Kriptomalver – istinita sajber horor priča

Verovatno ste čuli priču o ransom malware‑u (ransomware), ucenjivačkom softveru koji kriptuje fajlove na hard‑drajvu i onda ucenjuje žrtvu – plati ili se pozdravi sa fajlovima zauvek. I vaši podaci su u opasnosti…

1433920286880Cilj ove priče nije stvaranje panike. Želimo da vam skrenemo pažnju i upozorimo vas na opasnost kako biste mogli da se zaštitite

Čuli ste možda i za neke žrtve, na primer neke policijske stanice u Americi ili za stariji bračni par, takođe iz Amerike, koji je platio skoro 3000 dolara ucenjivačima. Žrtava je bilo i na drugom kraju sveta. U Kini, na primer, najnovije mete bile su Narodna banka Kine i Banka Istočne Azije. Ozbiljne kompanije…

Kina i Amerika su daleko i ove priče vas ne plaše mnogo. Ne plaši vas ni podatak da je broj ransom malware‑a porastao 500 odsto u odnosu na prošlu godinu, jer to su samo brojke. Međutim, sledeće istinite priče iz Srbije barem će vas naterati na razmišljanje i oprez.

Ovu priču za PC Press prenosi Net++ technology

Sredinom januara došli smo do informacija da je počela još jedna žestoka spam kampanja kojom se širi novi ransomware pod imenom CTB‑Locker. Istražili smo o kakvoj pretnji je reč, koje se mere zaštite preporučuju, kako prepoznati mamac i poslali našim pretplatnicima na biltene (za pretplatu posetite: www.netpp.rs/pretplata) uputstvo kako da prepoznaju ovakve pretnje i koje mere zaštite treba da odmah  preduzmu.

Prve nama poznate žrtve pojavile su se u roku od nekoliko dana. Jedna od tipičnih bila je i sekretarica direktora firme koja je dobila e‑mail u kome je pisalo da se u prilogu nalazi faktura. Baš ono na šta smo i upozorili, ali kako ta sekretarica nije bila na našoj e‑mail listi, niti je neko iz firme prosledio upozorenje, jednim klikom uspela je da zarazi svoj računar.

Kako je CTB‑Locker mudro napisan malver, ništa se nije desilo odmah… tek nakon nekoliko dana sekretarica je primetila da ne može da otvori pojedine dokumente na računaru, a onda se pojavilo i zlokobno crveno upozorenje: plati da ti vratimo fajlove koje je CTB‑Locker kriptovao!

Na licu mesta našli smo virus, očistili računar (Symantec Endpoint Protection alatima), utvrdili o kom crypto locker‑u se radi, ali nažalost, spasa dokumentima nije bilo. Za taj tip crypto locker‑a nisu postojali alati niti generatori ključeva za dekriptovanje fajlova.

Jedina nada bio je backup fajlova, ali ni tu situacija nije bila srećna – iz onoga što su mislili da je backup (poluručni), izvučen je samo deo dokumenata, ostatak je bio izgubljen zauvek! Srećom, malver je završio samo na jednom računaru, a gubitak fajlova nije bio tako veliki i nenadoknadiv.

S druge strane, shvatili su da nisu svi antivirusi isti, a nakon par sastanaka i da je backup obavezan za sve važne podatke firme, ma gde se oni nalazili – na serverima ili na radnim stanicama, kao i da je cena dobrog rešenja za backup zapravo manja od cene i vrednosti samih podataka koje svaka firma danas ima u elektronskom obliku.

Nakon još dva slična slučaja, poslali smo novi e-mail, upozorili da je pretnja stvarna i da se dešava i u Srbiji. Napravili smo detaljnije objašnjenje i spisak IP adresa koje treba blokirati (za koje smo u tom trenutku znali da sadrže malver).CTB-Locker1

Nakon nekoliko dana, pojavio se novi slučaj. IT administrator. Nije naš korisnik u pitanju, zovu nas po preporuci. Čoveku koji zove u glasu se čuju panika i očaj, kaže:

Nadam se da možete da nam pomognete, zakačili smo virus, svi fajlovi na serveru su nam zaključani. Traže nam bitkoine za otkupninu“.

Mi mu kažemo da je verovatno u pitanju neki od locker‑a – tzv. ransomware i da se nadamo da imaju backup. Tišina s druge strane žice.

Backup? Kakve veze ima backup sa virusom?“.

Objasnimo mu o čemu je reč i pitamo koliko su im važni ti fajlovi, pošto backup očito nemaju. Čovek uzdiše i kaže:

Najvažniji. To je ceo naš posao. Sve što je cela firma radila u ovoj i prethodnoj godini. Mislili smo da imamo podatke na sigurnom, imamo RAID5 (redundantne diskove – primedba autora) na serveru. Da li će otključati fajlove ako im platimo?“. Nažalost, to niko ne može da garantuje.

Šta je naravoučenije ove priče?

Ako koristite Internet – i vi ste meta!  Niko nije bezbedan. Ransomware pretnje, kao što su CryptoLocker, KeyHolder i CTB‑Locker, pogađaju sve, od pojedinaca do velikih firmi.

Ostaje samo da upoznamo neprijatelja da bismo ga lakše pobedili. Šta je karakteristika ove grupe štetnog softvera? Kao što se može naslutiti iz naziva, ovaj malver pokušava da od vas iznudi novac (ransom), tako što kao taoce drži važne podatke upisane na vaše diskove.

Kako dolazi u posed vaših podataka? Malver se najčešće širi kroz spam. Žrtva primi e‑mail s nepoznate adrese ili na prvi pogled poznate (a zapravo je lažna) u kome je link ili attachment, za koji piše da je faktura ili faks, glasovna poruka i slično. Otvaranjem fajla pokreće se preuzimanje drugog kriptovanog fajla, koji je zapravo sam malver koji dalje kriptuje podatke na vašem računaru.

Zaključane, kriptovane fajlove nemoguće je otključati „na silu“ , a neki ransomware‑i vas čak upozoravaju da će vam, ako to pokušate, fajlovi biti fizički izbrisani. Za neke, srećom, postoje alati za dekripciju sa generatorima ključeva, ali za neke nema spasa. Autori ransomware‑a najčešće traže da im otkupninu platite u bitkoinima ili dolarima i daju vam rok, a posle isteka uništavaju podatke.

Rešenje ne postoji! Postoji samo preventiva. Samog malvera možete da se rešite, ali nećete moći da vratite podatke ako nemate backup.

Šta ne treba da radite?

Opšti savet je da se otkupnina ne plaća. Plaćanje otkupnine možda deluje kao jedino rešenje, ali na taj način samo podstičete napadače i finansirate ih. Dodatni razlog da ne plaćate je taj što ne postoje nikakva garancija da će vam napadač otključati fajlove. Dešavalo se i da ljudi ili preduzeća plate traženu otkupninu, dobiju svoje fajlove, samo da bi nešto kasnije bili ponovo napadnuti i da bi im tražili još više para.

Ako ne platite odmah, ucenjivači posle određenog roka podižu sumu, tako da otkupnina može da dostigne i sumu od 10 hiljada dolara!

Šta se preporučuje da uradite?

Uklonite zaraženi sistem s mreže i time uklonite pretnju. Sistem mora što pre da se odvoji od mreže da se pretnja ne bi širila.

Vratite fajlove sa backup-a za koji znate da je dobar i da nije zaražen. To je najbrži i najsigurniji način da dođete do podataka. Ako imate backup.

Da li je moguće doći do fajlova bez plaćanja otkupnine i bez vraćanja sa backup‑a?

Najverovatnije nije moguće. Bilo je slučajeva, kod nekih od ranijih varijanti ovih pretnji, da napadači samo sakriju fajlove, ostave kopije originalnih fajlova (ili se do njih može doći preko Volume Shadow Copy service ako je kojom srećom bio uključen) ili da ostave kopije privatnih ključeva u lokalu, u memoriji računara. Svakako istražite o kojoj varijanti pretnje se radi, možda postoji rešenje, mada nemojte da se nadate previše, jer su autori malvera vrlo ažurni i trude se da otklone sve „nedostatke“ starijih verzija.

Kako se zaštititi od ovih ransomware‑a?

  1. Redovno ažuritajte operativni sistem i softver za zaštitu. Razmislite zašto su neka rešenja za zaštitu besplatna, a neka se plaćaju!
  2. Ne otvarajte attachment‑e od nepoznatih pošiljalaca, pa čak ni od poznatih ako vam taj e‑mail deluje i najmanje sumnjivo. Ako ste u firmi, potrudite se da organizujete obuku ili barem napravite obaveštenje za korisnike o tome kako da prepoznaju spam/phishing poruke i zašto je važno da se u takvim porukama ne klikće na linkove i ne otvaraju prilozi.
  3. Redovno pravite backup važnih podataka i držite ih na mestu, storage‑u koji nije direktno povezan sa svim korisnicima. Čuvajte i organizujte pravljenje kopija backup‑a.
  4. Razmislite i o čuvanju podataka u cloud‑u.

Preduzećima preporučujemo da se pobrinu i za sledeće:

  1. Ako ste uložili novac u dobro rešenje za zaštitu, pobrinite se da je ono pravilno konfigurisano, da se sve funkcije primenjuju i da neko taj sistem stalno nadgleda.
  2. Koristite dobar firewall nove generacije (klasičan firewall neće vam pomoći).
  3. Obezbedite dobro antispam rešenje (da, mislimo da postoje razlozi zašto neka antispam rešenja koštaju više, a naročito zašto nisu besplatna).
  4. Organizujte sistem upozorenja za zaposlene, obuke za osnove sigurnosti i podizanje svesti o bezbednosti na Internetu (angažujte pomoć, ako ne možete ili ne znate sami).
  5. Uvedite backup podataka i za radne stanice i laptop računare (hteli ili ne, nikada svi važni podaci neće biti na serverima, uvek će se naći i na ponekom računaru). Backup servera i podataka sa servera već imate, zar ne?

(Objavljeno u Časopisu PC#223)

AV-Comparatives rezultati testa antivirus programa za 2012

Av-Comparatives Austrijska istraživačka laboratorija AV-Comparatives uradila je u periodu od marta do juna 2012. godine test antivirus programa u kojem je proizvod Kaspersky Internet Security 2012 osvojio jedan od najboljih rezultata. Prema rezultatima testa, rešenje kompanije Kaspersky Lab detektovalo je i blokiralo više od 99 odsto trenutnih pretnji i zbog toga je nagrađeno najprestižnijom nagradom ADVANCED + rating.

Test istraživačke laboratorije AV-Comparatives zasnovan je na simuliranju realnih, stvarnih situacija, pri čemu su veoma iscrpno ocenjene sveukupne performanse anti-virus proizvoda, a ne samo pojedinačne komponente. Testiranje je obavljeno ne platformi Windows XP Service Pack3 na kojoj su bile instalirane neke popularne aplikacije koje sajber kriminalci najčešće koriste prilikom napada na ranjive sisteme.

Svi proizvodi koji su bili obuhvaćeni testom, uključujući i Kaspersky Internet Security 2012, bili su instalirani sa standardnim podešavanjima i mogli su da ažuriraju svoje antivirus baze podataka i da se konektuju na cloud bezbednosne sisteme. Pomoću četiri različita testa simulirani su situacije kao što su posećivanje zaraženih sajtova i preuzimanje fajlova sa štetnim softverom. Eksperti istraživačke laboratorije AV-Comparatives ocenjivali su i koliki je broj uspešno blokiranih pretnji i koliki je broj lažnih uzbuna. Rezultatima testa je pokazano da je Kaspersky Internet Security 2012 neutralizovao 99.4 odsto od više od 2.000 štetnih programa koji su korišćeni. Zbog takvog učinka rešenje Kaspersky Lab-a se našlo među top 3 i eksperti istraživačke laboratorije AV-Comparatives dodelili su mu najprestižniju nagradu ADVANCED + rating.

Na prvom mestu se, prema ovom testu, našao BitDefender, dok je drugu poziciju zauzelo rešenje G-Data.

Kompletnu verziju testa koji je uradila istraživačka laboratorija AV-Comparatives možete naći na: http://av-comparatives.org/images/docs/avc_prot_2012a_en.pdf

Izvor: www.kaspersky.com

Pad broja neželjenih elektronskih poruka

Spam in mailbox

Udeo spam poruka u elektronskom saobraćaju nastavlja svoj postepen pad u junu, i dva odsto je manji nego što je bio u maju. Istovremeno, primenjene su nove tehnologije koje koriste spam poruke da bi zarazile kompjutere korisnika. Početak sezone odmora, na primer, obeležen je masovnim slanjem lažnih hotelskih rezervacija koje su stizale zajedno sa štetnim atačmentima. Korisnici bi trebalo da budu posebno oprezni kada rezervišu putovanja preko interneta i da imaju na umu da nijedna ozbiljna agencija neće slati potvrdu rezervacije u obliku zipovanog fajla.

Štetne fotografije

Donedavno, spameri su aktivno koristili trikove socijalnog inženjeringa koji su podrazumevali slanje štetnih kodova u prilogu elektronske poruke koji navodno sadrži sliku devojke koja želi da bude prijatelj primaoca poruke. U junu se pojavila nova verzija ove prevare, kojom je prećeno primaocu da će protiv njega biti preduzete pravne mere za postavljanje fotografija na internet bez saglasnosti vlasnika fotografije. Sporne fotografije su navodno bile u prilogu elektronske poruke u formi zipovanog fajla. Još jedan trik u vezi sa fotografijama pojavio se ovoga meseca. U pitanju su bila lažna obaveštenja u vezi sa kaznama za saobraćajne prekršaje. Fajl u prilogu poruke predstavljan je kao skup inkriminišućih fotografija koje je snimila nadzorna kamera, a zapravo je u pitanju bio štetni program.

Euro 2012 na meti spamera

Verovatno najpopularniji događaj meseca bilo je Evropsko fudbalsko prvenstvo koje je trajalo celog juna. Spameri nisu mogli da odole da ne iskoriste pažnju usmerenu ka ovom događaju, te su čak početkom godine počeli da šire masovne elektronske poruke u vezi sa fudbalskim prvenstvom Euro 2012. Pored ranijih ponuda za kupovinu karata za fan zone i ponuda za najam stanova u gradovima gde su održavana prvenstva, u junu su se pojavili spamovi koji su reklamirali fudbalske sajtove posvećene turniru.

Izvor spama po zemljama

Udeo svih spamova poslatih iz Kine Evropljanima uvećan je za gotovo 50 odsto u poređenju sa prethodnim mesecom. Među vodećim distributerima spama u evropskom regionu izdvajaju se dve zemlje, Italija (1,5 odsto) i Nemačka (0,91 odsto). Više od polovine svih spam poruka distribuiranih u Evropi i dalje dolazi iz Azije.

„Proporcija spam poruka u ukupnom elektronskom saobraćaju nastavlja da opada drugi mesec zaredom. Pad od dva do tri odsto možda ne zvuči mnogo, ali može biti pokazatelj većih promena,” rekla je Maria Namestnikova, viši analitičar za spam u kompaniji Kaspersky Lab. „Leto je mirno godišnje doba u pogledu poslovnih aktivnosti, kada količina spama opada zajedno sa ukupnim obimom elektronskog saobraćaja. Zbog toga će samo značajno smanjenje obima neželjene elektronske pošte voditi do primetnog pada u udelu spama u ukupnom elektronskom saobraćaju.”

Sveobuhvatnu verziju spam izveštaja za jun 2012. možete pogledati na Securelist.com.

Izvor: Singi

Superteza: Microsoft Security Essentials Beta

Ako do sad niste probali, pravo je vreme za besplatan, pouzdan i vrlo efikasan antivirusni softver koji dolazi iz Microsofta. Trenutno je u beta fazi, a to je možda i pravo vreme da se uverite u njegove kvalitete (postoji i zvanična verzija koja je tđ dostupna). Microsoft Security Essentials Beta je program koji će vam pružiti zaštitu od svih savremenih računarskih napasti, uključujući viruse, malware i spyware. Jednostavan je za upotrebu, prilično automatizovan, a instalacija zahteva nekih par klikova, a isto toliko i minuta. Kako izgleda život sa ovim programom, pročitajte u novom Supertezinom tekstu: Security Essentials Beta: Opšta teorija sigurnosti.

Ako do sad niste probali, pravo je vreme za besplatan, pouzdan i vrlo efikasan antivirusni softver koji dolazi iz Microsofta. Trenutno je u beta fazi, a to je možda i pravo vreme da se uverite u njegove kvalitete (postoji i zvanična verzija koja je tđ dostupna). Microsoft Security Essentials Beta je program koji će vam pružiti zaštitu od svih savremenih računarskih napasti, uključujući viruse, malware i spyware. Jednostavan je za upotrebu, prilično automatizovan, a instalacija zahteva nekih par klikova, a isto toliko i minuta. Kako izgleda život sa ovim programom, pročitajte u novom Supertezinom tekstu: Security Essentials Beta: Opšta teorija sigurnosti.

Kaspersky i Singi – stručni seminar o antivirusima

Dejan Petkov Singi Preduzeće Singi Inženjering d.o.o. koje je već 10 godina prisutno na domaćem tržištu, bavi se poslovima zaštite podataka, a posebno zaštitom od računarskih virusa i drugih vrsta zlonamernih programa.

“S obzirom na činjenicu da se broj novih virusa koji se svakog dana javljaju na Internetu ne smanjuje, već naprotiv drastično uvećava, shvatili smo da je pored pružanja komercijalnih usluga korisnicima, naš društveni zadatak i edukacija. Stoga smo odlučili da za potrebe domaćih informatičkih stručnjaka organizujemo besplatni seminar isključivo posvećen ovoj tematici.”, kažu iz Singi-ja.“Seminar ove vrste se po prvi put organizuje u Srbiji i na njemu će biti obrađene najznačajnije teme iz oblasti računarskih virusa, pre svega tehnike koje zlonamerni hakeri koriste za pravljenje ovih programa, ali i načini njihove detekcije. Naši vodeći eksperti će po prvi put demonstirati postupke virus-analitike i forenzike, odnosno otkrivanja i neutralizacije „živih“, aktivnih virusa.”, dodaju.

Pored stručnjaka Singi Inženjeringa, predavanja na seminaru će održati i dvojica gostiju, predstavnika čuvene Kaspersky laboratorije iz Moskve.