[et_pb_section admin_label=”section” transparent_background=”off” allow_player_pause=”off” inner_shadow=”off” parallax=”off” parallax_method=”off” padding_mobile=”off” make_fullwidth=”off” use_custom_width=”off” width_unit=”on” make_equal=”off” use_custom_gutter=”off” module_class=”article”][et_pb_row admin_label=”row”][et_pb_column type=”4_4″][et_pb_text admin_label=”Text” background_layout=”light” text_orientation=”left” use_border_color=”off” border_color=”#ffffff” border_style=”solid”]

Kriptovirusi so močno na pohodu. Maili s priponkami, ki verjetno sprožijo okužbo, so tako pogosti, da že povzročajo težave na poštnih strežnikih. Na našem poštnem strežniku jih je približno 9x več kot vseh ostalih mailov skupaj.

Preverite stanje vaše opreme s testi:

• http://metal.fortiguard.com/
• Naročite varnostni pregled vašega omrežja

Kako delujejo

Za začetek poglejmo, kako približno kriptovirusi delujejo. Napad ima dve fazi:

• največkrat preko e-pošte, lahko pa tudi preko zlonamernih spletnih strani, ponesreči zaženemo kratko programsko kodo “bootloader”, ki prenese in zažene dejanski virus,
• virus običajno zaženemo kar iz temp direktorija, kamor ga shrani naš spletni brskalnik, zato nekatere strategije boja proti temu nastavijo računalnik tako, da zagon programov iz teh lokacij ni mogoč. Kakorkoli, če se že zažene, iz kontrolnega strežnika prenese javni ključ in začne kodirat naše datoteke.

Ko je kodiranje uspešno končano, prikaže sporočilo s pozivom za plačilo odkupnine.

Do kam seže okužba

Okužba sama se očitno ne širi po mreži, kriptovirus se zažene le na računalniku, kjer je uporabnik zagnal podtaknjeno kodo. Ta računalnik je enostavno odkriti, saj je edini, kjer so zakodirane tudi lokalne datoteke. Ko ga odkrijemo, je virus tudi enostavno najti in pobrisati. To naredimo le, če imamo zanesljivo varnostno kopijo, sicer je virus sam skoraj edina pot do naših datotek.

Poleg lokalnih datotek bo virus zakodiral vse, ki jih bo videl na mreži, tudi če omrežna sredstva niso zmapirana kot lokalni diski na okuženem računalniku.  To je lahko zelo nerodno, še posebej, če ima prijavljeni uporabnik visoka dovoljenja v mreži.

Ali je mogoče datoteke odkleniti brez plačila odkupnine?

Če imate srečo ali backup ja. Najverjetneje pa žal ne. Za nekatere vrste kriptolockerjev so bili narejeni dekoderji, recimo tale: https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

[/et_pb_text][/et_pb_column][/et_pb_row][et_pb_row admin_label=”Row” make_fullwidth=”off” use_custom_width=”off” width_unit=”on” use_custom_gutter=”off” padding_mobile=”off” allow_player_pause=”off” parallax=”off” parallax_method=”off” make_equal=”off” parallax_1=”off” parallax_method_1=”off” parallax_2=”off” parallax_method_2=”off” column_padding_mobile=”on” custom_padding=”0px||0px|” background_color=”#ededed”][et_pb_column type=”1_2″][et_pb_image admin_label=”Image” src=”https://www.virtua-it.si/wp-content/uploads/2016/03/screenshot_cryptolocker.png” show_in_lightbox=”off” url_new_window=”off” use_overlay=”off” animation=”off” sticky=”on” align=”left” force_fullwidth=”off” always_center_on_mobile=”on” use_border_color=”off” border_color=”#ffffff” border_style=”solid”] [/et_pb_image][/et_pb_column][et_pb_column type=”1_2″][et_pb_text admin_label=”Text” background_layout=”light” text_orientation=”left” use_border_color=”off” border_color=”#ffffff” border_style=”solid” text_font_size=”13″ custom_padding=”20px|20px|20px|20px”]

Dekoderji so temeljili na napakah originalnih kriptolockerjev, ki so omogočale rekonstrukcijo datotek ali zasebnega ključa. Žal se tudi kriminalci učijo na svojih napakah, zato trenutno izgleda, da to ni več uspešno in da so datoteke pravilno kodirane. Navedbe kriptovirusov sicer ne držijo popolnoma, kodiranje običajno uporablja krajši ključ, kot je navedeno in ne zaklene celotne datoteka, ampak le del, žal pa je to popolnoma dovolj, da datoteka postane popolnoma neuporabna.

[/et_pb_text][/et_pb_column][/et_pb_row][et_pb_row admin_label=”row”][et_pb_column type=”4_4″][et_pb_text admin_label=”Text” background_layout=”light” text_orientation=”left” use_border_color=”off” border_color=”#ffffff” border_style=”solid”]

Če pride do okužbe, pa na vsak način poglejte:

1. ali imate uporaben backup vseh datotek,
2. ali obstaja “Volume shadow copy” diska, ki ga je zaklenil,

Kako lahko okužbo preprečimo

1. Investirajte v požarni zid nove generacije. Priporočamo seveda FortiGate, alternativi sta še Palo Alto in Checkpoint. Tam boste lahko nastavili dve ključni komponenti:
   1. Web content filter – prepovedali boste lahko dostop do varnostno problematičnih (“security risk” pri Fortigate napravi) strani, kot so Phishing, Malicious Web, … Toplo priporočamo, da prepoveste tudi kategorijo “Unrated”. S tem si boste naredili sicer nekaj dela, ker boste morali manj znane spletne strani ročno kategorizirati na zahtevo vaših uporabnikov, boste pa zelo dobro omejili potencial za napade. Alternativno lahko za to kategorijo določite, da spletni brskalnik pokaže le opozorilo. To je zelo verjetno dovolj, saj virusna koda tega opozorila ne zna dekodirati (zaenkrat) in bo tudi to že ustavilo prenos glavne zlonamerne kode. Na Fortigate lahko tudi nastavite, da se mora uporabnik, če želi gledati strani iz kategorije “Unrated”, prijaviti s svojim domenskim geslom.
   2. Ustrezno nastavite Antivirus politiko. Tu imamo nekaj pravnih težav. Če želimo to narediti pravilno, moramo skenirati tudi HTTPS protokol. Ne bomo se spuščali v pravne posledice tega, tu izpostavljamo le, da je to nujno, če želimo ustrezno preprečevati virusne okužbe. Z vsemi zgoraj omenjenimi napravami je to mogoče efektivno izvajati, nam pa v Evropi to precej otežujejo razni regulatorji.
2. Najemite ali postavite ustrezen AntiSpam / Antivirus filter za vašo pošto. Tak filter ne bo prestregel čisto vsega (zato rabimo točko 1), bo pa precej omejil izpostavljenost in zmanjšal verjetnost okužbe.
3. Preverite oziroma vzpostavite prave backup sisteme. Ti morajo biti nujno izvedeni tako, da datoteke v varnostnih kopijah niso dosegljive preko mreže. Za manjša podjetja morda pride v poštev tudi DropBox for Business. Tam se bodo datoteke sicer zaklenile in celo skopirale v DropBox, vendar pa ima storitev verzioniranje in boste lahko prejšnje, še nezaklenjene kopije datotek zlahka povrnili nazaj.

Na brezplačnih webinarjih iz serije “Pametna IT zaščita vašega podjetja” boste izvedeli, kako se FortiGate uporablja v praksi.

Kaj pa, če nimam denarja za vse to?

Če nimate denarja, postavite vsaj varen DNS strežnik. Pred časom smo o tem pisali v našem blogu. 

Poglejte tudi:

Nekaj strani na to temo:

• http://blog.matrixforce.com/2015/03/04/cryptolocker-prevention-top-12-defenses-against-business-loss/
• http://www.bleepingcomputer.com/virus-removal/
• https://malwaretips.com/blogs/category/ransomware/
• https://www.foolishit.com/2013/10/cryptolocker-prevention/

[/et_pb_text][/et_pb_column][/et_pb_row][et_pb_row admin_label=”row” global_module=”1789″ make_fullwidth=”off” use_custom_width=”off” width_unit=”on” use_custom_gutter=”off” padding_mobile=”off” allow_player_pause=”off” parallax=”off” parallax_method=”off” make_equal=”off” parallax_1=”off” parallax_method_1=”off” column_padding_mobile=”on” custom_padding=”0px||0px|”][et_pb_column type=”4_4″][et_pb_cta global_parent=”1789″ admin_label=”Call To Action – Kako varna je vaša oprema.” saved_tabs=”all” button_url=”https://www.virtua-it.si/pregled-omrezja/” url_new_window=”on” button_text=”Preverite” use_background_color=”on” background_color=”#368a8c” background_layout=”dark” text_orientation=”center” use_border_color=”off” border_color=”#ffffff” border_style=”solid” custom_margin=”50px|||” custom_margin_phone=”30px|||” custom_margin_last_edited=”on|phone” custom_button=”on” button_text_color=”#ffffff” button_bg_color=”#368a8c” button_border_color=”#ffffff” button_letter_spacing=”0″ button_use_icon=”default” button_icon_color=”#368a8c” button_icon_placement=”right” button_on_hover=”on” button_text_color_hover=”#368a8c” button_bg_color_hover=”#ffffff” button_border_color_hover=”#ffffff” button_letter_spacing_hover=”0″ module_class=”cta”]

KAKO VARNA JE VAŠA OPREMA?

Preverite stanje z brezplačnim pregledom vašega omrežja.

[/et_pb_cta][/et_pb_column][/et_pb_row][et_pb_row admin_label=”Row” global_module=”1804″ make_fullwidth=”off” use_custom_width=”off” width_unit=”on” use_custom_gutter=”off” padding_mobile=”off” allow_player_pause=”off” parallax=”off” parallax_method=”off” make_equal=”off” parallax_1=”off” parallax_method_1=”off” column_padding_mobile=”on” module_class=”article-navigation”][et_pb_column type=”4_4″][et_pb_post_nav global_parent=”1804″ admin_label=”Post Navigation” in_same_term=”off” hide_prev=”off” hide_next=”off” prev_text=”Prejšnji članek” next_text=”Naslednji članek” use_border_color=”off” border_color=”#ffffff” border_style=”solid” custom_css_main_element=”text-decoration: none;||text-transform: uppercase;” title_font_size=”18px”] [/et_pb_post_nav][et_pb_text global_parent=”1804″ admin_label=”GreyListing” background_layout=”light” text_orientation=”left” use_border_color=”off” border_color=”#ffffff” border_style=”solid”]

Včasih, ko ste sami tisti, ki si dejansko pošljete pošto, recimo ko na kakšni spletni strani zahtevate reset vašega gesla, se vam bo včasih zgodilo, da bo e-pošta prišla s pet ali več minutno zamudo.

Tule razlagamo zakaj je tako.

Nezaščiteni e-poštni strežniki dnevno dobijo tudi do 100x več pošte, kot bi bilo potrebno. Približno 5% je “prave” pošte, vse ostalo pa je spletna nesnaga, predvsem spam, pa tudi virusi in ostala zlonamirna koda. Zato je nujno, da pred vsak spletni strežnik namestimo spam in antivirus filter, v zadnjem času pa tudi bolj komplicirane sisteme kot so SandBox in na splošno strežniki za preprečitev APT groženj.

Ena od zelo dobro delujočih strategij, ki poleg tega ne potrebujejo veliko procesorske moči in širokih internetnih povezav pa je GrayListing. Graylisting je razlog, da pošta pride nekoliko kasneje.

Če prejmemo novo sporočilo od novega kontakta, bo naš strežnik najprej namenoma prekinil povezavo, kot da bi med izmenjavo mailov prenehal delati. To bo povzročilo, da bo strežnik pošiljatelja čez nekaj časa (točno koliko je odvisno od nastavitev tega drugega strežnika, običajno pa je 5 minut), poskušal sporočilo še enkrat poslati. Ker pošiljatelj takrat ne bo več neznan, se bo sporočilo preneslo. Zakaj je to dobro? Izkaže se, da spamerji enostavno nimajo časa ponavljati dostavo e-poštnih sporočil, ker je to za njih preveč zamudno.

Na ta način odstranimo več kot 95% vse nezaželjene pošte. Šele tisto, ki pride skozi, potem naprej preskeniramo in dodatno očistimo.

Kako pa vseeno dobim moje geslo prej kot v 5 minutah?

Rešitev je precej enostavna. Ko prvič pošljete geslo in vidite, da v parih sekundah nimate maila v svojem nabiralniku, počakajte še kakih 10 sekund, nato pa izvedite pošiljanje gesla še enkrat. Tokrat bo sistem že poznal pošiljatelja in bo spustil e-pošto skozi. Čez čas boste dobili tudi tisto prvo sporočilo, ki ga kasneje pobrišite.

 

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]