Zaštitite svoje podatke od zlonamernih skripti

Security Image
Uvod

Već par godina unazad postoje tipovi virusa (sa skriptama u sebi) koje hakeri šalju žrtvama. Ovi virusi u sebi sadrže skripte koje pokreću Windows-ov servis za enkripciju podataka i na taj način zaključavaju sve podatke na računaru žrtve, kao i podatke na deljenim folderima ukoliko su oni dodati kao mapiran drive, tako da na taj način mogu stradati i podaci na serverima ili storage-ima. Čak dolazi do zaključavanja fajlova na Dropboxu i sličnim Cloud Storage sistemima ukoliko je žrtva konstantno ulogovana na ove servise na Internetu putem aplikacije.

Ovaj tip virusa se naziva Cryprtolocker ili Ransomware i tera "žrtvu" da plati za svoje podatke jer ne postoji mogućnost otključavanja istih na bilo koji drugi način. Ranije su ovi virusi prosleđivani kroz priloge koji su sa ekstenzijama koje su zabranjene na većini Mail servera ili ih bilo kakav antivirus relativno lako otkrije pa je potrebno da se žrtva “pomuči” kako bi pokrenula virus (mora da dozvoli pokretanje kroz antivirus, što se čak i dešavalo). U poslednje vreme učestali su prilozi za ekstenzijama .doc (Word), .xls (Excel), te žrtva mnogo lakše nasedne i pokrene sporni prilog. Hakeri su toliko ažurni da menjaju skriptu i algoritme za enkripciju svakodnevno pa se događalo da licencirani antivirus ne prepozna sporni prilog kao štetan, a da nakon samo sat vremena prilikom preuzimanja novih antivirusnih definicija ga otkrije. Ovakvi prilozi su prolazili čak i Google i Microsoft Mail servere, koji važe za najbezbednije, a bivaju detektovani tek nakon sat ili dva vremena što je kasno za žrtvu jer se virus već nalazi u Inboxu.

Kako funkcioniše?

1. Virus stiže u žrtvin Inbox ili Spam folder.
2. Žrtva otvara sporni mail, konstatuje da postoji neki prilog,
3. Žrtva otvara prilog i zavisno od ekstenzije priloga virus se pokreće automatski ili žrtva iz neznanja vrši dodatnu akciju koja pokreće virus,
4. Virus zadaje Windows-ovom servisu za enkripciju zadatak zaključavanja svih fajlova (MS Office, dokumenta, PDF dokumenta, Slike i sl.),
5. Nakon završetka i ponovnog pokretanja računara žrtva primećuje da je Desktop potpuno izmenjen i postoji ikonica koja je šalje na portal za otkup podataka,
6. Žrtva plaća $1500-$4000 za podatke ukoliko ne može da ih se odrekne ili nema backup.

Kako se zaštititi?

Stopostotna zaštita od ovakvih napada ne postoji. Situacija se može preduprediti:
1. Zakupom Secure Mail severa koji je zaštićeniji od Mail servera na cPanel-ima ili sličnim hosting serverima,
2. Kupovinom licenciranog antivirus programa,
3. Redovnim backup-om podataka na mesta koja nisu automatski povezana sa korisničkim računarom.
4. Maksimalnom pažnjom korisnika prilikom čitanja dolazne pošte i priloga u njoj.

Kako prepoznati zlonamerni attachment?

Ukoliko E-mail sa virusom prođe osnovne i napredne zaštite na žrtvinom Mail serveru on stiže u Inbox ili u najboljem slučaju u Spam folder. Od tog trenutka se javlja opasnost od zaraze jer je sporni E-mail dostupan žrtvi. Pošiljalac je u 99,9% slučajeva žrtvi nepoznat, tako da posebnu pažnju treba obratiti prilokom čitanja sve dolazne pošte od koga je stigla porka, a ne mehanički kliktati na nove poruke i otvarati sve iz njih. Onih 0,01% je ukoliko vam poznati pošiljalac, greškom ili zlonamerno prosledi mail sa virusom koji je i sam dobio. Ranije je pošiljalac bila neka generisana adresa E-mail adresa sa domenom koji sumnjivo zvuči ali danas su to legitimne mail adrese koje zaista neko koristi. Dešava se da hakeri bez probijanja mail adrese sa koje vam je stigao virus izmene podatke tako da se ta adresa prikaže vama kao pošiljalac iako iza toga stoji neka generisana mail adresa (gotovo svaka žrtva ne ume to da otkrije).

Samim otvaranjem E-maila ne događa se ništa, možete pročitati sadržaj i konstatovati da postoji neki prilog u toj poruci. Takođe, sadržaj teksta poruke u većini slučajeva nema veze sa trenutnim poslovima koje obavlja žrtva ili čak nema nikakvog teksta, samo prilog, a može biti na bilo kom jeziku, najopasnije je kada je na engleskom jer je većini žrtava razumljiv. Dešava se da su poruke na kineskom, arapskom u tom slučaju obavezno ih ignorišite - sigurno nisu za vas. Do sada nije bilo ovakvih poruka na srpskom jeziku ali ne znači da ih u budućnosti neće biti. Dakle, ukoliko ste samo otvorili dolazni mail, a ne prilog, ništa se neće dogoditi, problem nastaje ukoliko otvorite prilog.

Prilikom otvaranja priloga ne mora odmah doći do zaraze zavisno od tipa priloga. Ako je dokument rađen u Word-u ili Excelu-u u većini slučajeva prilikom otvaranja ovakvih priloga, ukoliko antivirus ne odreaguje, sam Microsoft Office će vas upozoriti da postoje određeni definisani makroi u dokumentu koji mogu biti štetni po vas ukoliko niste sigurni da je dokument bezbedan. U tom slučaju ako zatvorite dokument nećete biti zaraženi, do zaraze dolazi ukoliko kliknete na opciju Enable content ili Enable macros i na taj način dozvolite pokretanje makroa iz dokumenta. Makroi nisu virusi već određene skripte za automatizaciju koje se koriste normalno u svakodnevnom radu u MS Office paketu, tako da možete naići na makroe u dokumentima koji su tu zaista sa razlogom i bezbedni su. Nakon ovog koraka nema povratka i vaši dokumenti će u narednih pola sata do par sati biti zaključani (zavisno koliko imate podataka na hard disku i deljenim resursima). U tom slučaju virus sa skriptom zadaje Windows-ovom servisu za enkripciju komande i servis kreće sa zaključavanjem dokumenata jedan po jedan, sve dok ne završti. Ovakav jedan primer je naveden ovde - https://myonlinesecurity.co.uk/order-confirmation-9355-8379094-20160815-474623-esab-co-uk-leads-to-locky-ransomware/ Ekstenzija dokumenta u prilogu ne mora biti .doc, .xls ili slično iz MS Office-a, ekstenzija može biti i .dat, .js i sl. U ovakvim slučajevima prilikom pokretanja ukoliko antivirus ne odreaguje dolazi do momentalne zaraze. Virus može u prilogu biti i zapakovan, pa će u tom slučaju ekstenzija priloga biti .zip, .rar, .7zip ili sl. U ovakvim slučajevim žrtva mora prvo otpakovati virus i pokenuti ga i ukoliko to uradi, a antivirus ne odreaguje dolazi do zaraze.

Nakon pokretanja spornog priloga počinje proces zaključavanja podataka koji se događa u pozadini i žrtva to retko primeti. Ovo je u većini slučajeva tačka bez povratka za žrtvu i verovatno će svi podaci biti zaključani u period od 30 minuta do par sati. Ovo se donekle može sprečiti ukoliko brzo primetite da vam dokumenti dobijaju čudne nazive i ekstenzije, pa možete ugasiti računar i na taj način zaštititi ostatak dokumenta koji nisu zaključani ali nikako nemojte ponovo uključivati računar jer prilikom pokretanja Windows-a virus nastavlja sa zaključavanjem. Proces zaključavanja u većini slučajeva kreće od C diska i prvo zahvata korisnički profil (Desktop, My Documents, Downloads). Nakon toga prelazi na deljene foldere, Dropbox i sl., D disk i ostale particije koliko god ih ima. Ovaj redosled ne mora biti tačan ali je u većini sučajeva tako. Ukoliko brzo nakon otvaranja spornog priloga primetite neke razlike u nazivu dokumenata u My documents, Desktopu ili sl. odmah ugasite računar. Na ovaj način ćete sačuvati onaj deo dokumenata koji još uvek nije zaključan i njih je moguće spasiti. Gašenjem računara niste zauvek prekinuli proces zaključavanja nego ga samo odložili do sledećeg pokretanja računara. U ovom slučaju hard disk se uklanja i povezuje na neki drugi računar, podaci prebacuju na sigurno i radi reinstalacija Windows-a.

Nakon što su svi podaci zaključani i žrtva ponovo pokrene računar, u većini slučajeva je Desktop izmenjen i postoji ikonica sa nazivom Help ili slično na koju je moguće kliknuti. Klikom na ikonicu otvara se stranica ili portal sa informacijama o ceni i načinu otkupa podataka. Cena je u većini slučajeva prikazana u bitcoin-ima, a protivvrednost je obično $1500-$4000.

Zaključak

Najbolji način da se zaštitite je da ne otvarate mailove mehanički. Pogledajte ko je pošiljalac maila i ukoliko vam je poznat ili ne deluje sumnjivo otvorite mail i pročitajte ga, ali pažljivo sa prilozima koji se nalaze u mailu. Ukoliko ne očekujete neki dokument dobro razmislite da li je pametno da ga otvarate.



napisao/la Katarina