Pewnie czytacie na różnych portalach internetowych o nowych groźnych trojanach szyfrujących dane na dyskach (CTB-Locker, Cryptolocker,copycat)? Pewnie myślicie, że was to nie spotka? Że, to jakaś zagraniczna, zamorska infekcja)
Wierzcie mi, że błądzicie. Absolutnie może was to spotkać.
Sam widziałem laptopa zarażonego tym paskudztwem i słyszałem o jeszcze kilku innych przypadkach. Na tym laptopie było jak najbardziej aktualne oprogramowanie antywirusowe (nie, nie darmowe, płatne). Pominę producenta gdyż nie jest to istotne. Każdy producent coś przepuszcza. Musicie śledzić rankingi, tzn. wiedzieć, którzy producenci są najlepsi.
O dziwo antywirus po jakimś czasie skasował wirusa (sic!) ale zdążył on zaszyfrować wszystkie pliki graficzne (wasze kochane zdjęcia!), dokumenty (zarówno Microsoft Office, jak i Open Office / Libre Office).
Na ekranie pojawił się śliczny napis z licznikiem, odliczającym czas do którego możemy przelać pieniądze poprzez szyfrowane połączenie (Tor) na konto określonej osoby/osób aby dostać nasz indywidualny kod odszyfrowujący. Komunikat pojawia się też jako tapeta pulpitu, jako pliki w "moich dokumentach" ..
Tych plików absolutnie nie odszyfrujecie. Klucz jest zbyt mocny. Z tego co czytałem to na ogół po zapłaceniu, kod nie jest wysyłany. Zresztą płacąc cyber terrorystom robicie szkodę nam wszystkim.
Jakie są inne metody?
- Możecie zaznaczyć plik, katalog prawym przyciskiem myszy i wybrać "Przywróć poprzednie wersje". Jest to wykorzystanie metody punktów przywracanie itd.. (jeśli oczywiście zachowywanie wersji plików jest włączone). Tu was znów zmartwię. Często nie jest. Wirus też próbuje usunąć poprzednie wersje plików ;p usuwając punkty przywracania.
- kolejna metoda to program do przywracania danych. Trojan na ogół tworzy wersję zaszyfrowaną pliku a oryginalną usuwa. Czyli coś możemy odzyskać. Znów was zmartwię. Tworząc nową wersję (zaszyfrowaną) trojan z dużym prawdopodobieństwem nadpisze wersje oryginalne plików. No ale coś odzyskacie.
I TO WSZYSTKO
A JAK SIĘ USTRZEC?
- Jeśli macie pieniądze to kupcie urządzenie typu UTM (Firewall następnej generacji) na brzegu sieci. Będzie on przeglądał i blokował pakiety sieciowe, filtrował pocztę, blokował botnety, blokował nieporządane aplikacje, sprawdzał obecność złośliwego kodu..
- Zawsze aktualne oprogramowanie antywirusowe
- Zawsze dodatkowo program typu anty malware np. MBAM
- Użytkownicy nie powinni mieć uprawnień administracyjncych
- Edukacja użytkowników. Tłumaczyć, że jeśli nie mamy interesów w Azji to nie czytamy maili po chińsku, a już na 100% nie otwieramy załączników!!!
- Można ściągnąć polisy (GPO) blokujące wykonywanie plików wykonywalnych w katalogach tymczasowych itd. Nie podam przykłady gdyż polisami można też coś popsuć. Poszukajcie są szablony na necie
- Nowość to program Cryptoprevent . Zawiera w sobie mnóstwo narzędzi (polityk GPO) i innych, które blokują działanie większości tego typu infekcji. Wersja darmowa, może też być używana do celów komercyjnych. W wersji płatnej (która nie jest droga) mamy opcje automatycznych aktualizacji i jeszcze jakieś inne drobne usprawnienia.
Program oferuje kilka poziomów zabezpieczeń. Jedyne ostrzeżenie to takie, że po instalacji i włączeniu zabezpieczeń możemy mieć problemy z instalacją lub deinstalacją programów.
Wierzcie mi, że błądzicie. Absolutnie może was to spotkać.
Sam widziałem laptopa zarażonego tym paskudztwem i słyszałem o jeszcze kilku innych przypadkach. Na tym laptopie było jak najbardziej aktualne oprogramowanie antywirusowe (nie, nie darmowe, płatne). Pominę producenta gdyż nie jest to istotne. Każdy producent coś przepuszcza. Musicie śledzić rankingi, tzn. wiedzieć, którzy producenci są najlepsi.
O dziwo antywirus po jakimś czasie skasował wirusa (sic!) ale zdążył on zaszyfrować wszystkie pliki graficzne (wasze kochane zdjęcia!), dokumenty (zarówno Microsoft Office, jak i Open Office / Libre Office).
Na ekranie pojawił się śliczny napis z licznikiem, odliczającym czas do którego możemy przelać pieniądze poprzez szyfrowane połączenie (Tor) na konto określonej osoby/osób aby dostać nasz indywidualny kod odszyfrowujący. Komunikat pojawia się też jako tapeta pulpitu, jako pliki w "moich dokumentach" ..
Tych plików absolutnie nie odszyfrujecie. Klucz jest zbyt mocny. Z tego co czytałem to na ogół po zapłaceniu, kod nie jest wysyłany. Zresztą płacąc cyber terrorystom robicie szkodę nam wszystkim.
Jakie są inne metody?
- Możecie zaznaczyć plik, katalog prawym przyciskiem myszy i wybrać "Przywróć poprzednie wersje". Jest to wykorzystanie metody punktów przywracanie itd.. (jeśli oczywiście zachowywanie wersji plików jest włączone). Tu was znów zmartwię. Często nie jest. Wirus też próbuje usunąć poprzednie wersje plików ;p usuwając punkty przywracania.
- kolejna metoda to program do przywracania danych. Trojan na ogół tworzy wersję zaszyfrowaną pliku a oryginalną usuwa. Czyli coś możemy odzyskać. Znów was zmartwię. Tworząc nową wersję (zaszyfrowaną) trojan z dużym prawdopodobieństwem nadpisze wersje oryginalne plików. No ale coś odzyskacie.
I TO WSZYSTKO
A JAK SIĘ USTRZEC?
- Jeśli macie pieniądze to kupcie urządzenie typu UTM (Firewall następnej generacji) na brzegu sieci. Będzie on przeglądał i blokował pakiety sieciowe, filtrował pocztę, blokował botnety, blokował nieporządane aplikacje, sprawdzał obecność złośliwego kodu..
- Zawsze aktualne oprogramowanie antywirusowe
- Zawsze dodatkowo program typu anty malware np. MBAM
- Użytkownicy nie powinni mieć uprawnień administracyjncych
- Edukacja użytkowników. Tłumaczyć, że jeśli nie mamy interesów w Azji to nie czytamy maili po chińsku, a już na 100% nie otwieramy załączników!!!
- Można ściągnąć polisy (GPO) blokujące wykonywanie plików wykonywalnych w katalogach tymczasowych itd. Nie podam przykłady gdyż polisami można też coś popsuć. Poszukajcie są szablony na necie
- Nowość to program Cryptoprevent . Zawiera w sobie mnóstwo narzędzi (polityk GPO) i innych, które blokują działanie większości tego typu infekcji. Wersja darmowa, może też być używana do celów komercyjnych. W wersji płatnej (która nie jest droga) mamy opcje automatycznych aktualizacji i jeszcze jakieś inne drobne usprawnienia.
Program oferuje kilka poziomów zabezpieczeń. Jedyne ostrzeżenie to takie, że po instalacji i włączeniu zabezpieczeń możemy mieć problemy z instalacją lub deinstalacją programów.
