Kada ransomware pretvori vaše bitne podatke u kriptirano “smeće” koje više ne možete pročitati, možete se pomiriti s gubitkom istih ili platiti mnogo dosta novca da biste eventualno dobili ključ s kojim ćete ih dekriptirati. Zato je ulaganje u dobar anti-ransomware software danas neophodno kako biste bili sigurni.

 

Zašto trebate ransomware zaštitu?

Neki ljudi koriste računalo za konzumaciju digitalnog sadržaja – gledaju videe mačaka, gledaju filmove, koriste streaming servise, igraju igre i slično. Druga skupina ljudi kreira sadržaj – od digitalnih crteža do pisanja knjiga, aplikacija itd. Ova zadnja skupina je najviše pogođena ransomwareom, odnosno ona bi se pod svaku cijena trebala zaštititi.

Zamislite da tjedne potrošite na editiranje ogromnog videa, a onda jedan dan upalite kompjuter i vidite poruku od BadRabbita ili TeslaCrypta koja vam kaže da morate platiti 500 dolara za ključ da biste dekriptirali svoje podatke. Prilično nezgodno…

Vaš security suite, odnosno AV program bi trebao uhvatiti ransomware i druge oblike malwarea, no to se najčešće ne događa, nego ransomware prođe. Zato je dobro imati anti-ransomware aplikaciju kako bi “ulovili” baš takve maliciozne kodove koji dođu do vašeg računala.


Još je gore kada ransomware napadne poslovni subjekt. Tada se šteta mjeri u tisućama dolara po satu, a nekad i mnogo više. Na svu sreću, iako su ransomwarei postali iznimno profinjeni, takva je i zaštita. U ovom tekstu ćemo se pozabaviti upravo njome i kako se najbolje zaštititi.

Što je ransomware

 

Što je ransomware i kako ga dobijete?

Premisa ransomwarea je vrlo jednostavna – napadač uzme nešto što je vaše i onda vam to isto “pokuša” prodati nazad. Evo i primjera – najčešći oblik ransomwarea je ransomware koji kriptira vaše podatke s tajnim ključem. Pošto nema šanse da pogodite taj ključ, napadač vam najčešće nudi mogućnost da mu platite X novaca da biste dobili ključ s kojim ćete dekriptirati podatke. Najčešće nećete dobiti ključ, jer novac napadaču plaćate u Bitcoinima i nema nikakve garancije da će vam on dati ključ niti da ćete ga moći otkriti.

Postoji i druga česta vrsta ransomwarea, a ona vam zaključa ulaz u vaše računalo ili mobitel, te vam pokušava uskratiti korištenje istih. No takve “locker ransomwaree” je lakše zaobići i uništiti od onih koje smo maloprije spomenuli.

Kada dobijete ransomware na vaše računalo, nećete to odmah znati. Računalo ne daje znakove kao da ste dobili malware. Recimo, kriptirajući ransomware će raditi u pozadini i kriptirati vaše podatke dok ne napravi sve što treba, a onda će se “aktivirati” da ga i vi vidite. Odnosno, onda će vas tražiti novac/kriptovalute da otključate podatke.

Kako dobiti ransomware? Ili preko web stranice s koje ćete skinuti ransomware (moguće i s mnogim torrentima koje skidate), ili preko inficiranog PDF-a ili nekog drugog office dokumenta koji izgleda sasvim “legalno”. To se dogodilo nedavno s WannaCry ransomware napadima.

Ako ikada imalo sumnjate u legitimnost nekog emaila ili dokumenta kojeg tako dobijete, nemojte ga otvarati/skidati. Odmah ga obrišite ili ako ste u firmi, prijavite svom IT odjelu.
No, na kraju dana, ransomware je samo jedna vrsta malwarea, pa na koji god način možete dobiti malware, možete dobiti i ransomware.

Recimo, možete ga dobiti i tako da gurnete USB stick u neko javno računalo (op.a. za koje je velika šansa da je zaraženo), pa onda taj isti stick uštekate u svoje računalo doma. Ako imate sreće, vaš anti-malware softver će to odmah detektirati i “uništiti”.

 

CryptoLocker i drugi kriptirajući ransomwarei

Prije masivnog WannaCry napada, najpoznatiji ransomware je bio CryptoLocker. On se u sustavu računala nalazio prije 3-4 godine. No, internacionalni suradnja policije, Interpola i raznih agencija je rezultirala uhićenjem grupe koja je stajala iza CryptoLockera. Više informacija o tome možete pročitati ovdje. No, ime te grupe i dalje živi jer su je drugi odlučili koristiti za daljnje aktivnosti i širenje svojih novih malwarea i ransomwarea.

Uklanjanje ransomwarea

 

Uklanjanje ransomwarea

Čak ako ransomware i prođe vaš anti-virusni softver, dobra je šansa da će ga taj isti softver detektirati vrlo brzo nakon što dođe update za AV aplikaciju. Čim se u sustavu računala otkrije novi malware, svi pokušavaju napraviti zaštitu protiv njega. No problem je što uklanjanjem ransomwarea ne dobijete nazad podatke koje vam je kriptirao.

Jedino pouzdano rješenje je držati sigurnosnu kopiju na cloud backupu, te još jednu kopiju na vanjskom disku koji nije spojen na računalo, nego ga spajate samo po potrebi kada radite backup. Jednostavno je najbolje datoteke držati dalje od “napadača” jer ako ne može do njih, ne može ih ni kriptirati. No, postoje još neke strategije borbe protiv ransomwarea.

 

Anti-ransomware strategije

Dobro dizajniran anti-virusni program će ransomware ukloniti čim ga vidi, no oni koji stvaraju ransomwaree su postali lukaviji i profinjeniji. Pošto se svaki malware i ransomware mogao raspoznati po svom “potpisu” i to je bio najefektivniji način uklanjanja istoga, sada kreatori ransomwarea se jako potrude da zaobiđu tu “prepreku”.

Njihova taktika je da taj “potpis” zamaskiraju kako ga AV i slične aplikacije ne bi mogle raspoznati. Na kraju dana, dovoljno je da jedan takav novi malware uspije u svome naumu i evo problema. Za vas jer vam je najvjerojatnije kriptirao podatke, a proizvođačima AV i ostale zaštite problem detektiranja tog novo ransomwarea.

Moderni anti-virusni programi dolaze s bazom podataka koja svaku novu datoteku uspoređuje s tom bazom i prati njihovo ponašanje. Neki softveri se čak i više oslanjanju na praćenje datoteka i što one rade po vašem računalu. Prate da li pokreću neke procese koje ne bi smjeli ili trebali? Upravo u tom smjeru i ide nova zaštita jer malwaree nećete više moći prepoznati samo po “potpisu”.

Kada dobijete ransomware na računalo i kada ga vaša zaštita nije mogla detektirati, on će prvo krenuti na vaš desktop i “Documents” mapu. Neke AV zaštite će zabraniti pristup upravo tim lokacijama neautoriziranim procesima i aplikacijama. Problem je što ako se i pojavi prozor da autorizirate neku radnju, većina korisnika će bez ikakvih kriterija stisnuti “Allow”. Ako vam iskoči od nikuda takav prozor, nemojte stisnuti “Allow”, nego blokirajte taj proces.

Ponavljamo još jednom – najbolja strategija je držanja kritičnih i važnih datoteka na specijaliziranim cloud servisima za backup (IDrive, Acronis, Backblaze, Carbonite, MozyHome, SpiderOak One …). Ako vam netko i zarazi lokalne datoteke, možete ih obrisati (ili najbolje formatirati cijelo računalo), te skinuti iz clouda sve važne podatke koje imate. Provjerite samo kakvu AV i anti-malware zaštitu imaju servisi koje odlučite koristiti.

anti ransomware

 

Detektiranje ponašanja ransomwarea

Besplatni alat RansomFree od kompanije Cybereasons je neobičan u svom nastojanju da detektira i ukloni ransomware napade. Ako ga otvorite i pokrenete, vidjet ćete jednu opciju za kreiranje lažnih podataka (tzv. “bait” podataka) na računalu na lokacijama gdje ransomwarei prvo krenu kriptirati podatke. Kada pravi ransomware i pokuša kriptirati te podatke, on pokrene trigger i ransomware se odmah otkriva i uništava.

Također se oslanja i na neke druge forme otkrivanja ransomwarea, najčešće preko praćenja aktivnosti određenih procesa i datoteka. Problem je što kreatori ovog alata imaju jako detaljnu dokumentaciju pa napadači mogu to uzeti i napraviti ransomware koji će zaobići njihovu zaštitu.

Malwarebyteov Anti-Ransomware Beta također koristi detekciju određenog ponašanja kako bi otkrili maliciozni kod koji je prošao “pored” AV softvera. Oni ne koriste “bait” datoteke, nego radije promatraju kako programi tretiraju dokumente. Kada detektiraju neobično ponašanje, odmah ga stave u karantenu.

Check Pointov softver ZoneAlarm Anti-Ransomware također koristi, kao i RansomFree, bait datoteke ali vam one nisu vidljive u Windows Exploreru. I koristi još neke oblike zaštite jer svaki rnasomware koji smo stavili na računalo radi testiranja, sve ih je otkrio i pokazao se kao jedno od najboljih rješenja na tržištu.

Webroot SecureAnywhere AntiVirus se oslanja na detektiranje ponašanja, odnosno gleda patterne ponašanja i samim time može otkriti sve vrste malwarea, ne samo ransomware. On ne dira poznate procese, nego one nepoznate i samo njih ukloni iz rada.

Nadalje, kada pokrenete program koji ne pripada nikome, odnosno nema deklariranu grupu ili kompaniju kojoj pripada, tada se triggerira Webroot i posebice prati takve aplikacije/programe. Blokira ih da ne mogu napraviti Internet konekciju, odnosno spajanje na neki udaljeni server i bilježi svaku njihovu lokalnu radnju. U međuvremenu, u udaljenoj centrali Webroota se analizira taj isti program.

Napomenimo još da Webroot može dekriptirati neke podatke koje ransomware pokuša kriptirati, no ograničeni su u veličini i broju datoteka i preporučuju izradu više sigurnosnih kopija radi bolje zaštite.

Spomenimo još i besplatni alat Trend Micro RansomBuster koji detektira bilo kakvo kriptiranje podataka na računalu, kopira “originalni” podatak i nastavlja pratiti procese. Kada detektira višestruko kriptiranje podataka, onda stavlja te podatke u karantenu i vraća ih iz iste na računalo. U praksi je uspješnost ovog alata bila oko 50%, no i sama kompanija Micro Trend je svjesna toga i poručuju da je bolje koristiti njihov premium alat Antivirus+ Security.

Trend Micro RansomBuster

 

Prevencija

Dobiti nazad podatke nakon ovakvog (ransomware) napada je dobro, ali je još bolje ne dopustiti da se napad uopće dogodi. Zato trebate koristiti anti-malware zaštitu. Mi ćemo još na kraju ovog teksta napraviti popis dobrih alata koje biste trebali razmotriti za korištenje, posebice ako imate Windowse kao primarni operativni sustav.

Linux i MacOS su malo manje pogođeni time, no to ne znači da se ti sustavi ne mogu inficirati. Dapače – mogu, samo je mali broj malwarea i ransomwarea napisan za njih. Mnogo više je toga za Windowse zbog toga što preko 85 posto korisnika računala koriste Windowse.

Softveri koje biste trebali isprobati i koristiti
Bitdefender Antivirus Plus 2018
Check Point ZoneAlarm Anti-Ransomware
Webroot SecureAnywhere AntiVirus
Acronis Ransomware Protection
Acronis True Image (Online backup service)
Cybereason RansomFree
Malwarebyte anti-ransomware beta
The Cure
Trend Micro Antivirus+ Security
Avast Internet Security
CyberSight RansomStopper
Bitdefender Anti-Ransomware
Panda Internet Security

 

Piše: B.P.

1 komentar

  1. Hm, opet nema u prijedlozima Kaspersky Lab. Već su nekoliko puta dokazali da su najbolji. Spomenimo samo malwere Stuxnet koji se smatra naj sofisticiraniji do sada i da ga je jedino Kaspersky antivirus otkrio kao prijetnju. Sve se može provjeriti na wikipedia, ima i dobrih dokumentaraca o tome, a preporuka je “zero days” iz 2016.
    Koji je razlog izbjegavanja?

Komentiraj

Please enter your comment!
Please enter your name here