11 viisi, kuidas kaitsta Cryptolockeri ja teiste lunavara rünnakute eest

BY POSTED november 20, 2018 6:22 p.l.

eksperdiarvamusencryptionküberkuritegevusõpetusedransomwarewindows


Lunavara on pahatahtlik tarkvara, mida küberkurjategijad kasutavad sinu arvuti või arvutis olevate failide lukustamiseks lunaraha saamise eesmärgil – nõudes nende tagasisaamise eest sinult raha. Kahjuks on lunavara muutunud pahavara loojate seas üha populaarsemaks, kes pressivad raha välja nii ettevõtetelt kui tavainimestelt. Arvutisse võib sattuda mitmesugust lunavara, kuid nagu alati, sõltuvad kasutatavad tehnikad kas sotsiaaltehnoloogia taktikatest või tarkvaraliste turvaaukude ärakasutamisest, mille kaudu märkamatult ohvri masinasse midagi paigaldatakse. 

Mille poolest on Cryptolocker tähelepanuväärne?

Viimasel ajal on uudistes eriti palju räägitud ühest ohtlikust lunavarast, Cryptolocker ist(ESET tuvastas selle kui Win32/Filecoder’i – vaata ESET-i Infobaasist värsket infot Cryptolockeri ja teiste lunavaraprogrammide tuvastamise kohta). Kurjategijad on Cryptolockerit saatnud e-posti teel suurele hulgale inimestele, võttes eriliselt sihikule USA ja Ühendkuningriigi. Kurikuulsale kriminaalile omaselt seostatakse seda pahavara ka teiste kahjulike teguritega – tagaukse trooja hobuste, allalaadijate, spämmijate, paroolivaraste, reklaamvara ja muu sellisega. Cryptolocker võib tulla arvutisse iseseisvalt (sageli e-posti teel) või tagaukse või allalaadija kaudu, tulles kaasa lisaelemendina. 

Võib tunduda imelik, miks just selle lunavara perekonna üle nii palju lärmi lüüakse – sisuliselt on Cryptolockeri autorid olnud ühteaegu nobedad ja järjepidevad.  Ühiselt on pingutatud selle nimel, et paisata välja uusi versioone, hoides end kursis kaitsetehnoloogiaga ning rünnates aja jooksul erinevaid sihtgruppe. 

Septembri algusest saadik on pahavara autorid saatnud välja spämmi, rünnates erinevaid sihtgruppe. Enamik sihtmärkidest on olnud USA-st ja Ühendkuningriigist, kuid rünnakuohvrid ei ole geograafiliselt piiratud ning pihta on saanud ka paljud inimesed teistes riikides. Alguses olid e-kirjade sihtmärgiks kodukasutajad, siis väike- ja keskmise suurusega ettevõtted ning nüüd on sihikule võetud ka suurfirmad. 

Pahavara levib lisaks e-postile ka RDP portide kaudu, mis on jäetud internetile avatuks. Cryptolocker võib mõjutada ka kasutaja mapitud ketastel (ehk kettale on antud nimetuseks mõni täht nagu D, E, F, jne) asuvaid faile. Selleks võib olla väline kõvaketas, sealhulgas USB-pulk, või võrgus ja pilves asuv kaust. Kui olete oma arvutis mappinud näiteks Dropbox’i kausta, võib see ka seal asuvad failid krüpteerida. 

Praeguseks hetkeks on nakatunud tuhanded arvutid, kuigi kurjategijad on hinnanguliselt välja saatnud miljoneid e-kirju. Loodetavasti kustutasid ülejäänud adressaadid kahjulikud e-kirjad ilma neid avamata lihtsalt ära ning need ei istu avamata postkastis, oodates võimalust pahandust tekitada. 

Ohvriks langenud inimestel on krüpteeritud suur osa failides. Failid on peamiselt üldlevinud failiformaatides – failid, mida avatakse mõne levinud programmi nagu Microsoft Office, Adobe programmid, iTunes või teised heliprogrammid või fotode kuvamiseks kasutatavad programmid. Pahavara autorid kasutavad kahte tüüpi krüpteerimist: failid ise on kaitstud 256-bitise AES kirjega. Selle esimese krüpteerimisprotsessiga loodud võtmed kaitstakse seejärel 2048-bitise RSA kirjega ning pahavara autor hoiab enda käes privaatvõtit, mille abil saaks nii kasutaja arvutis olevad kui nende poolt kaitstud failide võtmeid lahti krüpteerida. Lahtikrüptimise võtit ei saa lahti muukida ega leia seda ka nakatunud arvuti mälust. Privaatvõti on ainult kurjategijate valduses. 

Mida sa saad selles olukorras teha?

Ühest küljest võib lunavara olla väga hirmutav – krüpteeritud failid võib põhimõtteliselt maha kanda kui taastamatud. Ent kui oled oma süsteemi õigesti ette valmistanud, siis pole tegu millegi muu kui lihtsalt tüütu segajaga. Järgnevalt mõned soovitused, mille abil sul on võimalik lunavaral mitte lasta oma päeva ära rikkuda:

1. Tee oma andmetest varukoopia
Kõige olulisem asi, mis lunavara vastu aitab, on oma andmetest regulaarse värske varukoopia tegemine. Lunavara ohvriks sattudes jääd sa võibolla ilma dokumendist, mida täna hommikul alustasid, kuid kui sul on võimalik oma süsteemi taastada varasemale versioonile või oma masin puhastada ja ülejäänud kadunud dokumendid varukoopialt taastada, võid olla rahulik. Ei tohi unustada, et Cryptolocker krüpteerib ka mapitud ketastel olevad failid. See puudutab ka väliseid kettaid nagu USB-pulgad, aga ka võrgukettad või pilves asuvad failikogud, mille sa oled nimetanud mõne tähega. Seega tuleks sisse viia regulaarne andmetest varukoopiate tegemine välisele kettale või varundamisteenuse kaudu, millele ei ole nimetuseks määratud mõnda tähte või mis on varundamist mittesooritamise ajal lahti ühendatud. 

Järgnevad kolm soovitust puudutavad Cryptolockeri käitumist – see ei pruugi kehtida lõputult, kuid soovitused aitavad sul väikeste võtete abil parandada üldist turvalisust, millest on kasu erinevate levinud pahavara võtetega võitlemisel. 

2. Too esile peidetud faililaiendid
Cryptolocker jõuab arvutisse sageli failina, mille laiendiks on “.PDF.EXE”, kasutades ära, et Window’s vaikimisi levinud faililaiendeid ei näita. Kui sa seadetest täielike faililaiendite kuvamise sisse lülitad, muutub kahtlaste failide märkamine lihtsamaks. 

3. Filtreeri EXE-d e-postist välja
Kui sinu siseneva e-posti skänner võimaldab faile laiendi järgi filtreerida, siis võiksid keelduda kirjadest, mille manuses on “.EXE” failid või keelduda kirjadest, mille manusel on kaks faililaiendit, millest viimane on käivitatav fail (“*.*.EXE” failid filtri kõnepruugis). Kui sul siiski on tõesti vaja vahetada oma keskkonnas käivitatavaid faile ja oled keeldunud  “.EXE” faile sisaldavast e-postist, võid selleks kasutada ZIP faile (mis on loomulikult kaitstud parooliga) või pilveteenuse kaudu.

4. Keela kaustadest AppData/LocalAppData käivituvad failid
Windowsis või sissetungimise vältimise tarkvaras saab määrata reegli, mille alusel keelatakse üks Cryptolockerile iseloomulik tegevus, milleks on oma käivitatavate failide käivitamine kaustadest App Data või Local App Data. Kui sul (mingil põhjusel) on tarkvara, mis peaks tavapärase Program Files kausta asemel käivituma App Data kaustast, tuleb sul sellele reeglis erand teha.

5. Kasuta Cryptolockeri Ennetamise komplekti
Cryptolocker Prevention Kit on Third Tieri poolt loodud töövahend, millega automatiseeritakse App Data ja Local App Data kaustadest failide käivitamise keelustamise protsess, samuti käivitatavate failide käivitamine Temp kaustast või erinevatest unzip vahenditest. Töövahendit täiustatakse sedamööda, kuidas avastatakse Cryptolockeri uusi võtteid, seetõttu tuleks pidevalt kontrollida, kas sul on kasutusel uusim versioon. Kui reeglitele on vaja teha erandeid, aitab nende poolt pakutav dokument seda protsessi selgitada.

6. Lülita RDP välja
Cryptolocker/Filecoder pahavara satub arvutisse sageli Remote Desktop Protocol (RDP, kaugtöölaua protokolli) kaudu – tegemist on Windows’i töövahendiga, mis annab ligipääsu sinu töölauale mõnest teisest arvutist. Kui sul ei ole RDP-d vaja, saad selle oma masina kaitseks Filecoderi ja teiste RDP nõrkuste ära kasutajate vastu välja lülitada. Juhised leiad vastavast Microsofti Infokogu artiklist altpoolt:

7. Paranda turvaaugud või uuenda oma tarkvara
Kaks järgmist soovitust on üldisemad juhised pahavara vältimiseks, mis puudutavad nii Cryptolockerit kui ükskõik millist pahavara. Pahavara loojad arvestavad sageli, et inimesed kasutavad aegunud tarkvara, mille teadaolevaid haavatavusi nad saavad sinu süsteemi sisenemiseks salaja ära kasutada. Lunavara ohtu aitab oluliselt vähendada see, kui harjutad endale sisse oma tarkvara sagedase uuendamise. Mõned tootjad lasevad turvauuendusi välja regulaarselt (Microsoft ja Adobe teevad seda mõlemad iga kuu teisel teisipäeval), kuid erakorralistel juhtudel väljastatakse sageli ebaregulaarseid uuendusi. Võimalusel peaksid sisse lülitama automaatsed uuendused või minema otse tarkvaratootja veebilehele, kuna pahavara loojatele meeldib oma loomingut maskeerida ka kui tarkvara uuenduste märguandeid. 

8. Kasuta hea mainega turvapaketti
Alati on hea, kui kasutad identiteedivarguse või kahtlase käitumise tuvastamiseks nii pahavara vastast tarkvara kui tulemüüri kaitset. Pahavara autorid saadavad sageli välja uusi versioone, et vältida tuvastamist, seepärast on mõlema kaitsekihi kasutamine oluline. Praegusel ajal sõltub enamik pahavarast oma kuritegude toimepanemiseks eemalt saadavatest juhistest. Kui satute lunavara versioonile, mis on nii värske, et pääseb viirusetõrje programmist läbi, võib tulemüür selle siiski kinni püüda, kui see üritab ühendust saada oma Command and Control (C&C) serveriga, saamaks sinu failide krüpteerimiseks korraldusi.

Kui satud olukorda, mil oled lunavara faili juba käivitanud ilma, et oleksid varasemalt nimetatud ettevaatusabinõusid kasutusele võtnud, siis on sul üsna piiratud tegutsemisvõimalused. Kuid kõik ei pruugi siiski kadunud olla. On mõned asjad, mis võivad aidata kahju vähendada, eriti siis, kui asi puudutab lunavara Cryptolocker.

9. Lülita koheselt välja WiFi või ühenda lahti võrguühendus
Kui käivitad faili, mille arvad olevat lunavara, kuid pole veel näinud lunavarale iseloomulikku ekraani, siis võib sul vägakiire tegutsemise korral õnnestuda takistada selle ühendumist C&C serveriga enne, kui see lõpetab sinu failide krüpteerimise. Kui sa lülitad ennast koheseltvõrgust välja (kas ma rõhutasin piisavalt, et seda tuleb teha otsekohe?), võib sul õnnestuda kahju vähendada. Kõigi failide krüpteerimiseks kulub teatud aeg, nii võib sul õnnestuda see peatada enne, kui see need kõik nässu keerab. Kindlasti ei ole tegemist lollikindla võttega, ka ei pruugi sul olla piisavalt õnne või ei tegutse sa piisavalt kiiresti pahavara takistamiseks, kuid võrgust välja lülitumine võib olla parem, kui üldse mitte midagi teha.

10. Kasuta teadaolevalt puhtasse seisundisse naasmiseks süsteemi taastamist (System Restore)
Kui sinu Windows-masinal on sisse lülitatud süsteemi taastamine (System Restore), võib sul õnnestuda viia oma süsteem tagasi teadaolevalt puhtasse seisundisse. Kuid ka siin tuleb sul pahavara üle kavaldada. Cryptolockeri uuemad versioonid võivad olla suutelised süsteemitaastusest „vari“-faile kustutama, mis tähendab, et neid faile ei ole enam seal, kui sa üritad oma pahavara poolt kahjustatud versioone asendada. Cryptolocker alustab kustutamist kohe, kui käivitatav fail käivitatakse, nii pead sa tegutsema väga kiiresti, kuna käivitatavaid faile võidakse rakendada automaatse protsessi osana. See tähendab, et .exe faile võidakse käivitada ilma sinu teadmata osana Windows’i tavapärastest süsteemioperatsioonidest.

11. Keera BIOS-i kell tagasi
Cryptolockeri maksetaimer on tavaliselt seatud 72 tunnile, pärast selle aja möödumist tõuseb sinu dekrüpteerimisvõtme hind oluliselt. (Hind võib varieeruda, kuna Bitcoini väärtus on üsna kõikuv. Kirjutamise hetkel oli alghind 0,5 Bitcoini või $1500, mis seejärel tõuseb 4 Bitcoinile.) Sul võib õnnestuda kella pisut tüssata, kui keerad BIOS-i kella tagasi nii palju, et see näitab 72-tunnise akna eelset aega. Esitan selle soovituse vastumeelselt, kuna tegu pole muuga, kui katsega aidata sul vältida kõrgema hinna maksmist ning me soovitame tungivalt lunaraha mitte maksta. Kui kurjategijatele maksta, võid oma andmed küll tagasi saada, kuid on olnud ka palju selliseid juhtumeid, kus dekrüpteerimise võti ei saabunud või kus see ei dekrüpteerinud faile korralikult. Lisaks annab see kuritegelikule käitumisele hoogu juurde! Lunaraha nõudmine ei ole mingil juhul seaduslik äritegevus, pahavara autoritel puudub ka igasugune kohustus oma lubadusi täita – nad võivad võtta raha, ega pruugi midagi vastutasuks anda, kuna vastasel juhul ei karista neid keegi. 

Lisainfo

Kui sa oled ESET-i klient ja tunned muret lunavaravastase kaitse pärast või sulle tundub, et oled lunavara sihtmärgiks langenud, helista oma riigi/piirkonna klienditeeninduse telefonil. Sealt saate värsket infot selle kohta, kuidas vältida ja tõrjuda pahavara rünnakuid. 

Kokkuvõtteks tuleks märkida, et viimane lunavara palang tekitas paraja uudiste keeristormi eelkõige seetõttu, et see erineb varasemast finantsiliselt ajendatud pahavarast (mis oli pigem vargusele suunatud ega kahjustanud seega andmeid). Kahtlemata võib lunavara olla hirmutav, kuid sarnast kahju võivad tekitada ka paljud teised probleemid. Seetõttu on parim kaitse andmete kadumise eest alati olnud ja jääb ka tulevikus andmetest regulaarsete varukoopiate tegemine. Nii saad oma digitaalset elu kiiresti uuesti alustada olenemata sellest, mis juhtus. Loodan, et kui sellest lunavara puhangust sünnib midagi positiivset, siis on selleks arusaamine, kui oluline on regulaarsete, sagedaste varukoopiate tegemine oma hinnaliste andmete kaitsmiseks. 

Allikas: Welivesecurity



Leave a Reply

avatar

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
Notify of