TvrtkaPartneri
 

NORT - Baza znanja

NORT - Baza znanja

   
 
Pretraga Baze Znanja
Traži Opcije
(Anti-)Ransomware

 

 

Važno!


Prema iskustvu iz dosadašnjih incidenata, korištenje najnovijih verzija ESET-ovih programa (http://www.nod32.com.hr/tabid/2341/fcat/81/faq/851) s aktivnim standardnim zaštitnim funkcijama i dodatno Advanced Memory Scanner, DNA i LiveGrid te novim operacijskim sustavima sa svim sigurnosnim zakrpama omogućava vrlo efikasnu zaštitu od ove vrste napada i imali smo zanemariv broj prijava o uspješnom napadu.

 

Većina uspješno napadnutih korisnika je imala instaliran Windows XP i stari ili pogrešno konfiguriran ESET-ov program. Poznato je da je Microsoft napustio Windows XP još u travnju 2014 i sigurnosni propusti (poznati i/ili nepoznati javnosti) neće nikada biti ispravljeni. Windows server 2003 je također napušten "odavno", u informatičkim razmjerima.
 

To ne znači da se situacija već sutra neće promijeniti (nagore) i da su korisnici novih ESET-ovih programa i novih Windowsa apsolutno sigurni te da smiju otvarati privitke poruka nepoznatih pošiljatelja ili bez razmišljanja klikati po raznim ponuđenim linkovima. No, svakako govori u prilog tome da nove verzije naših programa vrlo aktivno prate trendove i prilagođavaju svoje algoritme zaštite novim tehnologijama napada.
 


 

Izdvojene informacije o napadu pod nazivom "WannaCryptor / Jaff" (2017-05)
(Ostali nazivi: WCry, WannaCry, WannaCrypt, WanaCrypt0r)
(http://support.eset.com/ca6443)

Microsoft navodi da su računala koja se redovito ažuriraju "sigurna" od iskorištavanja sigurnosnog propusta:

     https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks
     "…Those who have Windows Update enabled are protected against attacks on this vulnerability…"

S ove lokacije možete preuzeti zakrpe i za napuštene operacijske sustave (Windows XP, 2003, ...):
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

Preuzmite ESET-ov program kojim možete provjeriti je li operacijski sustav ranjiv:

http://support.eset.com/kb6481

 

ESET - naši programi detektiraju i sprječavaju ovaj napad:

     http://support.eset.com/alert6442
     "…ESET products can detect and block this malware…"

Jači ESET-ovi programi (EIS, ESS, ESSP, EES) blokiraju napad na dvije razine - funkcija Zaštita protokola (Network Attack Protection; prije: Vulnerability Shield) ne dopušta iskorištavanje sigurnosnog propusta (MS17-010), poznate uzorke ransomwarea uklanja antimalware modul, a (napredna) heuristika i LiveGrid mogu otkriti i ukloniti i nepoznate uzorke.

Programi ESET (NOD32 | Endpoint) Antivirus nemaju modul za Zaštitu protokola.

 

ESET-ovi programi od ove vrste napada štite računala već nekoliko mjeseci. Provjerite imate li najnovije verzije naših programa, jesu li ažurirani i dobro konfigurirani:
http://www.nod32.com.hr/tabid/2341/fcat/76/faq/507

http://www.nod32.com.hr/tabid/2341/fcat/97/faq/852

 

Napravite backup bez obzira na aktualne događaje:
http://www.nod32.com.hr/tabid/2341/fcat/97/faq/770

 

Informacije o napadu pod nazivom (New) Petya (2017-06)
(Ostali nazivi: GoldenEye/Petya; Petewrap; DiskCoder.C)
http://support.eset.com/ca6489

 

 

Vrijede sve preporuke kao i za WannaCryptor; prvenstveno - ako još niste zakrpali Windowse, učinite to sada (v.gore). Prema informacijama koje imamo, nova Petya ne napada putem e-maila (attachment) nego samo zlouporabom nezakrpanih sigurnosnih propusta u operacijskom sustavu.

 

Više informacija:
http://support.eset.com/alert6488

https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine

 

Jedan od trikova koji sprječava pokretanje zlonamjernog programa je da kreirate sljedeće tri datoteke:
C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat

i postavite im atribute na Read-only (npr.: attrib +r perfc.dll)

 

 


Napomena:


Ovaj članak je namijenjen informatičarima i vještijim korisnicima; cilj članka nije detaljni opis svih koraka koje je potrebno poduzeti da bi se pojedina stavka zaštite provela u djelo. O pitanjima u vezi konfiguracije ESET-ovih antivirusnih programa posavjetujte se s našim stručnjacima za podršku, a za pitanja vezana uz programe trećih proizvođača molimo da se obratite odgovarajućim tvrtkama.

 

ESET vas može vrlo efikasno zaštititi i od većine malwarea iz vrste "kripto virusa" (tehnički gledano, ne radi se zapravo o virusu nego o "hakerskim" napadima na računala i/ili "socijalnom inženjeringu" - prijevarom se navede korisnika da sâm aktivira zlonamjerni program) ako je ispravno konfiguriran prema uputama u ovom dokumentu (kliknite na sliku):

ESET Anti-Ransomware  Setup

 

     Video s primjerom konfiguriranja osobnog firewalla možete pogledati ovdje. Na temelju tih uputa možete postaviti i sva ostala pravila. U dokumentu se među ostalim spominje konfiguriranje programa ESET Mail Security za Exchange. Ako mail server imate na Linuxu, tada se ta fina podešavanja provode konfiguriranjem servera (exim, qmail, ...) i programiranjem njihovih skripti.


No, stopostotna zaštita jednostavno ne postoji nigdje (ni u realnom životu, pa tako niti u digitalnom) i nijedan postojeći antivirusni program neće zaštititi računalo uvijek i od svih vrsta prijetnji. ESET-ovi programi su među najboljim antivirusnim programima, ali niti naši programi ne mogu jamčiti zaštitu 100% (dnevno se identificira preko 350.000 novih "virusa" i ako pretpostavimo uspješnost detekcije i sprječavanja 99,9999% prijetnji, još uvijek će ostati najmanje 35 novih zlonamjernih programa dnevno koji će proći nezapaženo pokraj antivirusa, a dovoljan je i samo jedan za gubitak podataka).
 

Uz antivirusni program i ostale vrste zaštite[*1], najvažnija linija zaštite podataka (od malwarea, kvarova, elementarnih nepogoda, pogrešaka, sabotaže, ...) je - kvalitetan backup. Ukratko - redovito radite backup, koristite naizmjenično najmanje dva vanjska medija i obavezno ih isključite iz računala odmah nakon završetka backupa (vanjski uređaj se može "isključiti" i programskom naredbom / skriptom, ali nakon reseta će priključeni diskovi opet biti vidljivi).
 

I dok je tzv. "MUP virus", koji prividno blokira Windowse (pogrešno je nazvan virusom jer se radi o običnom programu poput Notepada, no u medijima je taj naziv postao standardom) vrlo jednostavno ukloniti s računala, aktualna je i masovna kampanja napada zlonamjernim programima iz kategorije koja je otprije poznata pod nazivom GPCode ili Filecoder, a sada i kao Cryptolocker (Crypto*), CryptoWall, TeslaCrypt, Ransom32, Locky i dr., čije posljedice je praktički nemoguće ukloniti (dokumenti su šifrirani snažnom enkripcijom), a nijedan proizvođač antivirusnih programa još nema stopostotnog rješenja, upravo iz razloga što se u temelju ne radi o napadu virusom.

U zadnje vrijeme pojavljuju se i prve varijante FileCodera koje kriptiraju cijeli disk računala.
 

Slike obavijesti nekih FileCodera:

Slika 1

Slika 2

 

Vektori napada

Program dolazi najčešće putem e-pošte, inficiranih web servera ili napadom na Remote Desktop Protokol (RDP - koji, pojednostavljeno rečeno, omogućuje spajanje na udaljeno računalo preko Interneta); korisnik primi e-poruku s linkom na stranicu koja sadrži kôd za iskorištavanje sigurnosnih propusta u Javi, internetskim preglednicima i/ili operacijskom sustavu i na taj se način kopira na računalo žrtve i obavi svoju rabotu. Ponekad se u samoj e-poruci nalazi i izvršni program u arhivi (ZIP, RAR, ...) - ova metoda je "najpopularnija", ako možemo upotrijebiti taj izraz. U nekim slučajevima se koristi dvostruka ekstenzija za attachment (npr.: "rehnung.zip.exe" ili "invoice.pdf.exe") - Windowsi i/ili mail klijent korisniku prikaže samo prvu ekstenziju (zip ili pdf), čime se stječe dojam da se radi o bezazlenom dokumentu (iako nijedan dokument koji nosi riječ "Račun" u naslovu nije bezazlen).

Što se tiče napada na računala s uključenim RDP-om, radi se najčešće o iskorištavanju slabih (malo znakova, samo slova ili samo brojke, …) i/ili "popularnih" lozinki (123456, admin, password, …) - napadač može jednostavno detektirati da se RDP na tome računalu koristi i onda se pokušava spojiti isprobavajući lozinku po lozinku.

U rjeđim slučajevima se iskorištavaju sigurnosni propusti (https://support.microsoft.com/en-us/kb/2671387).

Nije isključena ni mogućnost napada na druge programe koji omogućuju spajanje preko interneta (npr. TeamViewer, VNC, ...), dapače, ima indicija da su takvi napadi već u probnoj fazi.

 

Posljedice

Po uspješnoj aktivaciji na računalu, program briše izvorne dokumente (DOC*, PDF, XLS*, …) nakon kreiranja šifriranih kopija kojima ponekad dodijeli specifičnu ekstenziju (npr. *.omg, " *india.com", " *anointernet.com", " *lycos.com", .wallet, ...), te nakon toga prikaže obavijest u kojoj se traži uplata određenog novčanog iznosa ($300-$2000) za ključ / postupak kojim se datoteke mogu dešifrirati. Pod udarom je niz vrsta datoteka na svim medijima na kojima napadnuti korisnik ima pravo pisanja/brisanja (lokalni i vanjski diskovi, USB memorije, mapirani mrežni diskovi, mapirani cloud diskovi, …).

 

Uklanjanje posljedica

Prema svim trenutno dostupnim informacijama dešifriranje bez ključa je najčešće nemoguće ako nemate rodbinu u NSA (No Such Agency), pa žrtvi u pravilu ostaju samo dolje navedene mogućnosti:
 

1.  Vratiti datoteke iz backupa, ako ga imate

Za: ovo je najbolje, najpouzdanije i najjeftinije rješenje
Protiv: nema argumenata protiv
 

2.  Platiti otkupninu i nadati se da će zaista i dobiti ključ za dešifriranje

Za: iako, naravno, mi to ne možemo podržati, pokazalo se da žrtve često dobiju ključ nakon uplate
Protiv: plaćanje kriminalnom miljeu i održavanje istih na životu
 

3.  ShadowExplorer (http://www.shadowexplorer.com)

Prema trenutno dostupnim informacijama, u slučaju napada nekim vrstama cryptolockera, program ShadowExplorer može pomoći u povratu podataka. Na navedenoj stranici možete pronaći datoteku za preuzimanje kao i upute za korištenje.
Imamo izvješća s terena da je alat bio ponekad uspješan u povratu dokumenata koje je napadnuto računalo šifriralo na mrežnim diskovima (mapiranim diskovima; vrijedi pokušati i u "Home grupama")
 

4. Povrat prethodne verzije dokumenta ("Previous version")

U nekim slučajevima može pomoći i vraćanje prethodne verzije dokumenata, ako su bile omogućene opcije File History (Windows 8.1 i noviji) ili System Protection (Windows 7 i Windows Vista). Više detalja možete pronaći na Microsoftovim stranicama:

http://windows.microsoft.com/en-us/windows7/recover-lost-or-deleted-files

 

5. 'Undelete'

U nekim (rjeđim) slučajevima lošije programiranih cryptolockera, stare dokumente je moguće vratiti programima tipa Recuva, R-Studio, Photorec. Predlažemo da na drugom računalu pripremite USB memoriju s ovim programima i pokrenete ih na napadnutom računalu (i na svim računalima na kojima su kriptirani dokumenti).

 

Zašto antivirusni programi ne prepoznaju ovu vrstu napada?

Virus signature database - Jedan od (naj)većih problema je činjenica da se kriptiranje obavlja izuzetno brzo i korisnici ne stignu reagirati, a nakon obavljene rabote program izbriše sve svoje tragove s diska i iz memorije. Budući da se antivirusna industrija ipak uglavnom temelji na uzorcima i kreiranju obrane protiv konkretnog malwarea, očito je da je dolazak do uzoraka dugotrajan posao.

Zbog toga skeniranje računala nakon incidenta u većini slučajeva pokazuje da su računala "čista" (u rjeđim slučajevima se naiđe na tragove generičkih droppera, trojanca, ...).

 

Heuristika - Navedeni programi nemaju karakteristike ponašanja malwarea - u principu je stvar ista kada vam poznanik pošalje e-mail s linkom na koji kliknete, preuzmete program s Interneta (npr. Notepad.exe) i pokrenete ga. Nijedna karakteristika programa ili postupka ne upućuje na ponašanje malwarea. Kada bi antivirusni programi prepoznavali ovakve, praktički svakodnevne radnje, nijedna legitimna aplikacija više ne bi mogla biti pokrenuta bez upozorenja na opasnost od virusa, tj. broj false-positive alarma bi dosegnuo takve razine da bi ljudi prestali koristiti antivirusne programe.

 

Brojne varijante - Još jedna neugodna činjenica je da je na crnom tržištu moguće kupiti izvorni kôd Crypto-obitelji i prilagoditi ga svojim potrebama. To uvelike proširuje broj novih varijanti kojih na dnevnoj bazi ima vjerojatno na stotine.

 

Prevencija

Postoji više načina prevencije, od kojih je prvi nepogrešiv, drugi mogu biti razmjerno efikasni, a zadnji je gotovo nemoguće provesti i tu skoro da nema spasa već desetljećima.

 

  • Kvalitetan backup!

Ovim načinom ste se nepogrešivo osigurali od svih mogućih problema s računalima, bilo da se radilo o virusima, hakerskim napadima, cryptolockerima, prirodnim katastrofama, kvarovima, sabotažama ili pogreškama. Nećemo se dugo zadržavati na ovoj opširnoj temi koja je, uostalom, svima poznata, samo ćemo naglasiti jedan detalj kod backupa na vanjske diskove - poslije backupa ih obavezno isključite iz računala (postoje i softverska rješenja koja mogu odjaviti disk) u protivnom će Cryptolocker šifrirati i datoteke na njima. U idealnoj situaciji ćete koristiti najmanje dva diska / USB medija naizmjenično. 

Usluge Cloud backupa (npr. Google Drive, Microsoft SkyDrive / OneDrive, ...) predstavljaju također dobru zaštitu, ali samo ako cloud diskovi nisu mapirani kao lokalni (npr. kao disk "M:" i sl.) ili ako nisu online - nakon što napravite backup, odjavite se s clouda.

Ovo je važno imati na umu - ako Filecoder kriptira Vaše dokumente na disku računala A, oni će biti u tom stanju ažurirani i na cloud disku. Ako dokumente sinkronizirate na računalu B - dokumenti koji su spremljeni na lokalnom disku tog računala će biti zamijenjeni kriptiranim verzijama dokumenata s cloud diska.

 

Ako koristite usluge Cloud backupa osigurajte da koristite one koje imaju versioning - odličan su način prevencije, jer čak i u slučaju kriptiranja online sadržaja, može se vratiti prethodna verzija.


Za sada napadi iz reda Cryptolockera ne šifriraju datoteke na UNC folderima (\\server\folder), no pitanje je kada će početi tražiti i takvu vrstu veza na dijeljene mape.


Ako iz nekog razloga nikako ne možete koristiti gornje metode, barem nakon backupa promijenite ekstenziju datoteke iz ZIP, ARJ i sl. u EXE ili neku nepoznatu ekstenziju (*.MojBekap). Crypto* programi za sada uglavnom ne šifiriraju izvršne datoteke, nego samo poznatu listu ekstenzija za vrste datoteka koje mogu sadržavati podatke.

Dodatak: pojavila se verzija Cryptolockera koja šifrira cijele diskove ili ključne dijelove diska kako bi izgledalo da je sve kriptirano.

 

Ako koristite lokalne / mapirane foldere ili UNC za backup - stvarnim korisnicima dopustite samo pravo čitanja (a možda im čak ni to nije potrebno) - sva ostala prava dodijelite samo specijalnom korisniku npr. BkpRobot. Isključivo pod tim korisničkim imenom pokrećite program za backup. Cryptolockeri za sada ne mogu šifrirati ili ukloniti datoteke do kojih nemaju pravo pristupa.

 

  • Korištenje antivirusnog softvera i drugih sigurnosnih tehnologija

    Nezaobilazna karika koju vjerojatno ni ne treba spominjati. Sva računala na mreži jednostavno moraju imati antivirusni program, no, to ne smije biti jedina zaštita koju imate jer AV programi nikada nisu bili namijenjeni zaštiti od svake vrste napada - koristite firewall, IDS programe, ...

    Obavezno aktivirajte ESET LiveGrid i Advanced Memory Scanner (HIPS) i Advanced Heuristics (DNA) ako ste ih isključili tijekom ili nakon instalacije. Pogledajte video:

 

  • Nadogradnja svih programa na najnoviju verziju

Najveći broj prijava uočen je na zastarjelim operacijskim sustavima (koji više nisu podržani od strane proizvođača) te sa starim verzijama ESET proizvoda (kao što su na primjer ESET NOD32 i ESET Smart Security verzije 3, 4 itd).

  • Preporučujemo da redovito preuzimate i instalirate sve sigurnosne zakrpe i nadopune operacijskog sustava kao i svih aplikacija koje imate instalirane na računalu.

  • Nemojte zaboraviti nadograditi dodatke za internetske preglednike (addons, extensions, ...), ako nove verzije postoje. Budući da su ovi programi često rezultat rada malog tima ljudi ili one-man-banda, sigurnost im zna bit lošija strana, a isto tako i održavanje aplikacije.

  • Korisnicima koji još uvijek imaju računala s operacijskim sustavom Windows XP preporučujemo da razmisle o prelasku na noviji OS (Windows 7, 8.1, Linux, ...)

  • Svakako nadogradite ESET proizvod na najnoviju dostupnu verziju i provjerite da li je aktivan ESET Live Grid.

Slika 3

 

  • Software restriction i sl. ("Application control")

A. Neke varijante CryptoLockera se po aktiviranju pokreću iz direktorija %AppData% ili %LocalAppData%, pa ih je jednostavno spriječiti kreiranjem novog pravila u okviru HIPS-a u ESET-ovim programima verzije 5:

Slika 4

  • Naziv pravila: BlokirajEXEuAppData
  • Akcija: Pitaj
  • Izvorne aplikacije: ostavite "Valjano za sve"
  • Ciljne datoteke: ostavite sve isključeno
  • Ciljne aplikacije: uključite "Koristi za sve aplikacije"
  • Preko ovih aplikacija: locirajte direktorij C:\Documents and Settings\<NazivKorisnika>\Application Data\*.*

Verzija 6

Time će svako pokretanje izvršne datoteke iz gornjeg direktorija i svih direktorija ispod njega biti kontrolirano od strane ESET-ovog programa i modula HIPS i pokrenut će se samo ako korisnik to dopusti. Povremeno se neka legalna aplikacija pokreće iz ovog sustava direktorija (npr. nadogradnja Jave je jedna od takvih), pa nije dobro staviti potpunu automatsku zabranu.
 

B. Druga opcija je korištenje Microsoftovih tehnologija Group Policy i AppLocker. Za više informacije pogledajte linkove na dnu ovog članka.
 

C. Treća opcija: program CryptoPrevent. Za više informacije pogledajte linkove na dnu ovog članka
 

D. Pažljivo planirajte dopuštenja na mrežnim (mapiranim) diskovima. Do sada su cryptolockeri uglavnom koristili mapirane diskove, a ne UNC path (\\server\folder) i, logično, kriptirali sve dokumente u folderima u kojima su imali sva prava (preimenovanje, brisanje, kreiranje, ...); No, postoje indicije da mogu uspješno zloupotrijebiti i tzv. "Home grupe" u kojima svi dijele sve sa svima. Poželjno je ta prava smanjiti na najmanju moguću mjeru, odnosno korisnicima koji pristupaju pojedinim sadržajima na mreži dati prava samo na one sadržaje koji su im neophodni, i ako je ikako moguće dati im prava samo za čitanje, a ne za modificiranje ili čak brisanje pojedinih datoteka.

 

  • Zaštita RDP-a (udaljeni pristup)

(Osvrćemo se uglavnom na RDP, ali sve ovo vrijedi i za sve druge načine udaljenog pristupa - TeamViewer, LogMeIn, *VNC, ...).

Isključite RDP ako nije neophodan. Ili napravite planirani zadatak (task) koji će u određeno vrijeme uključiti i/ili isključiti taj servis i mogućnost udaljenog pristupa.

Sve lozinke za RDP (a i šire) treba  pojačati - najmanje 12 znakova, koristiti i brojke i velika i mala slova i interpunkcijske znakove - i to pravilo nametnuti administrativnim alatima. I za ovu priliku, ali i za brojne druge situacije, vrijedi prijedlog da se korisniku 'Administrator' zabrani pristup RDP-om, a umjesto njega se kreira drugi račun nesugestivnog naziva (npr. "Gost") kojemu se dodijele ovlasti administratora.

Port za Remote Desktop (inicijalno je na 3389) bi bilo dobro premjestiti kako u slučaju napada tim putem napadač ne bi odmah na pladnju imao informaciju da je RDP aktivan. Bilo bi vrlo poželjno u obranu uključiti i neki alat koji sprječava skeniranje portova - npr. za radne stanice će odlično poslužiti ESET Smart Security ili Endpoint Security koji imaju dio funkcija IDS-a u okviru osobnog firewalla; na serverima je poželjno koristiti specijalizirane programe.

Ne samo u slučaju napada na RDP nego i za druge situacije je dobro postaviti lozinku za promjenu konfiguracije ESET-ovih programa. Ako napadač nekako i uspije "proći" kroz RDP, neće moći isključiti ESET-ovu zaštitu niti deinstalirati program u normalnom načinu rada.

 

  • Zaštita e-pošte

Još uvijek ima i dovoljno tvrtki i dovoljno pojedinaca koji se oslanjaju na eventualno postojeću te više ili manje uspješnu zaštitu e-pošte na poslužiteljima pružatelja internetskih usluga; stoga se isplati i dalje slati ogromne količine neželjene pošte i biti siguran da će određeni postotak poruka proći zaštitu i doći do računala krajnjeg korisnika.  Svakako bi bilo dobro zaštititi i radne stanice alatima koji daju dodatnu razinu zaštite provjerom e-poruka.

 

  • Outlook - izbjegavajte mogućnost "Reading pane" ("Okno za čitanje") i onemogućite automatsko izvođenje makro naredbi

    Navedena opcija (Reading Pane) je bila zloupotrebljavana još u prastarom Outlook Expressu, ali ni novije verzije Outlooka nisu pošteđene (https://technet.microsoft.com/en-us/library/security/ms13-068.aspx). Naime, moguće je poslati posebno oblikovanu e-poruku koja može automatski pokrenuti neki program na računalu. Automatsko pokretanje se može dogoditi već tijekom pregleda e-poruke u prozoru "Reading pane", bez otvaranja e-poruke dvoklikom.
    Postupak za promjenu navedenih postavki možete pročitati u Microsoftovim člancima: ENG, HRV.

    Microsoft je namjerno isključio automatsko izvršavanje makro naredbi kao sigurnosnu mjeru. Mnogo malicioznih infekcija pokušava nagovoriti korisnika da ponovo uključe automatsko izvođenje makro naredbi, zato nemojte to raditi!

     
  • Outlook - otežajte korisnicima pristup attachmentu u e-mailu

    Ključne riječi za traženje po Microsoftovim tehničkim stranicama: Level1Add i Level1Remove; opcija *Add će korisnicima potpuno onemogućiti pristup "opasnim" attachmentima; opcija *Remove će ih prisiliti da attachment prvo spreme na disk, pa ga tek odandje mogu otvoriti.
    Level1Remove je korisno primijeniti za .ZIP; .RAR i druge arhive koje primate u redovitom poslovanju kako biste ih i dalje mogli koristiti. Level1Add upotrijebite za sve druge ekstenzije.

    Više detalja:
    http://support.eset.com/kb6102/
    https://support.microsoft.com/en-us/kb/926512

 

  • Krajnji korisnik

Od ove komponente informatičkog sustava nema efikasne zaštite, a većina Crypto* napada svoj uspjeh duguje upravo ovoj komponenti.

Usprkos desetljećima edukacije i svakodnevnim upozorenjima, krajnji korisnik još uvijek na tisućama puta opetovano upozorenje da se ne smije klikati na sve linkove koji se pojave u okolini ne reagira ni u približnom postotku zainteresiranosti kao na jednokratnu obavijest trećerazrednog medija o ponovnoj neuspjeloj umjetnoj oplodnji drugorazredne celebrity osobe.

A kada sustav zaštite posrne (a hoće) i inficirana poruka dospije do korisnika, te on na nju i klikne, jer, jelte, rečeno je tako u poruci na engleskom (koji jezik, usput rečeno, ne raspoznaje kad mu stigne poslovna e-poruka), IT sustav - koji je ionako prilično problematičan jer je sve ovo dopustio – će teško ili nikako spriječiti katastrofu.
No, lukavo sročeni e-mailovi socijalnim inženjeringom mogu "natjerati" (često prezaposlenog, u žurbi, a time i manje opreznog) korisnika da klikne na privitak i aktivira šifriranje dokumenata.

 

Većina verzija Crypto<nešto> napada u stvari koriste odavno poznate propuste u konfiguriranju sigurnosti sustava i programa koji su uglavnom rezultat ljudske, a ne tehničke naravi i, slijedom toga, lako je, jeftino i moguće znatno otežati posao napadačima u budućnosti.

 

 

Eventualni povrat dokumenata ako ne postoji backup

Što manje koristite instalirane Windowse u ovoj fazi.
Idealno bi bilo neke napraviti mirror diska prije no što započnete s radnjama.

ShadowExplorer

Microsoft - 'Previous versions'

Programi za 'Undelete'

 

 

Outlook .PST datoteke

U nekim slučajevima (kada filecoder ne šifrira cijelu datoteku, nego samo dio, što se događa ako je .PST velik nekoliko GB) je moguće vratiti dio mailova programom ScanPST - https://support.microsoft.com/en-us/kb/272227

 

 

Preimenovanje datoteka

U nekim slučajevima je pomoglo obično preimenovanje datoteka - npr. preimenujete datoteku "Dokument1.doc.id-123123-fud@india.com" u "Dokument1.doc" i dokument ponekad postane čitljiv (ako ovaj potez uspije, ikona se odmah pretvori u uobičajenu za datoteke s ekstenzijom .doc i kada dokument otvorite, njegov sadržaj vam postane vidljiv).
 

TEMP direktorij

U isto tako rijetkim situacijama, izvorne kopije (nekih) kriptiranih dokumenata se nalaze u folderu %TMP%.
 

Plaćanje otkupnine

Naravno, ovaj korak ne možemo preporučiti. No, također ne možemo ne spomenuti činjenicu da su žrtve dobivale ključeve za dešifriranje dokumenata (postotak nije poznat). Moramo spomenuti da se time povećava i opasnost od otvaranja daljnjim napadima.
 

Disk repair*

NAPOMENA: Za ovaj savjet nemamo povratnu informaciju s terena da li je pomagao ili ne, pa ga navodimo samo kao ideju vrijednu razmatranja u slučaju da nemate backup i nijedna od gornjih metoda ne pomaže, a podaci su vrlo važni.

Savjet se odnosi na one verzije Cryptolockera koje izvorne dokumente prepisuju, a ne samo brišu (tako 'prepisani' dokumenti se ne mogu vratiti programom Recuva).

Naime, budući da se šifriranje i brisanje dokumenata obavlja izuzetno brzo (nekoliko tisuća dokumenata za par minuta), pretpostavka je da se prepisivanje obavlja samo jednom ili samo nad dijelom datoteke, što navodi na pomisao da bi u specijaliziranim laboratorijima za povrat podataka s neispravnih ili uništenih diskova mogli vratiti i prepisane dokumente.

Naglašavamo da za ovaj savjet nemamo povratne informacije i ne znamo koliko je efikasan.

 

Više informacija

Na što imaju pravo  licencirani korisnici ESET-ovih programa?

Prevencija


BACKUP na vanjske diskove

  • koristite barem dva diska naizmjenice
    (i vanjski diskovi se kvare)
  • isključite vanjski disk odmah nakon završetka backupa
     

ESET - najvažnije postavke
 

  • Obavezno aktivirajte ESET LiveGrid! u ESET-ovim programima
  • Aktivirajte Advanced Heuristics (DNA)
  • Uključite sve module HIPS-a
  • Uputno je uključiti detekciju svih triju neželjenih vrsta programa
  • Postavite lozinku za promjenu konfiguracije ili deinstaliranje
     

Razno

Bleeping Computer info

Microsoft Group policy i AppLocker

CryptoPrevent

CryptoMonitor

Nadogradnja operacijskog sustava i svih aplikacija!

 

 

Besplatna podrška - Svi korisnici ESET-ovih programa imaju pravo na besplatnu tehničku  podršku u rasponu od pomoći pri upisu korisničkog imena do rješavanja mrežnih problema radi  implementacije programa Remote Administrator.

 

Besplatna nadogradnja - Za vrijeme trajanja licence, korisnici mogu nadograditi svoj proizvod na najnoviju verziju dostupnu na Internetu.

 

Daljinska administracija - Ponekad je za korisnike najbrže i najjednostavnije dopustiti našim djelatnicima da se spoje na računalo i riješe problem umjesto njih. Privatnost i tajnost se, dakako, podrazumijevaju.

 

Savjetovanje - U slučaju nedoumice pri odabiru ili načinu korištenja programa – razmotrit ćemo Vašu informatičku okolinu i dati Vam savjet.

 

 

(posljednji puta revidirano 28.06.2017.)


eset xnortx application control antiransomware ransomware app petya
 

 

   
mobile porn
instagram begeni
free spins no deposit 2017
sirinevler escort sirinevler escort atakoy escort mecidiyekoy escort etiler escort atasehir escort kadikoy escort
paykasa
mobilepornxtube mobile18porn mobilefuckporn mobilexxxsexporn