• Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Ransomware - како да се заштитите

gokica

Модератор
13 јуни 2009
8.883
11.628
gokica's setup  
Processor & Cooler
i7 2600K & Noctua NH-D14
Motherboard
ASUS P8Z68-V Pro GEN 3
Storage
Samsung 850 Pro 256GB
PSU
Cooler Master V850
RAM
16GB 1333Mhz Kingston Value
Video card
ASUS Strix RX570 OC
Case
HAF 932
Mouse
Logitech G502 Proteus Core
Keyboard
Logitech K800
Audio
ASUS Xonar ST
Monitor
Dell UP3216Q
OS
Windows 7, 8 & 10
Прелистувајќи на форумов наидов на низа теми кои се поврзани со оваа проблематика:

http://forum.it.com.mk/threads/nov-virus-locky-ransom.56922/
http://forum.it.com.mk/threads/vrakjanje-na-fajlovi-kriptirani-so-filecoder-em-virus.50472/
http://forum.it.com.mk/threads/virus.50212/
и низа други.

Најопсежна со сознанија и методи на заштита е темата отворена од членот @FLEGMA кој на неколку наврати заедно со низа други членови опишува многу корисни методи:

http://forum.it.com.mk/threads/crypto-locker-prevencija.37049/

Но бидејќи форумот е посетен и од лица кои не се запознати со стручна терминологија од оваа област или немаат време да се посветат на поопсежно читање и анализа решив да направам еден сублимат користејќи ги советите од искусните членови на ИТ.КОМ.МК. Следат совети за домашни корисници.

ctb-locker_critoni_onion_ransomware_screenshot-100389236-orig.gif

Ransomware или вирус кој го уценува корисникот жртва да направи нешто кое го бара напаѓачот односно креаторот или дистрибутерот на вирусот. Најчести примери се плаќање на извесна сума на пари или пополнување на анкети.

Беше актуелен во 2013 година но деновиве се актуелизира повторно.

За разлика од многу други закани Ransomware е специфичен и многу опасен од следните две причини:

- може заразениот компјутер да го направи тотално бескорисен со тоа што ги кодира сите или најкорисните фајлови и ги претвара во неупотребливи се додека не се внесе шифра за да се откодираат.
- може да се инфицираме и од најпосетувани веб страни на светот без да знаеме и без ништо да кликнеме на нив.

Многу тешко се детектира од страна на антивирус програми.

Како е најлесно да се заштитиме:

1. Зачувување на копија од податоците на друга локација

Најдобар метод на заштита е да се има копија од сите фајлови кои ни се значајни во компјутерот на друга локација вон компјутерот. На пример екстерен хард или SSD диск, УСБ стик, на интернет локација (клауд) и слично.

Многу е значајно да се каже дека тој медиум на кој ќе ги складирате копиите од вашите најважни податоци не треба да биде во континуиран допир со компјутерот. Генерално тоа значи дека откако ќе направите копија го исклучувате медиумот односно не го оставате цело време конектиран зашто доколку се активира Rаnsomware ќе ги шифрира и тие фајлови.

Идеално е доколку имате копии на фајлови од различни датуми на различни локации. На пример оваа седмица ќе ги копирате на екстерен хард диск. Другата седмица ќе ги копирате на друг диск или на USB стик на пример. Бидејќи овој вирус може да се активира одредено време по инфицирање на компјутерот можно е последната копија на податоците да го има во себе. Затоа се препорачува барем две копии.

Копирањето може да го правите мануелно или да користите програма сервис која тоа ќе го прави за вас.

2. Користете лиценциран софтвер. При преземање и инсталација на пиратски софтвер секогаш постои можност за преземање на вируси. Покрај тоа лиценцираниот софтвер секогаш овозможува редовно ажурирање и закрпи од производителот со што истиот веднаш по појавата на ранливост може да креира надградба со што ќе се елиминира вратата која може да го пропушти вирусот.

3. Настојувајте секогаш сите значајни програми да бидат во својата последна верзија односно правете надградба и ажурирање на пример на Виндовс, Антивирусни програми, Java, Adobe Flash и сл.

4. Не стартувајте фајлови кои ви се препорачани од непознати сајтови на интернет. Секогаш ќе има неверојатни понуди кои ќе ви понудат многу поволности само доколку го инсталирате фајлот. Најчесто тие се мамка и кога ќе кликнете за инсталација ќе му дозволите на вирусот да навлезе во комјутер. Понатаму кога преземате филмови, музика и сл. никогаш не ги стартувајте доколку се со exe екстензија. Доколку сајтот ве натера да инсталирате некаков дополнителен софтвер (кодек и сл.) немојте веднаш да му верувате. Најверојатно е замка. И за крај избегнувајте посета на сомнителни сајтови.

5. Не верувајте на пораки по електронска пошта кои се со сомнителна содржина. ваквите пораки најчесто доаѓаат од непознат корисник кој не ви е во адресар и имаат содржина која може да биде лажно претставување од банка и дека имате нешто кое мора да го потврдите или верифицирате. Никогаш не споделувајте приватни податоци пред да се осигурете дека пораката е од сигурен исраќач. Понатаму има примери на лажни пораки како да се од брза пошта дека имате пратка, или како да се од осигурителни компании и сл. Никогаш не одговарајте на вакви пораки. Многу важно: напаѓачите може да дојдат со напад и до податоци од сервер па да добиете порака со името од пријател кој го познавате. ваквите пораки ќе ги препознаете по тоа што содржината е сомнителна односно пријателот ќе бара нешто што е невообичаено. Се разбира за ова Вашиот пријател не е запознат. Користете безбедни и општо прифатени провајдери на електронска пошта како и познат софтвер како Outlook и сл.

6. Не отворајте никакви фајлови добиени од сомнителна електронска пошта вклучително и PDF или Word документ. Не кликајте на линкови во елетронска пошта од сомнително потекло.

7. Користете антивирусна програма. Една од најчесто споменатите на нашиот форум е Hitman Pro. Во контекст на програмата може да се инсталира и Cryptoguard кој е неопходен за подобра заштита од Ransomware.

8. Исклучете autoplay опција доколку вашиот оперативен систем ја има. Ова е значајно доколку на Вашиот компјутер се прикачуваат УСБ стикови кои посетиле други компјутери претходно за кои не можеме да бидеме сигурни колку се безбедни.

Најпознати варијанти на овој вирус се:
  • Trojan:Win32/Crilock.A
  • Trojan-Ransom.Win32.Blocker.cgmz
  • TROJ_RANSOM
  • TROJ_CRILOCK
  • Cryptolocker
  • Trojan-Ransom.Win32.Foreign.acc
  • Trojan.Ransom.FH
  • Trojan:Win32/Ransom.GT

Мислам дека ова се општите напатствија за обични корисници. За повеќе информации може да се посетат линковите погоре кои појаснуваат многу потемелно и постручно за начините на заштита од можна инфекција на компјутерот од оваа закана.
 

igor_igor

Unstoppable
2 септември 2012
2.253
3.809
Скопје
igor_igor's setup  
Processor & Cooler
Intel® Core™ i5-11400F + CM Hyper 212 EVO
Motherboard
Gigabyte B560M - DS3H V2
Storage
SSD Kingston NV1 500GB M.2 / HDD Seagate BarraCuda 2TB (ST2000DM008)
PSU
Cooler Master V750 GOLD V2
RAM
2 x 8GB (16GB) Kingston HyperX FURY RGB 3200MHz DDR4
Video card
Zotac RTX 3050 Twin Edge OC 8GB GDDR6
Case
SAMA Vision III
Mouse
A4 X5 MAX Bloody Gaming Esports Stone Black
Keyboard
X7 A4tech G800 MU
Monitor
AOC D2357Ph Led 3D
OS
Windows 10 Pro 64 bit
Нема зезанција со ова ѓубре, само превенција и ништо друго.
 

Software

Gaining Experience
15 август 2007
544
304
Software's setup  
Processor & Cooler
Intel i3 8100
Motherboard
Gigabyte B360M DS3H
Storage
Western Digital 1TB Blue
PSU
EVGA 450W BT 80+
RAM
8 GB Kingston HyperX 2400 Mhz
Video card
-
Case
Modecom Oberon 2F
Mouse
Genius
Audio
Trust 2.1
Monitor
Samsung P2270
OS
Windows 10 Pro 64bit
Вчера ми се јавува комшијата кој има дуќан ми бараше помош го инфицирал компјутерот со вирусот LockyCryptolocker.
Во целиот компјутер имаше само ворд ексел и пдф документи и сите беа заклучени. Само корел документите се отвараа.
После неколку часа обиди за да се спасат податоците се помири со фактот дека не може да се вратат.
На компјутерот имаше инсталирано антивирусна AVAST 2016 free. Вирусот го закачил барајќи нешто по некои странски форуми. Кога скенирав во Hitman Pro најде malware во C:/program/files/java

Го форматирав целиот хард диск и одновно ги креирав партициите. Дали е доволно ??
 
  • Ми се допаѓа
Реакции: tomi

nik0la_

Practice makes perfect
5 јануари 2012
715
1.355
nik0la_'s setup  
Processor & Cooler
AMD Ryzen™ 5 1600 Processor
Motherboard
Gigabyte AB530m-Gaming1
Storage
Force Series™ MP500 120GB M.2 SSD - Corsair & 500GB Western Digital HDD
PSU
EVGA 600 BQ, 80+ BRONZE 600W
RAM
16 GB 2x8 VENGEANCE® LPX DDR4 DRAM 2400MHz C14
Video card
Sapphire RX 580 Nitro+ 8GB
Case
ATX Midi Tower Case SAMA Vision III Gaming
Mouse
Bloody v7m
Keyboard
Sharkoon SKILLER MECH SGK3 mechanical RGB
Monitor
Philips 23" Full HD LED IPS
OS
Windows 10
Вчера ми се јавува комшијата кој има дуќан ми бараше помош го инфицирал компјутерот со вирусот LockyCryptolocker.
Во целиот компјутер имаше само ворд ексел и пдф документи и сите беа заклучени. Само корел документите се отвараа.
После неколку часа обиди за да се спасат податоците се помири со фактот дека не може да се вратат.
На компјутерот имаше инсталирано антивирусна AVAST 2016 free. Вирусот го закачил барајќи нешто по некои странски форуми. Кога скенирав во Hitman Pro најде malware во C:/program/files/java

Го форматирав целиот хард диск и одновно ги креирав партициите. Дали е доволно ??
Како на филмот од профилната, извади рам меморијата и стави ја во микробранова, да бидеш 100% сигурен.
 

gokica

Модератор
13 јуни 2009
8.883
11.628
gokica's setup  
Processor & Cooler
i7 2600K & Noctua NH-D14
Motherboard
ASUS P8Z68-V Pro GEN 3
Storage
Samsung 850 Pro 256GB
PSU
Cooler Master V850
RAM
16GB 1333Mhz Kingston Value
Video card
ASUS Strix RX570 OC
Case
HAF 932
Mouse
Logitech G502 Proteus Core
Keyboard
Logitech K800
Audio
ASUS Xonar ST
Monitor
Dell UP3216Q
OS
Windows 7, 8 & 10
Вчера ми се јавува комшијата кој има дуќан ми бараше помош го инфицирал компјутерот со вирусот LockyCryptolocker.
Во целиот компјутер имаше само ворд ексел и пдф документи и сите беа заклучени. Само корел документите се отвараа.
После неколку часа обиди за да се спасат податоците се помири со фактот дека не може да се вратат.
На компјутерот имаше инсталирано антивирусна AVAST 2016 free. Вирусот го закачил барајќи нешто по некои странски форуми. Кога скенирав во Hitman Pro најде malware во C:/program/files/java

Го форматирав целиот хард диск и одновно ги креирав партициите. Дали е доволно ??

Безбедно е со форматиран диск. Освен доколку сте враќале нешто од бекап на новоинсталираниот компјутер во кој е скриен вирусот (ако бил закачен пред да се направи бекап).
 

Software

Gaining Experience
15 август 2007
544
304
Software's setup  
Processor & Cooler
Intel i3 8100
Motherboard
Gigabyte B360M DS3H
Storage
Western Digital 1TB Blue
PSU
EVGA 450W BT 80+
RAM
8 GB Kingston HyperX 2400 Mhz
Video card
-
Case
Modecom Oberon 2F
Mouse
Genius
Audio
Trust 2.1
Monitor
Samsung P2270
OS
Windows 10 Pro 64bit
Најјакото во целата работа е што немал бекап а документите ептен важни. Да е некој што не се разбираа да го караш зошто нема бекап ама тој има дуќан за компјутери. :D
Плус вчера прочитав дека бил светски ден за бекап хахаххаа која иронија :D
 

tomi

Sensei Модератор
16 април 2007
9.839
3.677
Скопје
Бекап да ама да направиш на екстерен и да го извадиш од пц, ако го оставиш упален нон стоп да праи бекап големи се шансите дека и он ке се инфицира
 

DrMTR

Guru
27 март 2014
6.992
7.121
www.mikrotikmacedonia.net
Ме интересирa, имaм екстерен диск врзaн вo мрежa. Имaм сетирaнo пристaпoт дo дискoт дa биде преку aкaунт. Oвa претстaвувa некaквa зaштитa или дa гo исклучaм oд мрежa oвoј диск ?
 

gokica

Модератор
13 јуни 2009
8.883
11.628
gokica's setup  
Processor & Cooler
i7 2600K & Noctua NH-D14
Motherboard
ASUS P8Z68-V Pro GEN 3
Storage
Samsung 850 Pro 256GB
PSU
Cooler Master V850
RAM
16GB 1333Mhz Kingston Value
Video card
ASUS Strix RX570 OC
Case
HAF 932
Mouse
Logitech G502 Proteus Core
Keyboard
Logitech K800
Audio
ASUS Xonar ST
Monitor
Dell UP3216Q
OS
Windows 7, 8 & 10
Ме интересирa, имaм екстерен диск врзaн вo мрежa. Имaм сетирaнo пристaпoт дo дискoт дa биде преку aкaунт. Oвa претстaвувa некaквa зaштитa или дa гo исклучaм oд мрежa oвoј диск ?

Многу интересно и едно од најновите четива:

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/

Понатаму:

https://community.spiceworks.com/topic/380323-ransomware-encrypted-network-drives
https://nakedsecurity.sophos.com/20...-learn-about-prevention-cleanup-and-recovery/

Мислам дека овој вирус е се пософистициран и неговите најнови варијанти се многу интелегентни. Отстрануваат шедоу копии кои се направени со Виндовс или други алатки но сепак мислам дека има слобода толку колку што има и акаунтот преку кој е активен.

Не можам да бидам сигурен но мислам дека исклучување од мрежа сепак е најбезбедно. Посебно ако преку тој или друг акаунт кој се користи виндовс му задава letter drive C, D, E итн. на екстерниот драјв. Понатаму од контролата која ја има друг акаунт врз овој и сл.
 

hipo

Practice makes perfect
27 јануари 2011
1.761
1.619
sistrum.mk
На ској диск (простор за чување на податоци) на кој Windows има пристап SATA, USB, IP, Cloud ке бидат енкриптирани.
Сега има и мутација која покрај податоците ги енкриптира и MBR и MFT.
 

NecrotoX

Undead
4 март 2013
5.003
5.935
Скопје
www.youtube.com
NecrotoX's setup  
Processor & Cooler
AMD Ryzen 5 2600 @ 3.40GHz & Cooler Master MasterAir G100M
Motherboard
ASUS PRIME B450M-A
Storage
Samsung 970 EVO Plus 250 GB NVMe SSD | WD10EZEX 1TB 7200 RPM HDD | WD Blue 1TB 5400RPM External HDD
PSU
Cooler Master MWE 500
RAM
16GB Kingston HyperX FURY DDR4 @ 3200 MHz
Video card
GIGABYTE GeForce GTX 960 4GB Windforce x2 OC Edition
Case
Cooler Master MB520
Mouse
Genesis Xenon 210
Keyboard
Cooler Master CK530 Gateron Brown
Audio
Logitech Z333 2.1 Speakers | Genesis Gaming Argon 200 Black Headphones
Monitor
Dell U2518D 25" + Dell U2419H 24" + XP-Pen Artist 22 Pro
OS
Windows 11 Home
Според сите искуства што ги прочитав на жртвите, најчест начин на зараза е преку отварање на Office документи и овозможување на macros, или преку отварање на зипувани атачменти.
 

Lokvan

Unbeatable
12 јануари 2016
3.340
4.702
SK
Има и една добра работа од ransomware страњава, а тоа е дека присилно ги едуцираат широките народни маси за потребата од заштита. Што е добро и заради тоа што истиве помалку ќе замараат за „средување на компјутерот/лаптопот“. :D

Порано им беше едноставно, ако (кога) ќе се испозаразат дотолку да не можат да ја трпат спороста - ќе гњават некој да им ги среди компјутерите, или ќе го однесат во сервис. Е сега сето тоа со ransomware не е така едноставно.

Tуку јас би предложил и употреба на некој Линукс ОС. Поголемиот број на корисници воопшто и немаат специфична потреба од виндовс.


Најјакото во целата работа е што немал бекап а документите ептен важни. Да е некој што не се разбираа да го караш зошто нема бекап ама тој има дуќан за компјутери. :D
Ќе се научи сега, а ако не научи секако си заслужува се што ќе му се случи. ;)


Плус вчера прочитав дека бил светски ден за бекап хахаххаа која иронија :D
Хаха... :)
post-1762-0-55882000-1334461436.png
 

bxxxn

Practice makes perfect
11 март 2011
1.487
1.627
Моето искуство со Locky Ransomware.

Секој ден примаме по 4-5 е-маили од познати адреси со атачмент со .docm екстензија на приватен маил север. До сега се заразија неколку компјутери на работа. Двата се Windows 7 Professional x 64, со Eset Nod 32 апдејтиран на најнови дефиниции.

Всушност Nod 32 може да препознае Locky, пример ако вирусот се стави на десктоп и тука се скенира, но за жал Eset нема plug-in за понов Thunderbird и Locky ги зарази и целосно ги енкриптираше документите, сликите ...

Исто така фајл сервер, кој работи на Debian и на кој е потребен логин, беше делумно зафатен, т.е. ако се гледа по пермисиите кои ги имаа инфицираните корисници, може да се каже дека беа заразени сите фајлови за кои корисниците имаа пермисии.

Одлучивме да не ја играме нивната игра и ги форматиравме компјутерите.

Софистициран, малициозен вирус, за кој веројатно ќе има заштита скоро, но во моментот најдобро е мануелен бекап на екстерен диск, на кој ќе се најавите пред бекапот и ќе се одјавите потоа.
 

NecrotoX

Undead
4 март 2013
5.003
5.935
Скопје
www.youtube.com
NecrotoX's setup  
Processor & Cooler
AMD Ryzen 5 2600 @ 3.40GHz & Cooler Master MasterAir G100M
Motherboard
ASUS PRIME B450M-A
Storage
Samsung 970 EVO Plus 250 GB NVMe SSD | WD10EZEX 1TB 7200 RPM HDD | WD Blue 1TB 5400RPM External HDD
PSU
Cooler Master MWE 500
RAM
16GB Kingston HyperX FURY DDR4 @ 3200 MHz
Video card
GIGABYTE GeForce GTX 960 4GB Windforce x2 OC Edition
Case
Cooler Master MB520
Mouse
Genesis Xenon 210
Keyboard
Cooler Master CK530 Gateron Brown
Audio
Logitech Z333 2.1 Speakers | Genesis Gaming Argon 200 Black Headphones
Monitor
Dell U2518D 25" + Dell U2419H 24" + XP-Pen Artist 22 Pro
OS
Windows 11 Home

dimsa

Gaining Experience
9 јануари 2015
246
269
Ме интересирa, имaм екстерен диск врзaн вo мрежa. Имaм сетирaнo пристaпoт дo дискoт дa биде преку aкaунт. Oвa претстaвувa некaквa зaштитa или дa гo исклучaм oд мрежa oвoј диск ?
Ако има оперативниот нативен пристап (drive letter) тогаш ќе го најде срањево.
Moжеш да пробаш да го автоматизираш да го мапира дискот пред да почне да прави бекап па на крај да го одмапира.
 

dimsa

Gaining Experience
9 јануари 2015
246
269
Дискoт не е мaпирaн. Му пристaпувaм преку сaмбa \\192.168.31.1
Па доколку при пристапување внесуваш посебен усер/пас тогаш нема да може да пристапи криптолокерот зошто по дифолт пристапува со корисничките креденшали со кои хара.
 
S

Sukhoi

Гостин
Читам дека повеќето од Ransomware, не ги енкриптираат сите фајлови, туку само оние со попознати наставки exe,mp3,mp4 итн. Што мислите ако важните работи ги енкриптирам со 7z(наместо true crypt, или цели партиции) и после наставката од 7z ја сменам во youcantopenthis, дали рансомот ке го енкриптира фајлот(пошто во суштина е 7z фајл), или ке го пројде?
 

smole

Unbeatable
18 април 2007
3.681
4.307
Помага ако атачментите се отвараат од не admin user или нема везе?
 

Vampo

Gaining Experience
24 октомври 2010
366
256
Ај малце нубско прашање, дали постои Рансомвер за Мекинтош, и дали Касперски Интернет Секјурити е доволен за заштита од рансомвер
 

bxxxn

Practice makes perfect
11 март 2011
1.487
1.627

Нови мислења

Последни Теми

Статистика

Теми
43.163
Мислења
894.913
Членови
31.879
Огласи
341
Најнов член
Дарко Булдиоски
На врв Дно