Lunavara on pahatahtlik tarkvara, mida k\u00fcberkurjategijad kasutavad sinu arvuti v\u00f5i arvutis olevate failide lukustamiseks lunaraha saamise eesm\u00e4rgil \u2013 n\u00f5udes nende tagasisaamise eest sinult raha. Kahjuks on lunavara muutunud pahavara loojate seas \u00fcha populaarsemaks, kes pressivad raha v\u00e4lja nii ettev\u00f5tetelt kui tavainimestelt. Arvutisse v\u00f5ib sattuda mitmesugust lunavara, kuid nagu alati, s\u00f5ltuvad kasutatavad tehnikad kas sotsiaaltehnoloogia taktikatest v\u00f5i tarkvaraliste turvaaukude \u00e4rakasutamisest, mille kaudu m\u00e4rkamatult ohvri masinasse midagi paigaldatakse. <\/p>\n\n\n\n
Viimasel ajal on uudistes eriti palju r\u00e4\u00e4gitud \u00fchest ohtlikust lunavarast, Cryptolocker<\/a> ist(ESET tuvastas selle kui Win32\/Filecoder’i – vaata ESET-i Infobaasist v\u00e4rsket infot<\/a> Cryptolockeri ja teiste lunavaraprogrammide tuvastamise kohta). Kurjategijad on Cryptolockerit saatnud e-posti teel suurele hulgale inimestele, v\u00f5ttes eriliselt sihikule USA ja \u00dchendkuningriigi. Kurikuulsale kriminaalile omaselt seostatakse seda pahavara ka teiste kahjulike teguritega \u2013 tagaukse trooja hobuste, allalaadijate, sp\u00e4mmijate, paroolivaraste, reklaamvara ja muu sellisega. Cryptolocker v\u00f5ib tulla arvutisse iseseisvalt (sageli e-posti teel) v\u00f5i tagaukse v\u00f5i allalaadija kaudu, tulles kaasa lisaelemendina. <\/p>\n\n\n\n V\u00f5ib tunduda imelik, miks just selle lunavara perekonna \u00fcle nii palju l\u00e4rmi l\u00fc\u00fcakse \u2013 sisuliselt on Cryptolockeri autorid olnud \u00fchteaegu nobedad ja j\u00e4rjepidevad. \u00dchiselt on pingutatud selle nimel, et paisata v\u00e4lja uusi versioone, hoides end kursis kaitsetehnoloogiaga ning r\u00fcnnates aja jooksul erinevaid sihtgruppe. <\/p>\n\n\n\n Septembri algusest saadik on pahavara autorid saatnud v\u00e4lja sp\u00e4mmi, r\u00fcnnates erinevaid sihtgruppe. Enamik sihtm\u00e4rkidest on olnud USA-st ja \u00dchendkuningriigist, kuid r\u00fcnnakuohvrid ei ole geograafiliselt piiratud ning pihta on saanud ka paljud inimesed teistes riikides. Alguses olid e-kirjade sihtm\u00e4rgiks kodukasutajad, siis v\u00e4ike- ja keskmise suurusega ettev\u00f5tted ning n\u00fc\u00fcd on sihikule v\u00f5etud ka suurfirmad. <\/p>\n\n\n\n Pahavara levib lisaks e-postile ka RDP portide<\/a> kaudu, mis on j\u00e4etud internetile avatuks. Cryptolocker v\u00f5ib m\u00f5jutada ka kasutaja mapitud ketastel (ehk kettale on antud nimetuseks m\u00f5ni t\u00e4ht nagu D, E, F, jne) asuvaid faile. Selleks v\u00f5ib olla v\u00e4line k\u00f5vaketas, sealhulgas USB-pulk, v\u00f5i v\u00f5rgus ja pilves asuv kaust. Kui olete oma arvutis mappinud n\u00e4iteks Dropbox’i kausta, v\u00f5ib see ka seal asuvad failid kr\u00fcpteerida. <\/p>\n\n\n\n Praeguseks hetkeks on nakatunud tuhanded arvutid, kuigi kurjategijad on hinnanguliselt v\u00e4lja saatnud miljoneid e-kirju. Loodetavasti kustutasid \u00fclej\u00e4\u00e4nud adressaadid kahjulikud e-kirjad ilma neid avamata lihtsalt \u00e4ra ning need ei istu avamata postkastis, oodates v\u00f5imalust pahandust tekitada. <\/p>\n\n\n\n Ohvriks langenud inimestel on kr\u00fcpteeritud suur osa failides. Failid on peamiselt \u00fcldlevinud failiformaatides \u2013 failid, mida avatakse m\u00f5ne levinud programmi nagu Microsoft Office, Adobe programmid, iTunes v\u00f5i teised heliprogrammid v\u00f5i fotode kuvamiseks kasutatavad programmid. Pahavara autorid kasutavad kahte t\u00fc\u00fcpi kr\u00fcpteerimist: failid ise on kaitstud 256-bitise AES kirjega. Selle esimese kr\u00fcpteerimisprotsessiga loodud v\u00f5tmed kaitstakse seej\u00e4rel 2048-bitise RSA kirjega ning pahavara autor hoiab enda k\u00e4es privaatv\u00f5tit, mille abil saaks nii kasutaja arvutis olevad kui nende poolt kaitstud failide v\u00f5tmeid lahti kr\u00fcpteerida. Lahtikr\u00fcptimise v\u00f5tit ei saa lahti muukida ega leia seda ka nakatunud arvuti m\u00e4lust. Privaatv\u00f5ti on ainult kurjategijate valduses. <\/p>\n\n\n\n \u00dchest k\u00fcljest v\u00f5ib lunavara olla v\u00e4ga hirmutav \u2013 kr\u00fcpteeritud failid v\u00f5ib p\u00f5him\u00f5tteliselt maha kanda kui taastamatud. Ent kui oled oma s\u00fcsteemi \u00f5igesti ette valmistanud, siis pole tegu millegi muu kui lihtsalt t\u00fc\u00fctu segajaga. J\u00e4rgnevalt m\u00f5ned soovitused, mille abil sul on v\u00f5imalik lunavaral mitte lasta oma p\u00e4eva \u00e4ra rikkuda:<\/p>\n\n\n\n 1. Tee oma andmetest varukoopia<\/strong> J\u00e4rgnevad kolm soovitust puudutavad Cryptolockeri k\u00e4itumist \u2013 see ei pruugi kehtida l\u00f5putult, kuid soovitused aitavad sul v\u00e4ikeste v\u00f5tete abil parandada \u00fcldist turvalisust, millest on kasu erinevate levinud pahavara v\u00f5tetega v\u00f5itlemisel. <\/p>\n\n\n\n 2. Too esile peidetud faililaiendid<\/strong> 3. Filtreeri EXE-d e-postist v\u00e4lja<\/strong> 4. Keela kaustadest AppData\/LocalAppData k\u00e4ivituvad failid<\/strong> 5. Kasuta Cryptolockeri Ennetamise komplekti<\/a><\/strong> 6. L\u00fclita RDP v\u00e4lja<\/strong> 7. Paranda turvaaugud v\u00f5i uuenda oma tarkvara<\/strong> 8. Kasuta hea mainega turvapaketti<\/strong> Kui satud olukorda, mil oled lunavara faili juba k\u00e4ivitanud ilma, et oleksid varasemalt nimetatud ettevaatusabin\u00f5usid kasutusele v\u00f5tnud, siis on sul \u00fcsna piiratud tegutsemisv\u00f5imalused. Kuid k\u00f5ik ei pruugi siiski kadunud olla. On m\u00f5ned asjad, mis v\u00f5ivad <\/em>aidata kahju v\u00e4hendada, eriti siis, kui asi puudutab lunavara Cryptolocker.<\/p>\n\n\n\n 9. L\u00fclita koheselt v\u00e4lja WiFi v\u00f5i \u00fchenda lahti v\u00f5rgu\u00fchendus<\/strong> 10. Kasuta teadaolevalt puhtasse seisundisse naasmiseks s\u00fcsteemi taastamist (System Restore)<\/strong> 11. Keera BIOS-i kell tagasi<\/strong> Kui sa oled ESET-i klient ja tunned muret lunavaravastase kaitse p\u00e4rast v\u00f5i sulle tundub, et oled lunavara sihtm\u00e4rgiks langenud, helista oma riigi\/piirkonna klienditeeninduse telefonil. Sealt saate v\u00e4rsket infot selle kohta, kuidas v\u00e4ltida ja t\u00f5rjuda pahavara r\u00fcnnakuid. <\/p>\n\n\n\n Kokkuv\u00f5tteks tuleks m\u00e4rkida, et viimane lunavara palang tekitas paraja uudiste keeristormi eelk\u00f5ige seet\u00f5ttu, et see erineb varasemast finantsiliselt ajendatud pahavarast (mis oli pigem vargusele suunatud ega kahjustanud seega andmeid). Kahtlemata v\u00f5ib lunavara olla hirmutav, kuid sarnast kahju v\u00f5ivad tekitada ka paljud teised probleemid. Seet\u00f5ttu on parim kaitse andmete kadumise eest alati olnud ja j\u00e4\u00e4b ka tulevikus andmetest regulaarsete varukoopiate tegemine. Nii saad oma digitaalset elu kiiresti uuesti alustada olenemata sellest, mis juhtus. Loodan, et kui sellest lunavara puhangust s\u00fcnnib midagi positiivset, siis on selleks arusaamine, kui oluline on regulaarsete, sagedaste varukoopiate tegemine oma hinnaliste andmete kaitsmiseks. <\/p>\n\n\n\nMida sa saad selles olukorras teha?<\/strong><\/h2>\n\n\n\n
K\u00f5ige olulisem asi<\/strong>, mis lunavara vastu aitab, on oma andmetest regulaarse v\u00e4rske varukoopia tegemine<\/strong>. Lunavara ohvriks sattudes j\u00e4\u00e4d sa v\u00f5ibolla ilma dokumendist, mida t\u00e4na hommikul alustasid, kuid kui sul on v\u00f5imalik oma s\u00fcsteemi taastada varasemale versioonile v\u00f5i oma masin puhastada ja \u00fclej\u00e4\u00e4nud kadunud dokumendid varukoopialt taastada, v\u00f5id olla rahulik. Ei tohi unustada, et Cryptolocker kr\u00fcpteerib ka mapitud ketastel olevad failid. See puudutab ka v\u00e4liseid kettaid nagu USB-pulgad, aga ka v\u00f5rgukettad v\u00f5i pilves asuvad failikogud, mille sa oled nimetanud m\u00f5ne t\u00e4hega. Seega tuleks sisse viia regulaarne andmetest varukoopiate tegemine v\u00e4lisele kettale v\u00f5i varundamisteenuse kaudu, millele ei ole nimetuseks m\u00e4\u00e4ratud m\u00f5nda t\u00e4hte v\u00f5i mis on varundamist mittesooritamise ajal lahti \u00fchendatud. <\/p>\n\n\n\n
Cryptolocker j\u00f5uab arvutisse sageli failina, mille laiendiks on \u201c.PDF.EXE\u201d, kasutades \u00e4ra, et Window\u2019s vaikimisi levinud faililaiendeid ei n\u00e4ita. Kui sa seadetest t\u00e4ielike faililaiendite kuvamise sisse l\u00fclitad, muutub kahtlaste failide m\u00e4rkamine lihtsamaks. <\/p>\n\n\n\n
Kui sinu siseneva e-posti sk\u00e4nner v\u00f5imaldab faile laiendi j\u00e4rgi filtreerida, siis v\u00f5iksid keelduda kirjadest, mille manuses on \u201c.EXE\u201d failid v\u00f5i keelduda kirjadest, mille manusel on kaks faililaiendit, millest viimane on k\u00e4ivitatav fail (\u201c*.*.EXE\u201d failid filtri k\u00f5nepruugis). Kui sul siiski on t\u00f5esti vaja vahetada oma keskkonnas k\u00e4ivitatavaid faile ja oled keeldunud \u201c.EXE\u201d faile sisaldavast e-postist, v\u00f5id selleks kasutada ZIP faile (mis on loomulikult kaitstud parooliga) v\u00f5i pilveteenuse kaudu.<\/p>\n\n\n\n
Windowsis v\u00f5i sissetungimise v\u00e4ltimise tarkvaras saab m\u00e4\u00e4rata reegli, mille alusel keelatakse \u00fcks Cryptolockerile iseloomulik tegevus, milleks on oma k\u00e4ivitatavate failide k\u00e4ivitamine kaustadest App Data v\u00f5i Local App Data. Kui sul (mingil p\u00f5hjusel) on tarkvara, mis peaks tavap\u00e4rase Program Files kausta asemel k\u00e4ivituma App Data kaustast, tuleb sul sellele reeglis erand teha.<\/p>\n\n\n\n
Cryptolocker Prevention Kit on Third Tieri poolt loodud t\u00f6\u00f6vahend, millega automatiseeritakse App Data ja Local App Data kaustadest failide k\u00e4ivitamise keelustamise protsess, samuti k\u00e4ivitatavate failide k\u00e4ivitamine Temp kaustast v\u00f5i erinevatest unzip vahenditest. T\u00f6\u00f6vahendit t\u00e4iustatakse sedam\u00f6\u00f6da, kuidas avastatakse Cryptolockeri uusi v\u00f5tteid, seet\u00f5ttu tuleks pidevalt kontrollida, kas sul on kasutusel uusim versioon. Kui reeglitele on vaja teha erandeid, aitab nende poolt pakutav dokument<\/a> seda protsessi selgitada.<\/p>\n\n\n\n
Cryptolocker\/Filecoder pahavara satub arvutisse sageli Remote Desktop Protocol (RDP, kaugt\u00f6\u00f6laua protokolli) kaudu \u2013 tegemist on Windows’i t\u00f6\u00f6vahendiga, mis annab ligip\u00e4\u00e4su sinu t\u00f6\u00f6lauale m\u00f5nest teisest arvutist. Kui sul ei ole RDP-d vaja, saad selle oma masina kaitseks Filecoderi ja teiste RDP n\u00f5rkuste \u00e4ra kasutajate vastu v\u00e4lja l\u00fclitada. Juhised leiad vastavast Microsofti Infokogu artiklist altpoolt:<\/p>\n\n\n\n
Kaks j\u00e4rgmist soovitust on \u00fcldisemad juhised pahavara v\u00e4ltimiseks, mis puudutavad nii Cryptolockerit kui \u00fcksk\u00f5ik millist pahavara. Pahavara loojad arvestavad sageli, et inimesed kasutavad aegunud tarkvara, mille teadaolevaid haavatavusi nad saavad sinu s\u00fcsteemi sisenemiseks salaja \u00e4ra kasutada. Lunavara ohtu aitab oluliselt v\u00e4hendada see, kui harjutad endale sisse oma tarkvara sagedase uuendamise. M\u00f5ned tootjad lasevad turvauuendusi v\u00e4lja regulaarselt (Microsoft ja Adobe teevad seda m\u00f5lemad iga kuu teisel teisip\u00e4eval), kuid erakorralistel juhtudel v\u00e4ljastatakse sageli ebaregulaarseid uuendusi. V\u00f5imalusel peaksid sisse l\u00fclitama automaatsed uuendused v\u00f5i minema otse tarkvaratootja veebilehele, kuna pahavara loojatele meeldib oma loomingut maskeerida ka kui tarkvara uuenduste m\u00e4rguandeid. <\/p>\n\n\n\n
Alati on hea, kui kasutad identiteedivarguse v\u00f5i kahtlase k\u00e4itumise tuvastamiseks nii pahavara vastast tarkvara kui tulem\u00fc\u00fcri kaitset. Pahavara autorid saadavad sageli v\u00e4lja uusi versioone, et v\u00e4ltida tuvastamist, seep\u00e4rast on m\u00f5lema kaitsekihi kasutamine oluline. Praegusel ajal s\u00f5ltub enamik pahavarast oma kuritegude toimepanemiseks eemalt saadavatest juhistest. Kui satute lunavara versioonile, mis on nii v\u00e4rske, et p\u00e4\u00e4seb viiruset\u00f5rje programmist l\u00e4bi, v\u00f5ib tulem\u00fc\u00fcr selle siiski kinni p\u00fc\u00fcda, kui see \u00fcritab \u00fchendust saada oma Command and Control (C&C) serveriga, saamaks sinu failide kr\u00fcpteerimiseks korraldusi.<\/p>\n\n\n\n
Kui k\u00e4ivitad faili, mille arvad olevat lunavara, kuid pole veel n\u00e4inud lunavarale iseloomulikku ekraani, siis v\u00f5ib sul v\u00e4ga<\/em>kiire tegutsemise korral \u00f5nnestuda takistada selle \u00fchendumist C&C serveriga enne, kui see l\u00f5petab sinu failide kr\u00fcpteerimise. Kui sa l\u00fclitad ennast koheselt<\/em>v\u00f5rgust v\u00e4lja (kas ma r\u00f5hutasin piisavalt, et seda tuleb teha otsekohe?), v\u00f5ib sul \u00f5nnestuda kahju v\u00e4hendada. K\u00f5igi failide kr\u00fcpteerimiseks kulub teatud aeg, nii v\u00f5ib sul \u00f5nnestuda see peatada enne, kui see need k\u00f5ik n\u00e4ssu keerab. Kindlasti ei ole tegemist lollikindla v\u00f5ttega, ka ei pruugi sul olla piisavalt \u00f5nne v\u00f5i ei tegutse sa piisavalt kiiresti pahavara takistamiseks, kuid v\u00f5rgust v\u00e4lja l\u00fclitumine v\u00f5ib olla parem, kui \u00fcldse mitte midagi teha.<\/p>\n\n\n\n
Kui sinu Windows-masinal on sisse l\u00fclitatud s\u00fcsteemi taastamine (System Restore), v\u00f5ib sul \u00f5nnestuda viia oma s\u00fcsteem tagasi teadaolevalt puhtasse seisundisse. Kuid ka siin tuleb sul pahavara \u00fcle kavaldada. Cryptolockeri uuemad versioonid v\u00f5ivad olla suutelised s\u00fcsteemitaastusest \u201evari\u201c-faile kustutama, mis t\u00e4hendab, et neid faile ei ole enam seal, kui sa \u00fcritad oma pahavara poolt kahjustatud versioone asendada. Cryptolocker alustab kustutamist kohe, kui k\u00e4ivitatav fail k\u00e4ivitatakse, nii pead sa tegutsema v\u00e4ga kiiresti, kuna k\u00e4ivitatavaid faile v\u00f5idakse rakendada automaatse protsessi osana. See t\u00e4hendab, et .exe faile v\u00f5idakse k\u00e4ivitada ilma sinu teadmata osana Windows’i tavap\u00e4rastest s\u00fcsteemioperatsioonidest.<\/p>\n\n\n\n
Cryptolockeri maksetaimer on tavaliselt seatud 72 tunnile, p\u00e4rast selle aja m\u00f6\u00f6dumist t\u00f5useb sinu dekr\u00fcpteerimisv\u00f5tme hind oluliselt. (Hind v\u00f5ib varieeruda, kuna Bitcoini v\u00e4\u00e4rtus on \u00fcsna k\u00f5ikuv. Kirjutamise hetkel oli alghind 0,5 Bitcoini v\u00f5i $1500, mis seej\u00e4rel t\u00f5useb 4 Bitcoinile.) Sul v\u00f5ib \u00f5nnestuda kella pisut t\u00fcssata, kui keerad BIOS-i kella tagasi nii palju, et see n\u00e4itab 72-tunnise akna eelset aega. Esitan selle soovituse vastumeelselt, kuna tegu pole muuga, kui katsega aidata sul v\u00e4ltida k\u00f5rgema hinna maksmist ning me soovitame tungivalt lunaraha mitte maksta<\/strong>. Kui kurjategijatele maksta, v\u00f5id oma andmed k\u00fcll tagasi saada, kuid on olnud ka palju selliseid juhtumeid, kus dekr\u00fcpteerimise v\u00f5ti ei saabunud v\u00f5i kus see ei dekr\u00fcpteerinud faile korralikult. Lisaks annab see kuritegelikule k\u00e4itumisele hoogu juurde! Lunaraha n\u00f5udmine ei ole mingil juhul seaduslik \u00e4ritegevus, pahavara autoritel puudub ka igasugune kohustus oma lubadusi t\u00e4ita \u2013 nad v\u00f5ivad v\u00f5tta raha, ega pruugi midagi vastutasuks anda, kuna vastasel juhul ei karista neid keegi. <\/p>\n\n\n\nLisainfo<\/strong><\/h2>\n\n\n\n