Ransomware - како да се заштитите

Прелистувајќи на форумов наидов на низа теми кои се поврзани со оваа проблематика:

http://forum.it.com.mk/threads/nov-virus-locky-ransom.56922/
http://forum.it.com.mk/threads/vrakjanje-na-fajlovi-kriptirani-so-filecoder-em-virus.50472/
http://forum.it.com.mk/threads/virus.50212/
и низа други.

Најопсежна со сознанија и методи на заштита е темата отворена од членот @FLEGMA кој на неколку наврати заедно со низа други членови опишува многу корисни методи:

http://forum.it.com.mk/threads/crypto-locker-prevencija.37049/

Но бидејќи форумот е посетен и од лица кои не се запознати со стручна терминологија од оваа област или немаат време да се посветат на поопсежно читање и анализа решив да направам еден сублимат користејќи ги советите од искусните членови на ИТ.КОМ.МК. Следат совети за домашни корисници.



Ransomware или вирус кој го уценува корисникот жртва да направи нешто кое го бара напаѓачот односно креаторот или дистрибутерот на вирусот. Најчести примери се плаќање на извесна сума на пари или пополнување на анкети.

Беше актуелен во 2013 година но деновиве се актуелизира повторно.

За разлика од многу други закани Ransomware е специфичен и многу опасен од следните две причини:

- може заразениот компјутер да го направи тотално бескорисен со тоа што ги кодира сите или најкорисните фајлови и ги претвара во неупотребливи се додека не се внесе шифра за да се откодираат.
- може да се инфицираме и од најпосетувани веб страни на светот без да знаеме и без ништо да кликнеме на нив.

Многу тешко се детектира од страна на антивирус програми.

Како е најлесно да се заштитиме:

1. Зачувување на копија од податоците на друга локација

Најдобар метод на заштита е да се има копија од сите фајлови кои ни се значајни во компјутерот на друга локација вон компјутерот. На пример екстерен хард или SSD диск, УСБ стик, на интернет локација (клауд) и слично.

Многу е значајно да се каже дека тој медиум на кој ќе ги складирате копиите од вашите најважни податоци не треба да биде во континуиран допир со компјутерот. Генерално тоа значи дека откако ќе направите копија го исклучувате медиумот односно не го оставате цело време конектиран зашто доколку се активира Rаnsomware ќе ги шифрира и тие фајлови.

Идеално е доколку имате копии на фајлови од различни датуми на различни локации. На пример оваа седмица ќе ги копирате на екстерен хард диск. Другата седмица ќе ги копирате на друг диск или на USB стик на пример. Бидејќи овој вирус може да се активира одредено време по инфицирање на компјутерот можно е последната копија на податоците да го има во себе. Затоа се препорачува барем две копии.

Копирањето може да го правите мануелно или да користите програма сервис која тоа ќе го прави за вас.

2. Користете лиценциран софтвер. При преземање и инсталација на пиратски софтвер секогаш постои можност за преземање на вируси. Покрај тоа лиценцираниот софтвер секогаш овозможува редовно ажурирање и закрпи од производителот со што истиот веднаш по појавата на ранливост може да креира надградба со што ќе се елиминира вратата која може да го пропушти вирусот.

3. Настојувајте секогаш сите значајни програми да бидат во својата последна верзија односно правете надградба и ажурирање на пример на Виндовс, Антивирусни програми, Java, Adobe Flash и сл.

4. Не стартувајте фајлови кои ви се препорачани од непознати сајтови на интернет. Секогаш ќе има неверојатни понуди кои ќе ви понудат многу поволности само доколку го инсталирате фајлот. Најчесто тие се мамка и кога ќе кликнете за инсталација ќе му дозволите на вирусот да навлезе во комјутер. Понатаму кога преземате филмови, музика и сл. никогаш не ги стартувајте доколку се со exe екстензија. Доколку сајтот ве натера да инсталирате некаков дополнителен софтвер (кодек и сл.) немојте веднаш да му верувате. Најверојатно е замка. И за крај избегнувајте посета на сомнителни сајтови.

5. Не верувајте на пораки по електронска пошта кои се со сомнителна содржина. ваквите пораки најчесто доаѓаат од непознат корисник кој не ви е во адресар и имаат содржина која може да биде лажно претставување од банка и дека имате нешто кое мора да го потврдите или верифицирате. Никогаш не споделувајте приватни податоци пред да се осигурете дека пораката е од сигурен исраќач. Понатаму има примери на лажни пораки како да се од брза пошта дека имате пратка, или како да се од осигурителни компании и сл. Никогаш не одговарајте на вакви пораки. Многу важно: напаѓачите може да дојдат со напад и до податоци од сервер па да добиете порака со името од пријател кој го познавате. ваквите пораки ќе ги препознаете по тоа што содржината е сомнителна односно пријателот ќе бара нешто што е невообичаено. Се разбира за ова Вашиот пријател не е запознат. Користете безбедни и општо прифатени провајдери на електронска пошта како и познат софтвер како Outlook и сл.

6. Не отворајте никакви фајлови добиени од сомнителна електронска пошта вклучително и PDF или Word документ. Не кликајте на линкови во елетронска пошта од сомнително потекло.

7. Користете антивирусна програма. Една од најчесто споменатите на нашиот форум е Hitman Pro. Во контекст на програмата може да се инсталира и Cryptoguard кој е неопходен за подобра заштита од Ransomware.

8. Исклучете autoplay опција доколку вашиот оперативен систем ја има. Ова е значајно доколку на Вашиот компјутер се прикачуваат УСБ стикови кои посетиле други компјутери претходно за кои не можеме да бидеме сигурни колку се безбедни.

Најпознати варијанти на овој вирус се:

• Trojan:Win32/Crilock.A
• Trojan-Ransom.Win32.Blocker.cgmz
• TROJ_RANSOM
• TROJ_CRILOCK
• Cryptolocker
• Trojan-Ransom.Win32.Foreign.acc
• Trojan.Ransom.FH
• Trojan:Win32/Ransom.GT

Мислам дека ова се општите напатствија за обични корисници. За повеќе информации може да се посетат линковите погоре кои појаснуваат многу потемелно и постручно за начините на заштита од можна инфекција на компјутерот од оваа закана.

 

Безбедно е со форматиран диск. Освен доколку сте враќале нешто од бекап на новоинсталираниот компјутер во кој е скриен вирусот (ако бил закачен пред да се направи бекап).

 

Многу интересно и едно од најновите четива:

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/

Понатаму:

https://community.spiceworks.com/topic/380323-ransomware-encrypted-network-drives
https://nakedsecurity.sophos.com/20...-learn-about-prevention-cleanup-and-recovery/

Мислам дека овој вирус е се пософистициран и неговите најнови варијанти се многу интелегентни. Отстрануваат шедоу копии кои се направени со Виндовс или други алатки но сепак мислам дека има слобода толку колку што има и акаунтот преку кој е активен.

Не можам да бидам сигурен но мислам дека исклучување од мрежа сепак е најбезбедно. Посебно ако преку тој или друг акаунт кој се користи виндовс му задава letter drive C, D, E итн. на екстерниот драјв. Понатаму од контролата која ја има друг акаунт врз овој и сл.