Cum să te ferești de ransomware
Crypto ransomware sunt un tip special de viruși, oarecum asemănători cu virusul Poliția Română, și al căror denumire vine din aceea că-ți criptează datele de pe hard disk, după care ți se cere o sumă fabuloasă de bani, de genul sutelor de euro, ca să-ți ofere parola cu care să-ți decriptezi fișierele.
În afară de un antivirus bun, luat pe bune, iar singurul pe care-l recomand este BitDefender, cu licență, nu prea există soluții de protecție. De fapt, nimic, niciun antivirus, niciodată nu-ți va oferi protecție totală. Revenind.
Cei de la BitDefender au creat o unealtă gratuită prin care puteți downloada un vaccin împotriva virușilor de timp crypto ransomware din familiile CTB-Locker, Locky și TeslaCrypt, vaccin care închide porțile posibile prin care aceste familii de virusuri se răspândesc.
Desigur, nu am înțeles dacă acest vaccin este livrat și inclus în pachetele premium, sau trebuie instalat manual, așa că nu m-am riscat și, mai mult, vă invit și vă rog să vă mai acordați o șansă instalând vaccinul.
P.S. Nu este o poantă.
Chiar ca nu e poanta. De cand au aparut rahaturile astea de ransomware cu criptare, a devenit si mai important backup-ul. Practic, e singura chestie care te va salva, in caz de incident cu ransomware.
Am avut multe cazuri la clienti, vectorul fiind in general stick-uri, descarcari de soft discutabil (gen uite filmul, descarca „codecul”, uite Iphone-ul, dar descarca „utilitarul”, etc).
Cel mai dureros incident a fost la o firma de conta, unde s-au pierdut cam 20 de milioane de fisiere (nu e exagerare, 20 milioane au fost minim). Aaaa, backup? Da, a existat, pana ce nu au scos NAS-ul din priza sa bage aparatul de facut cafei.
Legat de solutii anti-malware, eu le tot repet clientilor mei: dragilor, antivirusul e ca si airbag-ul si centura de siguranta la masina. In caz de nevoie incearca sa te salveze, dar daca tu iti incerci norocul cu fiecare stalp si capat de pod, la un moment dat vei pierde. Conducerea preventiva NU se limiteaza doar la strada ci si pe net 🙂 De obicei continui cu imagistica de automobilism cu roata de rezerva – pene vei avea obligatoriu, important e sa ai backup-ul la zi. Nu iesi la drum fara rezerva? Nu lucrii fara backup.
E interesant cum au reluat producatorii de crytocrap o idee foarte veche, de la OneHalf. Sunt curios cand vor apare si restul de idei malware reincalzite, ca si CIH de exemplu (avand in vedere cate scule sunt pe piata care permit rescriere de firmware direct din OS, vai de curul nostru de se intampla).
Oho, CIH, DaVinci și alte răutăți, bine că le uitasem.
Or să bagă ăștia, iarăși, birus protection în UEFI, cum au băgat, mulți ani, și-n BIOS:
Chiar acum am pe masa un sistem facut zob de ransomware. Vector? Probabil inginerie sociala, ceva mail sau site facut pentru doamne credule. Ciudat cum o tona de contabile, persoane realiste de felul lor, stau cat de ziua de lunga cu douazeci de site-uri deschise, incepand cu Zamolxe, continuand cu homeopatice si motivationale, incheierea fiind evident, ceva asociat cu Arsenic Boca.
Aaaa, antivirusul? A fost oprit, nu o lasa pe habarnam ce site ciudat.
Solutie? Wipe total, nu mai am ce salva.
Omul este veriga slabă.
L-am pus eu pe un laptop unde rulez Windows 10. Oricum sunt suficient de paranoic si precaut incat sa nu deschid orice mizerie si am macros dezactivate in suita office. Dar totusi, daca-i gratis si nu-mi topeste tot RAM-ul l-am pus ca in Windows Defender n-am incredere nici pana ma duc la baie.
Azi inca un incident – tot sistem de contabilitate. Nu e o pierdere dramatica din fericire.
Am stat de povesti cu utilizatorul (care a mai avut un episod de genul) si singurul loc de unde l-a putut aduna a fost de la Finante, cand a luat niste fise de acolo. Tanti zicea adevarul, nu era risc sa ma dezinformeze – cel putin nu intentionat. Repet – se jura pe toti sfintii ca sistemul a inceput sa faca figuri imediat dupa ce a bagat stick-ul de la Finante in calculator (pe care cica l-a scanat, cum am invatat-o).
Fantastic cat de repede a lucrat malware-ul. Infectia s-a produs undeva marti dupamasa, pe azi deja aproape tot era criptat. Apropo, Bitdefender fluiera fericit in spatele gradinii, nu s-a sesizat deloc (nici Eset-ul sau Avast pe alte sisteme).
Dragi colegi de breasla, daca cineva are ceva idei fenomenale despre cum putem actiona (nu doar re-actiona) spre a bloca infectiile astea, eu deja sunt dispus sa incerc orice. Ca pe moment suntem cu zece pasi in spate.
Cloud, tăticu.
OneDrive este o opțiune bună. La fel și dropbox. Dacă se criptează ce-i în cloud, se poate face restore. Mi se pare că OneDrive oferă versionare la fișiere pentru un an istoric.
Hmmm. Zici tu ceva. Cloud local pentru viteza, Owncloud cu versioning. Amu sa vad daca stie reface structuri complexe de foldere / fisiere.
Problema e proiectarea deficitara a sistemelor atacate, de fapt a antichitatii de WinMentor, care inca lucreaza pe baza de sharing. Din diverse motive, are nevoie de full read/write. Deci, cryptoware-ul se poate propaga cu viteza luminii prin retea.
Dacă m-aș ocupa de suport, aș vinde acest serviciu.
Aș avea un cost cu un sistem de OwnCloud, hardware-ul, că software-ul este gratis, și aș împărți costul acelui server plus stocare și ce mai este necesar (networking, curent, RAM etc).
Chiar fac un calcul de genul.
Problema e ca doar fac o noua versiune de backup – si backup am deja.
Maxim ma ajuta sa fac damage control tehnic – pentru ca subiectiv din partea clientului deja sunt fript si vandut, foarte putini inteleg ca in ciuda antivirusului platit, a suportului platit, a licentelor, a diverselor sisteme de interventie si rezerva, malware-ul acesta e cu mult in fata apararii.
Deci, intrebarea mea ramane – cineva cu idei de aparare pre-incident?
1. Aș pune un DNS provider, nu mai știu cum se chema. Din panoul de control te lăsa să oprești traficul către p0rn și alte mizerii.
2. Personal, m-aș gândi serios să încerc Windows Defender Enterprise.
3. Hai să căutăm prin debara un PC și să-l infestăm cu ceva ransomware, să testăm mecanisme de protecție. Poate găsim ceva. Poate nu.
Eu folosesc OneDrive și-mi salvez documentele direct în drive. Și nu bag stick-uri USB în computer. Dar eu sunt mai tehnic și, na, soluția mea nu se aplică pentru publicul larg.
Poate că una dintre soluții ar fi blocarea accesului pe site-urile de genul activenews, caplimpede, expunere, roxin-cum îl cheamă. Am pe cineva în lista de prieteni care dă share la toate porcăriile astea (deși, cum zice Atti, sunt surprinsă că oameni inteligenți și raționali pică în această capcană), deci vă pot actualiza permanent lista cu site-uri focare de infecție.
În legătură cu stick-urile de memorie, poate ar trebui o procedură care să ofere posibilitatea folosirii lor pe un singur dispozitiv (desktop, laptop, etc.), și numai pentru upload în cloud. Eventual se poate bloca accesul pe orice site, cu excepția cloud-ului. Cine are nevoie de document, și-l descarcă din cloud pe dispozitivul de lucru.
Salut Robi, Atti,
Am o solutie care ar merge garantat pe linux (de ex. linux mint)
1. browser default firefox
2. cfengine server cu care faci lock la prefs.js file (main config file pt firefox, o customizezi cum vrei tu, locata in ~/.mozilla/firefox/.default/) pe toate masinile din retea. Poate userul sa intre la creatie, cfengine „vede” si face restore instant la setarile default. Vezi aici despre cfengine http://www.solit.ro/automatizare-si-securizare-cu-cfengine/ (Robi esti liber sa editezi).
3. ca sa faci la fel pe win ai nevoie de cfengine enterprise care costa (de asta ziceam ca pe linux se preteaza si e free) sau gasita o solutie alternativa a cfengine pt win.
4. backup cu owncloud, ownCloud 9.0.0 (stable) stie versioning. Daca vrei sa te aberezi si sa iesi mai cheap pui own cloud pe un raspbery pi.
E ceva de munca la partea de configurare dar odata up and running nu mai ai treaba.
Spor 🙂
Am facut saptamana asta o varianta pe ownCloud – sa vedem ce iese. Ieri am prins doua sisteme care erau in curs de criptare, unul cu Bitdefender, altul cu Kaspersky, amandoua din categoria premium. Nici unul nu s-a prins. Din cate imi dau seama, varianta de CryptXXX din nou.
Vector: mail.