Izsiljevalski virusi - zaščita in ukrepi


Datum: 17/4/2016


/* Posvečam očetu, ki vedno poskrbi za mojo ažurnost na Windows sistemih. */

    1. Uvod

    2. Zaščita

    3. Ukrepi ob okužbi

    4. Zaključek


    1. Uvod


Izsiljevlski virusi ne potrebujejo več posebne predstavitve, saj so zadnje čase pogosto v medijih in skoraj zagotovo vsak pozna koga, ki je bil okužen s katerim od njih.


Na kratko: izsiljevalski virus je vrsta zlonamerne programske opreme, katere cilj je onemogočiti žrtvi dostop do podatkov na različne načine. Novejše različice najpogosteje zašifriranjo datoteke ter s tem podatke na žrtvinem računalniku in za njihovo odšifriranje zahtevajo plačilo.


Izsiljevalski virusi se širijo na različne načine: preko elektronske pošte s pomočjo ZIP priponk, Wordovih in Exelovih datotek, ki vsebujejo nevarne makro programe, preko spletnih oglasov, okuženih spletnih strani, TeamViewerja, Transmissna, phishing akcij, izkoriščevalskih kompletov... V Sloveniji sta trenutno najbolj pogosta Locky in TeslaCrypt 4.0.


Nekaj trenutno aktivnih izsiljevalskih virusov:

7ev3n, AutoLocky, BitMessage, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, Mobef, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Radamant v2.1, RemindMe, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, VaultCrypt, WonderCrypter...


Začetki izsiljevalskih virusov segajo v leto 1989:

AIDS trojanec je ob okužbi zamenjal AUTOEXEC.BAT, počakal devetdeset zagonov računalnika, nato pa skril direktorije in zašifriral datoteke na disku C. Uporabnika je obvestil, da mora kontaktirati PC Cyborg Corporation in poslati 189 dolarjev na naslov poštnega predala v Panami, da prejme ključ za odšifriranje in odklep podatkov.

Danes so napadi izsiljevalskih virusov vedno bolj usmerjeni in zahtevajo vedno večje plačilo. Primer je SamSam, ki je napadel in praktično ugrabil nekaj bolnišnic in se trenutno usmerja na izobraževalne ustanove. SamSam je tudi sicer poseben, saj izkorišča JBoss ranljivosti in ne potrebuje uporabnikove interakcije za širjenje.


Izčrpen esej o izsiljevalskih virusih lahko preberete na blog.talosintel.com.


Odkritja virusov

Slika: Časovnica odkritij izsiljevalskih virusov (Vir: Symantec, Luis Firmino)


V tem pisanju se bom usmerila na zaščito uporabnika in ukrepe ob okužbi.



    2. Zaščita


:: Napadeni so večinoma Windows sistemi. Zato bi bil prvi nasvet, ne uporabljaj Windowsov: "Install Gentoo", ali še bolje BSD. Obstaja nekaj izsiljevalskih virusov tudi za *nix sisteme ( Ransom32 - cross platform, Linux.Encoder.1 - Linux in njegov derivat KeRanger za OSX sisteme - Bitdefender LABS ... ), kar pa ni praktično nič v primerjavi z vsaj 50 znanimi izsiljevalskimi virusi, ki so narejeni za Windows platformo.


Če že morate uporabljati Windowse, pa tudi sicer, diski crkujejo (posebej Seagate-ovi) ipd...


:: Varnostne kopije, varnostne kopije, varnostne kopije!!! Pa preveri, da so delujoče.

Sliko diska ali datoteke na disku redno shranjuj na zunanji disk, ki ga po uporabi ne pozabi odklopiti. Oblaka ne priporočam, saj veste: "Oblak ne obstaja, je samo računalnik nekoga drugega."

Varnostno kopiranje in obnovitev: pogosta vprašanja | Varnostna kopija datotek ali sistema


:: Ne odpiraj priponk in povezav neznanih uporabnikov ali spletne pošte, ki izgleda poslana s tvojega naslova, če veš, da si nisi ničesar pošiljal. Če se ti zdi kakšna priponka sumljiva, jo prej prepošlji na scan@virustotal.com, v zadevo vpiši SCAN in zbriši vsebino ter počakaj na rezultate, ki bodo poslani na e-pošto. Na VirusTotal lahko preveriš tudi razne sumljive povezave.


:: Makri so eden pogostejših vektorjev napada, zato onemogoči makre v Officeovih datotekah.


:: Onemogoči WSH: How to disable Windows Script Host


:: Onemogoči PowerShell, če ga ne uporabljaš: Nadzorna plošča -> Programi -> Vklop ali izklop funkcije sistema Windows

Vklop ali izklop funkcij sistema Windows


:: Odnamesti Javo, Flash, SilverLight. Če te programe potrebuješ, jih imej posodobljene na najnovejše različice.


:: Onemogoči JavaScript v spletnem brskalniku ( How do I disable or enable Java or JavaScript in my browser? ), ali kar preko Group Policy Management (bolj za šalo kot zares, ali pač).


:: Redno posodabljaj Windows sistem. Saj veste, po Patch Thuesday pride Exploit Wednesday.


:: Aktiviraj požarni zid in si namesti primeren brezplačen antivirusni program, ki ga redno posodabljaj. Delovanje antivirusnega programa testiraj z EICAR ali čim podobnim.

Osnovna zaščita računalnika


:: Namesti si CryptoPrevent in cepi sistem z Bitdefender anti ransomware vaccine ali čim podobnim. Na OS X namesti RansomWhere.


:: Spletni brkalnik redno posodabljaj. Za brskanje po spletu predlagam Brave. Če se ne moreš ločiti od Chroma ali Firefoxa, si namesti nekaj vtičnikov:

- uBlock Origin

- HTTPS Everywhere

- NoScript

Ko smo že pri tem, namesti še: Privacy Badger, Random Agent Spoofer, IP Flood...

HowTo: Privacy & Security Conscious Browsing | privacytools.io


:: Posodobi svojo hosts datoteko. Pojdi v mapo C:\windows\system32\drivers\etc\, datoteko hosts shrani kot hosts.bak in jo nadomesti s hosts, ki je redno posodobljena. Alternative: StevenBlack/hosts, hpHosts, mvps.hosts, BlockAdverts, firehol, ki se uporablja z ipset, vendar si jo lahko prilagodiš...

Beginner Geek: How To Edit Your Hosts File v slikcah;)


:: Ne priklapljaj naključnih USB ključkov in zunanjih diskov.


V redu, sedaj imaš praktično na pol delujoče Windowse, ampak te izsiljevalski virusi težko okužijo.

(•_•) ( •_•)>⌐■-■ (⌐■_■)



    3. Ukrepi ob okužbi


Če se ti je uspelo okužiti, brez panike.


Če imaš varnostno kopijo sistema (glej prejšnje poglavje), se ne obremenjuj z izsiljevalskim virusom, odstrani ga in obnovi sistem. Če imaš varnostno kopijo datotek, odstrani virus in jih obnovi.


Da virus odstraniš, ga moraš najprej prepoznati ( glej 3.1 ), nakar Googlaj navodila za odstranitev. Tukaj ti ne morem bolj pomagati, saj ni enotnega postopka, pa tudi izsiljevalski virusi se razvijajo, načini odstranjevanja spreminjajo. Kar bi tu napisala danes, vam čez kakšen mesec verjetno ne bo v pomoč.


Če varnostnih kopij nimaš, poskusi rešiti, kar se rešiti da.


Plačila nihče ne priporoča, vendar verjamem, da so situacije, ko kdo resnično potrebuje izgubljene podatke in nima druge izbire. S plačilom se ne bom ukvarjala, pripenjam le diagram:


Diagram plačila

Slika: Diagram odločitve o plačilu (Vir: Talos, @da_667)


Okužen sem, varnostne kopije nimam. Kaj sedaj?



    3.1 Prepoznava


Pojdi na ID Ransomware, ki prepozna več kot 50 izsiljevalskih virusov in naloži eno zašifrirano datoteko ali izsiljevalsko sporočilo. Aplikacija ti bo povedala, za kateri virus gre.



    3.2 Odšifriranje


Mogoče imaš srečo in dešifrirnik za tvoj virus obstaja. Ko si izvedel, kateri virus imaš, poglej na Ransomware Overview, še enkrat preveri svoj virus ter poglej, ali obstaja dešifrirnik zanj. Sledi povezavi.

Poleg zgoraj omenjene liste jih obstaja še nekaj. Na primer: Ransomware overview, List Ransomware Decryptor Tools, Ransomware decryption list.


Če dešifrirnika ni in si odločen, da želiš svoje datoteke nazaj, vzemi v roke matematične knjige, Windows priročnike, knjige o kriptografskih algoritmih, programiranju. Dobro bi bilo, če se naučiš asm in še kakšen programski jezik. Namesti si "razgrajevalnik" in razhroščevalnik, na primer IDA, OllyDbg, WinDbg, r2... Ko ti uspe vse to naštudirati, bo dešifrirnik že davno narejen in tvoj računalnik precej zastarel.


Če obupaš pri izdelavi dešifrirnika, ti ne preostane drugega, kot virus odstraniti, disk sformatirati in sistem na novo naložiti, kar pri Windowsih niti ni slaba praksa (da jih vsake toliko na novo naložimo). Nato poskrbi za zaščito.



    3.3 Dodatno


Izsiljevalski virus poizkusi uloviti, na primer s PE Capture, in ga naloži na VirusTotal ali kakšen podoben servis (malwr, hybrid-analysis, reverse.it, deepviz ... ). Na omenjene servise naloži tudi okuženo datoteko ali zlonamerno povezavo.


S svojim vzorcem virusa pripomoreš k analizi virusa, nastanku dešifrirnika, detekciji antivirusnih programov itd.


Če si bil deležen kakšnega posebnega ozadja, mi ga prosim pošlji, saj jih zbiram. Naredi slikico svojega virusa, da jo boš imel za spomin. Pomagaj si z Binvis, Exe2Image ali kakim podobnim orodjem, odvisno od sistema, na katerem si.


Petya


    4. Zaključek


Izsiljevalski virusi so v porastu in postajajo vedno bolj sofisticirani. Tukaj moram omeniti še Petyo, ki enostavno zašifrira MFT ( podobno kot Michelangelo ) in se s šifriranjem datotek niti ne ukvarja. Njeni avtorji so napisali kar svoje jedro (kernel) in zagonski nalagalnik (bootloader), so pa bili na srečo površni pri šifriranju. Tako je lahko nekdo pod vzdevkom leostone napisal dešifrirnik in izginil z besedami:

"I'll be off now, I'm through with petya ;) Real life is waitin ...."

Na internetu imamo tudi vsaj enega vigilanteja:D


stupid locky

V prihodnosti lahko pričakujemo vse več izsiljevalskih virusov in trojancev, zato moramo biti pripravljeni, zaščiteni in pomagati analitikom s svojimi vzorci.


seven proxies

Vsi verjetno mislimo, da smo na internetu varni in skriti. Realnost je, da je internet divji zahod, kjer na nas prežijo razne nevarnosti. Poleg oglaševalcev, Googla, varnostnih agencij, ki nam sledijo, so tukaj še razne združbe in posamezniki, ki izkoriščajo našo ranjivost za dobiček in vedno bolj redko za zabavo. Trenutno se izsiljevalski virusi zanašajo predvsem na človeške ranljivosti in nas poizkušajo z raznimi akcijami prepričati, naj kliknemo na neko povezavo ali datoteko. Vsi smo ranljivi, vsakogar nekaj zanima in včasih klikne tja, kamor ne bi smel. Kljub vsemu, ne olajšajmo dela nepridipravom in se primerno zaščitimo, ne klikajmo kar tja v en dan. Nihče in nič nas ne more zaščititi pred samim seboj.



[Dodatek 1:] Izsiljevalski virusi na androidu

[Dodatek 2:] Europolov portal: NoMoreRansom


Galerije: Ransomare galerie | Computer Virus Catalog | Malware museum | Izvršitev 1000 vzorcev naenkrat | danooct1



Viri:


Ransomware prevention

ISTR Symantec, Vol. 21

Petya – Taking Ransomware To The Low Level

Held for Ransom: A case study of a recent ransomware attack

SamSam: The Doctor Will See You, After He Pays The Ransom

SI-CERT 2016-02 / Val okužb z izsiljevalskimi virusi

Izsiljevalski virusi: Arnes je ustavil 400.000 okuženih e-sporočil

On Cyber - the grugq



EOF

Nazaj