Защита от най-опасния криптовирус - Ransomware
Ransomware защита!
Здравейте скъпки приятели, казвам се Ростислав Петров, както повечето от вас вече знаят, преподавател съм по информационна сигурност и етичен хакер по професия. Относно зачестилите атаки от страна на един от най опсаните криптовируси в света, реших да пусна една кратка тема относно това как работи криптовируса Ransomware, как се разпространява и най-важното нещо, как да се защитите от зараза с този коварен криптовирус.
Зараждане на Ransomware
Първият известен Ransomware е "AIDS - СПИН" известен също като "PC Cyborg", написан през 1989 г. от Джозеф Поп. Неговия payload скрива файловете на твърдия диск и криптирана имената им, като се показва съобщение, което твърди, че лиценза на софтуера, използващ се от потребителя е изтекъл. Потребителят е помолен да плати $180 на "PC Cyborg Corporation", за да получи инструмент за поправяне на файловете. Поп е обявен за психически негоден да бъде изправен пред съда за действията си, и е обещал да дари печалбата от зловредният софтуер за финансиране на изследвания за СПИН.
Идеята?
Идеята за използване на криптография с публични ключове за такива атаки е въведена през 1996 г. от Адам Л. Йанг и Моти Юнг. Ианг и Юнг ни показат, че AIDS троянеца, който е първия криптовирус в света е бил неефективн поради използването на симетрична криптография, което значи, че ключът за декриптиране може да бъде извлечен от собственият код на троянецът, и реализира експериментален криптовирус, който доказва концепцията на Macintosh SE/30, като използва RSA и Tiny Encryption Algorithm (TEA) за хибридно криптиране на данните на жертвата.
Тъй като се използва публичен крипто ключ, криптовируса съдържа само ключ за криптиране, а нападателят държи съответния ключ за декриптиране при него.
В оригиналния екперимент на Йанг и Юнг, те създават криптовирус, при който жертвата изпраща асиметричен ciphertext на нападателя, който го дешифрира и връща симетричен декриптиран ключ, който пък съдържа информация в която жертвата трябва да заплати съответната такса.
В експеримента на Йонг и Юнг те предполагат, че жертвите могат да бъдат изнудвани чрез криптиране, както и, че файловете на жертвите няма да бъдат оключени, докато не бъде получен откуп.
Така се заражда криптовируса Ransomware, който е част от по-голям клас на атаки наречени Cryptovirology Attacks.
Какво е Ransomware и как изглежда в сегашния си вид?
Ransomware е зловреден софтуер за отвличане на данни, това е експлойт, при който нападателят криптира данните на жертвата и изисква плащане, като в замяна изпраща ключ за декриптиране.
Откъде идва Ransomware?
Ransomware се разпространява чрез електронна поща, заразени програми и компрометирани сайтове. Ransomware е зловреден софтуер, който може също така да се нарече cryptovirus, cryptotrojan или cryptoworm.
Как да разпознаем Ransomware?
Очевидно е когато вашето устройство е заразено с Ransomware, тъй като файловете ви са променили имената си или са придобили странен вид със странно изглеждащи разширения и съответно нямате достъп до тях – не се отварят.
Как да се защитим от Ransomware?
Преди всичко Ransomware е много страшен криптовирус - криптираните файлове могат да се считат за увредени непоправимо. Ако сте добре подготвени и вашата система е добре защитена, може да сведете риска от заразяване до минимум.
Ето няколко съвета от мен, които ще ви помогнат да се предпазите от Ransomware:
- Създайте резервно копие на данните си!
Най-сигурното нещо, което ще ви защити от Ransomware е да създадете бекъп на данните си и да го ъпдейтвате периодично.
- Показване на скритите файлови разширения!
Един от начините, по които Ransomware често пристига е във файл, който е кръстен с разширение "FILE.PDF.EXE", разчитайки на поведението на Windows, който по подразбиране крие файловите разширения. Ако активирате възможността да виждате пълните файлови разширения, може по-лесно да видите подозрителните файлове.
- Филтрирайте .EXE файловете в електронната си поща!
Ако вашият мейл скенер има способността да филтрира файлове с различни разширения, може да го настроите да отхвърля съобщения, с файлови разширения ".exe", или да отхвърля съобщения съдържащи файлове, които имат две файлови разширения, последното от които е изпълнимо ("*. * .exe "файлове). Ако все пак имате нужда да обменяте изпълними файлове чрез електронната си поща с разширение ".exe", можете да го направите чрез ZIP или RAR архиви защитени с парола, разбира се, или чрез облачни услуги като DropBox.
- Изключете файлове стартиращи се от AppData и LocalAppData папките!
Можете да създавате правила в Windows или в Intrusion Prevention софтуера за да забраните поведението, използвано от Ransomware, което е да стартира себе си в App Data или Local App Data папките. Ако по някаква причина имате законен софтуер, който знаете че е настроен да работи в тези папки, ще трябва да изключите това правило.
- Изключване макросите в Microsoft Office файловете!
Повечето хора не знаят, че Microsoft Office файловете са като файлова система във файловата система – операционната система, която включва възможността да използва мощен скриптов език за автоматизиране на почти всяко действие. С блокирането на макросите в Office файловете, деактивирате използването на този скриптов език.
- Изключете RDP – Remote Desktop Protocol!
Зловредния Ransomware софтуер често има достъп до целеви машини, използващи Remote Desktop Protocol - RDP, това е помощна програма на Windows, която позволява на други хора да получат достъп до вашия работен плот от разстояние. Ако не използвате RDP и нямате нужда от него е добре да го изключите за защитите вашата машина от Filecoder и други RDP експлойти.
- Пачвайте и актуализирайте редовно вашата система!
Авторите на зловреден софтуер често разчитат на хората, работещи с остарял софтуер с известни уязвимости, които те могат да използват, за да получат достъп до системата ви. Ако актуализирате софтуера си редовно можете значително да намалите риска от заразяване с Ransomware. Активирайте автоматичните актуализации, ако можете, или отидете директно в уебсайта на производителя на софтуера, тъй като авторите на злонамереният код искат да прикрият своите творения, под формата на актуализации за даден софтуер.
- Винаги използвайте оригинални защитни приложения!
Винаги е добра идея да имате два anti-malware и софтуерен firewall, които ще ви помогнат да определите заплахи или подозрително поведение във вашата система. Malware авторите често използват нови варианти на зловредните си кодове, за да избегнат откриването им от системите за сигурност, така че е важно да имате две нива на защита.
Ако се окажете в позиция, където вече сте стартирали Ransomware файл, без да е извършено някое от предишните предпазни мерки, вашите възможности стават доста по-ограничени. Но не всичко може да бъде загубено. Има още няколко неща, които можете да направите и които биха могли да спомогнат за намаляване на вредите.
- Излючете Wi-FI или изключете компютъра от мрежата НЕЗАБАВНО!
Ако пуснете файл, който подозирате, че може да бъде Ransomware, но все още не сте видели характеристиката на Ransomware екрана, ако действате много бързо може да спрете комуникацията на криптолокера със сървъра C & C, преди да завърши криптирането на вашите файлове. Ако се изключите от мрежата веднага, може да смекчите щетите. Кодирането отнема известно време, докато криптира всичките ви файлове, така че може да сте в състояние да го спрете, преди да ги изгубите завинаги. Тази техника е определено не съвсем проста, и може да нямате достатъчно късмет и да не сте толкова бързи, колкото е криптолокера, но изключване от мрежата може да бъде по-добре, отколкото да не направите нищо.
- Използвайте System Restore за да се опитате да върнете състемата си в по ранен вид!
Ако имате System Restore поддръжка на вашата Windows машина, може да възстановите вашата система до момент в който не е била заразена. Но, отново ще трябва да сте по -интелигентни от зловредния софтуер. По-новите версии на Ransomware могат да изтриват файловете от System Restore, което означава, че тези файлове няма да ги има, когато се опитате да върнете вашата система. Криптолокер-а ще започне процес на заличаване, всеки път, когато се стартира изпълним файл, така че ще трябва да помислите много бързо с кои изпълними може да започне като част от автоматизирания процес. Така да се каже, изпълнимите файлове могат да бъдат експлоатирани без да знаете, като нормална част от работата на вашата Windows системата.
- Върнете часовника на биоса назад!
Криптолокер-а има таймер за плащане, който по принцип се настройва за до 72 часа, след което цената на вашия ключ за декриптиране се покачва значително. (Давам този съвет, защото цената може да варира като Bitcoin, който има доста променлива стойност). Можете да "победите часовника" до известна степен, чрез връщане на BIOS часовника назад, преди прозореца за 72 часа да изтече. Давам този съвет, защото това действие може да ви предпази от това да платите по-висока цена (ако решите да плащате). Също така препоръчвам, да не плащате откупа. Престъпниците могат да ви дадат ключа за данните, но в повечето случаи, ключът за декриптиране никога не пристига, или може неуспешно да декриптира данните ви. Плюс това, тя насърчава престъпно поведение! Откупа не е законна бизнес практика и авторите на зловредния код не са длъжни да направят това, което са ви обещали, те могат да вземат парите си и да не ви дадат нищо в замяна.
Като превантивна мярка ЗАДЪЛЖИТЕЛНО всеки, трябва да изпълни стъпките описани по-горе за да не изгуби най-ценната си информация в компютъра! Хора, които не знаят как да изпълнят стъпките нека се свържат с нас, ще помогнем на всеки да се защити! Не подценявайте Ransomware!