Ransomware kao oblik malicioznog softvera

Svedoci smo toga da ransomware kao oblik malicioznog softvera u poslednje vreme uzima ozbiljan zalet. Iz dana u dan, korisnici mahom otvaraju teme i traže rešenje upravo za ransomware. Da bi podigli svest o ovom obliku malvera, potrebno je da se upoznamo sa njegovim osobinama, metodama infiltriranja, preventivom i potencijalnim uklanjanjem.







Šta je ransomware?

Ransomware je zlonamerni tip programa koji zaključava računar, tablet ili pametni telefon – ili enkriptuje fajlove i zatim zahteva otkup za njihovo bezbedno vraćanje. Postoje u suštini dva tipa ransomware-a:

1. Kriptori; koji enkriptuju fajlove i tako ih čine nedostupnim. Za dekripciju fajlova potreban je ključ korišćen prilikom enkripcije – plaća se otkup.

2. Blokeri; oni jednostavno blokiraju računar ili drugi uređaj, čineći ga neupotrebljivim. Blokeri zapravo predstavljaju bolji scenario od kriptora; žrtva ima veće šanse za oporavak blokiranog pristupa nego kod enkriptovanih fajlova.



Kako ransomware završi na računaru?

Najčešće putem e-maila. Ransomware se može predstaviti kao koristan ili važan attachment (hitna faktura, zanimljiv članak ili besplatna aplikacija). Kada otvorite prilog, vaš računar se zarazi. Međutim, ransomware se može infiltrirati u vaš sistem i dok samo surfujete po internetu. Da bi preuzeli kontrolu nad vašim sistemom, iznuđivači koriste slabosti operativnog sistema, browsera ili aplikacija. Zato je od presudnog značaja da vaš softver i operativni sistem budu uvek ažurirani. Neki ransomware programi mogu se samostalno širiti kroz lokalne mreže. Na primer, ako Trojanac inficira jednu mašinu ili uređaj u vašoj kućnoj ili korporativnoj mreži, postoji opasnost i da se drugi korisnici zaraze. Naravno, postoje scenariji infekcije koji su predvidljiviji. Skinete torent, zatim instalirate plugin i tako sve počinje...



Koje vrste fajlova su najopasnije?

Najsumnjiviji fajlovi su izvršni (poput .exe ili .scr), a ne zaostaju puno ni Visual Basic ili Java skripte (.vbs i .js ekstenzije). Oni su vrlo često upakovani u ZIP ili RAR arhive, kako bi sakrili svoju zlonamernu prirodu. Još jedna opasna kategorija fajlova su MS Office datoteke (DOC, DOCX, XLS, XLSX, PPT i tako dalje). One mogu da sadrže ranjive makroe; ako se traži da omogućite makroe u Word dokumentu, razmislite dvaput pre nego što to uradite. Budite oprezni i kod fajlova sa prečicama (.LNK ekstenzija). Windows može da ih predstavi kao bilo koju ikonu koja, u kombinaciji sa nevinim nazivom fajla, može da vas namami u nevolju. Važna napomena: Windows otvara fajlove sa poznatim ekstenzijama bez pitanja korisnika, a podrazumevano skriva ove ekstenzije u Windows Exploreru. Dakle, ako vidite fajl sa nazivom poput Important_info.txt, to bi zapravo mogao biti Important_info.txt.exe, fajl koji instalira malware. Podesite Windows da prikazuje ekstenzije kako biste bili bezbedniji.



Mogu li da izbegnem infekciju ako se držim dalje od sumnjivih web sajtova ili attachmenta?

Na žalost, čak i oprezni korisnici mogu da budu inficirani ransomware-om. Na primer, moguće je da zarazite svoj računar dok čitate vesti na velikom, uglednom medijskom web sajtu. Naravno, sam web sajt neće distribuirati malware posetiocima – osim ako je hakovan, što je druga priča. Umesto toga, mreže oglašivača napadnute od strane sajber kriminalaca služe kao distributeri, jer njihova nezakrpljena ranjivost može dozvoliti učitavanje malware-a. I da ponovimo još jednom, redovno ažurirani softver i potpuna nadogradnja (zakrpe) operativnog sistema su ključni.



Kako prepoznati infekciju ransomware-om?

Ransomware nije suptilan. Sam će se najaviti, na primer ovako:





Kako ukloniti ransomware?

Ako vidite da vam je računar blokiran – neće da učita operativni sistem – upotrebite Kaspersky Windows Unlocker, besplatan program koji može da ukloni bloker i pokrene Windows. Kriptori su već tvrđi orah. Prvo bi trebalo da se otarasite malware-a tako što ćete pokrenuti antivirus skeniranje. Ako nemate odgovarajući antivirus na računaru, možete preuzeti neku od trial verzija kvalitetnijih antivirusnih rešenja za potrebe dezinfekcije. Sledeći korak je da vratite nazad svoje fajlove. Ako imate backup vaših fajlova, možete jednostavno da povratite datoteke iz rezervne kopije. To je definitivno najbolji mogući potez. Ako niste napravili backup, možete pokušati da dekriptujete fajlove koristeći specijalne programe koji se nazivaju dekriptori. Mnoge antivirusne kompanije razvijaju dekriptore. Jedna stvar: budite sigurni da downloadujete ove programe sa pouzdanih veb sajtova; inače preuzimate veliki rizik od inficiranja nekim drugim malware-om. Ako ne možete da pronađete pravi dekriptor, ostaje vam da platite otkup ili da se pozdravite sa svojim fajlovima. Ne preporučujemo vam plaćanje otkupa.



Cryptolocker – najopasniji ransomware
Ransomware nije bio globalno raširen sve do pojave Cryptolocker-a koji je zarazio na stotine hiljada računara širom sveta. Postoji više tipova ransomware malvera koji se razlikuju metodama zastrašivanja ili kontaminacije računara ali je Cryptolocker jedan od najopasnijih ikada. Ovaj podmukli malver koji vam na sistem može upasti najčešće uz pomoć fišing mejla i kontaminiranih linkova ili priloga u tom mejlu koje vam šalju bot mreže (profesionalne, koje imaju više od 100.000 zaraženih računara pod svojom komandom) i posle njega nema oporavka. Cryptolocker izvodi šifrovanje metodom dva RSA ključa, javnog i privatnog (za otključavanje mora da postoje oba ključa), s tim što privatni ključ pošalje nekom udaljenom serveru. Čisto da znate, ako platite, plaćate za taj privatni ključ, ako vam ga i daju uopšte. Koliko je opasan ovaj malver govori i to da je do sad Cryptolocker uspeo da iznudi oko 10 miliona dolara od običnih korisnika i kompanija.






Plaćanje otkupa?

Za početak, ne postoji garancija da ćete dobiti svoje fajlove. Ne možete verovati iznuđivačima. Jedan primer nepouzdanih lopova su autori Ranscam-a, ransomware-a koji se čak nije ni bavio šifrovanjem, već je jednostavno brisao fajlove (iako su, naravno, obećavali dekripciju u zamenu za novac). Trebalo bi da imate u vidu da plaćanje otkupa ne obezbeđuje sigurno i pouzdano vraćanje fajlova. Većina ransomware programa koristi otporne kripto algoritme, što znači da bi bez ključa za enkripciju njihovo dekriptovanje moglo potrajati godinama.



Mogu li da dekriptujem enkriptovane fajlove bez plaćanja otkupa?

Ponekad kriminalci koji stoje iza ransomware napada čine greške, omogućavajući predstavnicima zakona da oduzmu napadačke servere koji sadrže ključeve za enkripciju. Kada se to dogodi, dobri momci su u mogućnosti da razviju dekriptor. Ransomware programeri brzo reaguju kada se pojavi novi dekriptor i na taj potez odgovaraju modifikacijom svog malware-a kako bi ga učinili otpornim. To je igra mačke i miša. Na žalost, dekriptori ne dolaze sa garancijama.



Ako primetim zlonamerni proces, da li postoji nešto što mogu da uradim da bih zaustavio infekciju ransomware-om?

Teoretski, ako ga uočite na vreme, možete da isključite računar, izvadite hard disk, ubacite ga u drugi kompjuter i upotrebite njegov antivirus za dezinfekciju. Međutim, u stvarnom životu je teško ili čak nemoguće da korisnik otkrije infekciju; ransomware radi tiho sve do velikog otkrića: poruke o otkupu.



Da li je antivirus dovoljan da se izbegne infekcija?

Da, u većini slučajeva. Antivirusno rešenje koje koristite ipak znači. Ipak, nijedan antivirus nije 100% efikasan. U mnogim slučajevima automatska detekcija zavisi od toga koliko je malware nov. Ako njegovi potpisi nisu dodati u bazu podataka antivirusa, Trojanac može biti otkriven analizom ponašanja. Ako pokušava da nanese štetu, odmah se blokira.



Ako redovno pravim backup svojih fajlova, da li sam bezbedan?

Pravljenje rezervne kopije fajlova je, bez sumnje, od velike pomoći, ali to nije 100% garancija. Evo jednog slučaja: podesili ste automatski backup na računaru na svaka tri dana. Kriptor se infiltrira u sistem, enkriptuje sve dokumente, fotografije, i tako dalje – ne shvatite ozbiljnost situacije. I tako kada proverite nedelju dana kasnije, rezervne kopije su takođe enkriptovane. Backup je od vitalnog značaja, ali vaša odbrana mora da ide još dalje. Preporuka je da se backup kopija skladišti barem na dve različite lokacije.



Da li postoje neka podešavanja koja mogu da prilagodim da bih pojačao odbranu?



1. Onemogućiti izvršavanje skripti u browserima;

2. Podesiti vidljivim ekstenzije u Windows Exploreru;

3. Podesiti Notepad kao podrazumevanu aplikaciju za VBS i JS fajlove;



Anti-ransomware alati?


Ogroman broj alata je u ponudi, deskriptera takođe, ali ono što nije ohrabrujuće jeste činjenica da nijedan od njih ne pruža garanciju da će fajlovi biti deskriptovani i sačuvani. Neka od kvalitetnijih rešenja su:

Kaspersky Anti-Ransomware Tool
https://www.kaspersky.com/anti-ransomware-tool

Trend Micro Ransom Buster
https://ransombuster.trendmicro.com/

Malwarebytes Anti-Ransomware Beta
https://www.bleepingcomputer.c.../malwarebytes-anti-ransomware/

---

Vreme je bilo za ovakvu temu, podrzavam!

Nažalost, zbog nedostatka vremena nisam uspeo da napišem u obimu kojem sam planirao ali tu ste vi stalni članovi da dopunite sadržaj, kao i da aktivno diskutujemo na temu.

---

Fin tekst. Jedna mala ispravka:

Nisu ti makroi ranjivi nego maliciozni/zlonamerni :)

---

"1. Onemogućiti izvršavanje skripti u browserima;"

Mislim da je ovo dobro resenje, ali nazalost, danas sajtovi uopste
nece da rade bez omogucenih skripti :(

"3. Podesiti Notepad kao podrazumevanu aplikaciju za VBS i JS fajlove;"

Jos jedna stvar: ne otvarati mail-ove sa non text atacment fajlovima.
Ako treba binarni fajl da se prenese, bolje uputiti korisnika
da okaci na cloud i da u mail-u samo postavi link.

Jos bolje, nikada ne pokretati attachment sa dvoklikom, nego save na disk, pa onda execute, to je jako dobra praksa.

- Ne koristiti Windows Explorer, nego Total Commander (tu se uvek vidi ekstenzija i velicina fajla)

- Obavezni addoni za Firefox:
NoScript
uBlock Origin
Ghostery

E sad, imam jedno pitanje: da li ima smisla čitati mailove i skidati/čitati attachmente u Web Browseru pokrenutom pod nekim Sandboxom? Da li ransomware (ili bilo koji maliciozn softver) može da zaobiđe ograničenja koja nameće Sandbox softver?

Ne "neki sandboks" vec Sandboxie - sandboksovan program radi na kopijama fajlova i registry, i sve se moze potpuno obrisati. Pravi sam malware pokretao njime, mada uvek postoji opasnost da malware probije sandboks.

Ili drugacije - to jeste zastita, ali kao sve, nije stopostotna. Malver moze da prepozna sandboks i pritaji se, kao i da prepozna linux wine npr. pa da haker remote rucno hakuje sandboks ili vm ili linux, mala je verovatnoca ali se ne sme iskljuciti.

Lapsus, hvala za ispravku.





Ništa nije 100% sigurno, ali ti ideja ide definitivno u odličnom pravcu. Neki oblik izolovanog okruženja koje ne ostavlja uticaj na primarno okruženje je najpoželjnije rešenje za malvere generalno. Mnoge teške oblike malvera sam puštao u virtuelnu mašinu koja je takođe odlična za ovakve stvari i uverio se u razarajuća dejstva, mana svega toga je što je to daleko od nivoa znanja prosečnog korisnika računara i teško je primeniti u širem obimu. Da rezimiramo, sandbox je odlična stvar ali virtuelna mašina je daleko sigurnija opcija.

---

Da, ako virtualnu mašinu koristiš izolovano od host sistema Ja najčešće šerujem neke foldere sa host sistema, da ne bih morao da dokumente, programe i uputstva prebacujem sa host sistema na virtuelnu mašinu putem fleške ili clouda. A kad jednom šerujem folder(e), ili zaboravim ili me mrzi da ih odšerujem... I tu je otvoren prolaz za malver.

Mada, meni VM najčešće služi za pravljenje tutorijala za verziju Windowsa (ili onog drugog operativnog sistema) koju nemam instaliranu, dakle za snimanje video klipova ili screenshotova. Retko koristim VM ta testiranje bezbednosti. Jednostavno, nije mi to blisko realnoj situaciji.

Muka sa Sandbox rešenjma (a Sandboxie je samo jedno od njih) je što mogu da izoluju program ili Web Browser od ostatka sistema, ali se fajlovi preuzeti iz e-maila realno upisuju na hard disk i odatle ih je moguće otvoriti (dokumente sa malicioznim makroom) ili pokrenuti (arhive, izvršni fajlovi ili skripte) programom koji nije pokrenut pod sandbox privilegijama. Šta to znači? Otvorimo Web Browser u Sandboxie okruženju, odemo na sajt Web Mail provajdera, skinemo attached PDF koji je došao sa ransomware-om u sebi, sačuvamo ga na disku, i otvorimo ga Adobe Readerom ili Foxit Readerom koji nisu u Sandboxie okruženju! I eto belaja! A svaki program pokretati u bezbednom Sandboxie okruženju prilično je dosadno, Web Browser se, recimo, ne loguje automatski na Web Mail nego traži da upišeš mail, pa Password, pa ako imaš tri-četiri naloga, dosadi toliko kuckanje i batališ Sandboxie nadajući se da neće baš tebe da strefi malver...

<sub>[Ovu poruku je menjao SlobaBgd dana 08.03.2020. u 18:18 GMT+1]

[Ovu poruku je menjao SlobaBgd dana 08.03.2020. u 18:19 GMT+1]</sub>

Google email hosting...

Ni jedan jedini malware mail nije stigao u inbox, godinama.

Jedno vreme su se pojavljivali, ali u spam folderu, nikada u inbox, a u poslednje dve do tri godine ni u spam. Jednostavno ih nema.

U jednoj firmi oko 100 sandučića, u drugoj oko 20, nikada ništa.

Sa druge strane, treća firma hostuje mailove kod Loopie, svaki božiji dan po par malware mailova, ko da nemaju nikakvu av zaštitu.

Dakle, kod preventive od ransomwarea je jako bitno izbor email hostinga, jer je to najčešći vektor napada.

Ja lično za svoj domen hostujem mailove kod Yandexa ista priča, ni jedan malware mail do sad, ali sam ja mali kao uzorak.

---

I ja imam slično iskustvo, doduše kod rezidencijalnih a ne biznis korisnika...
Ovi što koriste mail hosting koji dobijaju od provajdera interneta (mts, pttNET...) malo malo pa zakače neki malver, makar onaj što šalje mailove svima sa spiska. I to onda dovede do banovanja pošiljaoca od strane primaoca, i sličnih problema...

Meni jedino Gmail i radi kako treba. Zahvaljujuci drugim mailovima na na primer outlooku, zbog "pametnog filtriranja spama" sam ostao bez gomile poslova jer su ponude zavrsile u trashu. Ne spamu, trashu.

---

Ni na Gmx-u nemam malware-a. Sad, da l' zato sto ne dolazi ili zato sto ga filtrira, ne znam :)
Nisam imao ni izgubljenih mail-ova.

---

Jesi li koristio Sandboxie? Sandboksovan program, ili Explorer ili Browser, moze da pokrene program samo unutar sandboksa. Dakle, ako je sandboksovan browser definitivno ne moze neki exe downloadovan da se pokrene van sandboksa, a iz njega, jer ti ces i taj PDF da snimis unutar sandboksa, i da pokrenes sumatrapdf ili stogod unutar sandboksa. E tek ako pokrenes windows file explorer i prekopiras iz sendboksa na disk recimo C, dobijas mogucnost da pokrenes taj pdf readerom koji nije sendboksovan. Dakle, unutar diska C imas folder C:\Sandbox koji je za te prvremene fajlove.

Mnogi sada koriste Gmail, ili slicni webmail, koji sam ima antivirus. Mala je verovatnoca da se dobije malver tako. Jedino ako neko ima svoj domen i svoj mail server koji nije podesen (recimo [email protected]) ali koj djavo onda imati server koji nije podesen sa antivirusom?

Sada sam pokrenuo Chrome u Sandboxie okruženju, skinuo sa Google Maila arhivu (koju sam ja poslao mušteriji, i koju Google nije mogao da skenira (!?), i dobio sam izbor da "recover" tu arhivu u default folder (C:\Users\Sloba\Downloads) ili u NEKI DRUGI folder, koji ja izaberem. Dakle, ni Google ni Sandboxie ne znaju da li je u arhivi nešto maliciozno, i Google mi je dopustio da uploadujem, a kasnije i downloadujem arhivu, a Sanboxie mi dopušta da arhivu sačuvam GDE JA HOĆU. U folderu C:\Sandbox samo se izvršavaju programi pokrenuti pod Sandboxie privilegijama, bar po defaultu. Tek ako cancel-ujem dijalog box, arhiva se čuva u Sandbox folderu. To sam ilustrovao screenshotovima na kraju poruke.

E sad, ako downloadovanu arhivu otvorim recimo 7zip-om iz sandboxsovanog Chroma ("open file" iz status bara Chroma), i 7zip se otvara u Sandboxie rimu. Međutim, ako isključim sanboxsovan Chrome, arhivu U SANDBOX FOLDERU mogu da otvorim bez sandboxsovanih privilegija.

Samo uz veliku pažnju i poznavanje materije može se izbeći zamka nebezbednog pokretanja nebezbednog fajla u navodno bezbednom okruženju. Ko ima toliku pažnju i ko toliko poznaje materiju, neće mu ni trebati Sanboxie.

Potvrđujem i za Outlook. Tri godine unazad, preko 200 korisnika u orzanizacionoj jedinici, nijedan incident. Bilo je prijava ali sve za Junk folder, što korisnici po mom uputstvu ne otvaraju.

---

@SlobaBgd

Da ili recover ili cancel ili direktno otvaranje unutar sandboksa. Znas, ako neko pijan sedne za volan pa napravi belaj, moze da grdi boga, ali nije red. Kako narod kaze sam pao sam se ubio!



Nakon direktnog otvaranja sa SumatraPDF otvoren je pdf unutar sendboksa.

Je l' istina za Office 340 :) da prolaze oni klasični fišing mailovi gde navuku korisnika da im ostave username i pass ko od šale?

Dosta ljudi se žalilo na to, kakva je situacija sad?

---

Ukoliko ipak zakačite ransomware .,pozdravite se zaraženim fajlovima .,iz iskustva, nabasao sam na CRAB i posle uporne borbe jedva spasio OS u ambulanti MC , tada sam koristio W 8.1 i pored AV , na kraju je pao reinstal....Savet je - praviti rezervnu kopiju na nekom eksternom disku.....