Virtua IT, d.o.o.
Kotnikova ulica 35
1000 Ljubljana
Slovenija

T: +386 590 91780
E: info@virtua-it.si

Kriptovirusi so močno na pohodu. Maili s priponkami, ki verjetno sprožijo okužbo, so tako pogosti, da že povzročajo težave na poštnih strežnikih. Na našem poštnem strežniku jih je približno 9x več kot vseh ostalih mailov skupaj.

Preverite stanje vaše opreme s testi:

Kako delujejo

Za začetek poglejmo, kako približno kriptovirusi delujejo. Napad ima dve fazi:

  • največkrat preko e-pošte, lahko pa tudi preko zlonamernih spletnih strani, ponesreči zaženemo kratko programsko kodo “bootloader”, ki prenese in zažene dejanski virus,
  • virus običajno zaženemo kar iz temp direktorija, kamor ga shrani naš spletni brskalnik, zato nekatere strategije boja proti temu nastavijo računalnik tako, da zagon programov iz teh lokacij ni mogoč. Kakorkoli, če se že zažene, iz kontrolnega strežnika prenese javni ključ in začne kodirat naše datoteke.

Ko je kodiranje uspešno končano, prikaže sporočilo s pozivom za plačilo odkupnine.

Do kam seže okužba

Okužba sama se očitno ne širi po mreži, kriptovirus se zažene le na računalniku, kjer je uporabnik zagnal podtaknjeno kodo. Ta računalnik je enostavno odkriti, saj je edini, kjer so zakodirane tudi lokalne datoteke. Ko ga odkrijemo, je virus tudi enostavno najti in pobrisati. To naredimo le, če imamo zanesljivo varnostno kopijo, sicer je virus sam skoraj edina pot do naših datotek.

Poleg lokalnih datotek bo virus zakodiral vse, ki jih bo videl na mreži, tudi če omrežna sredstva niso zmapirana kot lokalni diski na okuženem računalniku.  To je lahko zelo nerodno, še posebej, če ima prijavljeni uporabnik visoka dovoljenja v mreži.

Ali je mogoče datoteke odkleniti brez plačila odkupnine?

Če imate srečo ali backup ja. Najverjetneje pa žal ne. Za nekatere vrste kriptolockerjev so bili narejeni dekoderji, recimo tale: https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

Dekoderji so temeljili na napakah originalnih kriptolockerjev, ki so omogočale rekonstrukcijo datotek ali zasebnega ključa. Žal se tudi kriminalci učijo na svojih napakah, zato trenutno izgleda, da to ni več uspešno in da so datoteke pravilno kodirane. Navedbe kriptovirusov sicer ne držijo popolnoma, kodiranje običajno uporablja krajši ključ, kot je navedeno in ne zaklene celotne datoteka, ampak le del, žal pa je to popolnoma dovolj, da datoteka postane popolnoma neuporabna.

Če pride do okužbe, pa na vsak način poglejte:

  1. ali imate uporaben backup vseh datotek,
  2. ali obstaja “Volume shadow copy” diska, ki ga je zaklenil,

Kako lahko okužbo preprečimo

  1. Investirajte v požarni zid nove generacije. Priporočamo seveda FortiGate, alternativi sta še Palo Alto in Checkpoint. Tam boste lahko nastavili dve ključni komponenti:
    1. Web content filter – prepovedali boste lahko dostop do varnostno problematičnih (“security risk” pri Fortigate napravi) strani, kot so Phishing, Malicious Web, … Toplo priporočamo, da prepoveste tudi kategorijo “Unrated”. S tem si boste naredili sicer nekaj dela, ker boste morali manj znane spletne strani ročno kategorizirati na zahtevo vaših uporabnikov, boste pa zelo dobro omejili potencial za napade. Alternativno lahko za to kategorijo določite, da spletni brskalnik pokaže le opozorilo. To je zelo verjetno dovolj, saj virusna koda tega opozorila ne zna dekodirati (zaenkrat) in bo tudi to že ustavilo prenos glavne zlonamerne kode. Na Fortigate lahko tudi nastavite, da se mora uporabnik, če želi gledati strani iz kategorije “Unrated”, prijaviti s svojim domenskim geslom.
    2. Ustrezno nastavite Antivirus politiko. Tu imamo nekaj pravnih težav. Če želimo to narediti pravilno, moramo skenirati tudi HTTPS protokol. Ne bomo se spuščali v pravne posledice tega, tu izpostavljamo le, da je to nujno, če želimo ustrezno preprečevati virusne okužbe. Z vsemi zgoraj omenjenimi napravami je to mogoče efektivno izvajati, nam pa v Evropi to precej otežujejo razni regulatorji.
  2. Najemite ali postavite ustrezen AntiSpam / Antivirus filter za vašo pošto. Tak filter ne bo prestregel čisto vsega (zato rabimo točko 1), bo pa precej omejil izpostavljenost in zmanjšal verjetnost okužbe.
  3. Preverite oziroma vzpostavite prave backup sisteme. Ti morajo biti nujno izvedeni tako, da datoteke v varnostnih kopijah niso dosegljive preko mreže. Za manjša podjetja morda pride v poštev tudi DropBox for Business. Tam se bodo datoteke sicer zaklenile in celo skopirale v DropBox, vendar pa ima storitev verzioniranje in boste lahko prejšnje, še nezaklenjene kopije datotek zlahka povrnili nazaj.

Na brezplačnih webinarjih iz serije “Pametna IT zaščita vašega podjetja” boste izvedeli, kako se FortiGate uporablja v praksi.

Kaj pa, če nimam denarja za vse to?

Če nimate denarja, postavite vsaj varen DNS strežnik. Pred časom smo o tem pisali v našem blogu. 

Poglejte tudi:

Nekaj strani na to temo:

Kako varno je vaše omrežje?

modem

Preverite stanje z oceno varnosti vašega omrežja.

Spletno mesto uporablja piškotke zaradi boljše uporabniške izkušnje. Z uporabo naše spletne strani potrjujete, da se z njihovo uporabo strinjate. Več o tem.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close