex

    toshex
    Unstoppable

    3,993
    3,976
    18 Септември 2013
    Машко
  15. Lokvan

    Lokvan
    Unstoppable

    2,366
    3,240
    12 Јануари 2016
    Машко
    Има и една добра работа од ransomware страњава, а тоа е дека присилно ги едуцираат широките народни маси за потребата од заштита. Што е добро и заради тоа што истиве помалку ќе замараат за „средување на компјутерот/лаптопот“. :D

    Порано им беше едноставно, ако (кога) ќе се испозаразат дотолку да не можат да ја трпат спороста - ќе гњават некој да им ги среди компјутерите, или ќе го однесат во сервис. Е сега сето тоа со ransomware не е така едноставно.

    Tуку јас би предложил и употреба на некој Линукс ОС. Поголемиот број на корисници воопшто и немаат специфична потреба од виндовс.


    Ќе се научи сега, а ако не научи секако си заслужува се што ќе му се случи. ;)


    Хаха... :)
    [​IMG]
     
    На dimsa и prichina им се допаѓа ова.
  16. bxxxn

    bxxxn
    Practice makes perfect

    993
    1,129
    11 Март 2011
    Моето искуство со Locky Ransomware.

    Секој ден примаме по 4-5 е-маили од познати адреси со атачмент со .docm екстензија на приватен маил север. До сега се заразија неколку компјутери на работа. Двата се Windows 7 Professional x 64, со Eset Nod 32 апдејтиран на најнови дефиниции.

    Всушност Nod 32 може да препознае Locky, пример ако вирусот се стави на десктоп и тука се скенира, но за жал Eset нема plug-in за понов Thunderbird и Locky ги зарази и целосно ги енкриптираше документите, сликите ...

    Исто така фајл сервер, кој работи на Debian и на кој е потребен логин, беше делумно зафатен, т.е. ако се гледа по пермисиите кои ги имаа инфицираните корисници, може да се каже дека беа заразени сите фајлови за кои корисниците имаа пермисии.

    Одлучивме да не ја играме нивната игра и ги форматиравме компјутерите.

    Софистициран, малициозен вирус, за кој веројатно ќе има заштита скоро, но во моментот најдобро е мануелен бекап на екстерен диск, на кој ќе се најавите пред бекапот и ќе се одјавите потоа.
     
    На Costigan_Jr и gokica им се допаѓа ова.
  17. NecrotoX

    NecrotoX
    Unstoppable

    2,821
    2,665
    4 Март 2013
    Машко
    Илустратор
    На gokica му/ѝ се допаѓа ова.
  18. toshex

    toshex
    Unstoppable

    3,993
    3,976
    18 Септември 2013
    Машко
    Така викаат дека ќе биде.
     
  19. dimsa

    dimsa
    Gaining Experience

    252
    277
    9 Јануари 2015
    Ако има оперативниот нативен пристап (drive letter) тогаш ќе го најде срањево.
    Moжеш да пробаш да го автоматизираш да го мапира дискот пред да почне да прави бекап па на крај да го одмапира.
     
    На gokica му/ѝ се допаѓа ова.
  20. DrMTR

    DrMTR
    Guru

    6,223
    6,350
    27 Март 2014
    Дискoт не е мaпирaн. Му пристaпувaм преку сaмбa \\192.168.31.1
     
    На gokica му/ѝ се допаѓа ова.
  21. dimsa

    dimsa
    Gaining Experience

    252
    277
    9 Јануари 2015
    Па доколку при пристапување внесуваш посебен усер/пас тогаш нема да може да пристапи криптолокерот зошто по дифолт пристапува со корисничките креденшали со кои хара.
     
    На gokica му/ѝ се допаѓа ова.
  22. Sukhoi

    Sukhoi
    Practice makes perfect

    1,691
    1,140
    16 Јуни 2010
    Машко
    Читам дека повеќето од Ransomware, не ги енкриптираат сите фајлови, туку само оние со попознати наставки exe,mp3,mp4 итн. Што мислите ако важните работи ги енкриптирам со 7z(наместо true crypt, или цели партиции) и после наставката од 7z ја сменам во youcantopenthis, дали рансомот ке го енкриптира фајлот(пошто во суштина е 7z фајл), или ке го пројде?
     
    На gokica му/ѝ се допаѓа ова.
  23. smole

    smole
    Unstoppable

    2,953
    3,292
    18 Април 2007
    Помага ако атачментите се отвараат од не admin user или нема везе?
     
  24. Vampo

    Vampo
    Gaining Experience

    347
    233
    24 oктомври 2010
    Машко
    Ај малце нубско прашање, дали постои Рансомвер за Мекинтош, и дали Касперски Интернет Секјурити е доволен за заштита од рансомвер
     
  25. bxxxn

    bxxxn
    Practice makes perfect

    993
    1,129
    11 Март 2011
    gokica, Oktar и на Vampo им се допаѓа ова.

Сподели

Вчитување...