Како заштитити компјутер од вируса, ренсомвера и осталог малвера [Виндовс]

WannaCry, Petya и остали ренсомвери су направили велику чарламу на глобалном нивоу, милијарде долара штете и увек кад се тако нешто прочује крене се са „Како заштити компјутер“ филозофијама, па бих ево, да овде поставим својеврсну азбуку заштите названу „7 Компјутерашких заповести“ за ове и све будуће глобалне и локалне нападе, у веду ето неке моје препоруке за коју сматрам да је стандард на пољу заштите од малвера а наравно, ако се у међувремену појави још нешто битно допунићу текст.

Намерно сам написао браните а не одбраните јер стопроцентна одбрана компјутера који је укључен не постоји али ви бар урадите све што је у вашој моћи да до инфекције не дође – а то што је у вашој моћи, ја ћу на управо овој овде страници излистати, тако да је рачунајте као неку азбуку безбедоносних поставки компјутера под Виндовсом.

Овде причамо у кућним корисницима…пословни имају системске администраторе који се брину о WSUS-ovima, полисама, рутерима, едукацијом запослених о претњама и слично али би требало свакако да буде стандард кад је превенција и заштита у питању.

Наравно, поменућу у старту и Линукс али се нећу у тексту бавити њиме јер будимо реални – Виндовсаше ни бог не може натерати да користе Линукс док Линуксаши већ користе Линукс. Линукс сам по себи није неуништив и непробојан али тренутно није занимљив нападачима јер га користи доста мали број корисника али и доста велики број сервера – а опет, на серверима се о Линуксима брину обучена и информатички образована лица плус се они обично налазе иза разних фајерволова, додатних заштита и чуда па је опет и то један вид одговарања од напада али не и изазов нападачима, али отом – потом, за сад, причамо о Виндовсу.

Овим што ћу овде написати контаћу да нису сви информатички писмени (прочитајте зашто се неко и са набољим антивирусом зарази а неко са никаквим не овде) па ћу ићи са најситинијим стварима на које ће искуснији корисници котрљати очима као да су на лотоу, али шта да се ради а опет, нећу ићи у ситна цревца и подешавања јер би то био текст левел Рат и мир. Бићу слободан да назовем ова правила „7 Компјутерашких заповести“ и неће бити „privacy“ ствари типа „шифруј партицију“ већ је орјентир искључиво заштита од уласка малвера у’кућу.

Заповест 1
НЕ БУДИ ГЛУП

Најбитније правило! Извињавам се што овако вређам али не знам како бих назвао корисника који кликне на банер у коме пише нешто типа „Ви сте милионити посетилац и освојили сте 5 милиона долара“. Не треба човек да буде хакер да би знао да ће добити ђоку ако није у нечему учествовао или нешто раније уплатио у некој наградној игри – као што вели она пословица „Ни код бабе нема џабе“ и њен наставак „Ако и има, баба трипер поклања свима“. Исто тако ни комшиница Јелена која је на 2.6км од тебе неће да се јебе са тобом нити је изашао нови порно видео Ким Кардашијан click here а богами ни тај линк од порно снимка твоје Фејсбук пријатељице који си добио на чету или те неко таговао – ти неће дати оно што тражиш.

Ту су и стандардне преваре за које човек не мора да буде глуп већ само поштен (и брзоплет) и на које падају ипак и они мало информатички писменији не само ‘ови глупи’. Банка рецимо, никад вам неће слати мејл да потврдите свој налог кликом на неки линк, али опет ви ћете се уплашити да ће вам неко мазнути тешко зарађене паре са рачуна, рука ће задрхтати и ви ћете кликнути на линк, инсталирати нешто што вам је ‘банка’ препоручила и покренути забаву.

Сваки линк или фајл који вам стигне на чет, Скајп, Вајбер, мејл или где год – рачунајте као потенционалну претњу ако долази од било кога кога не познајете а чак и ако долази од некога кога познајете отворите 5 очију пре неко што кликнета на њега – јер можда је и његов налог компромитован. Ако је у питању браузер погледајте пре клика где тај линк води, рецимо ево примера лажног очигледног линка у Фајерфоксu:

Ако је неко од ваших познаника почео да се понаша чудно у е-комуникацији, типа – одједном почео да вам персира или да пише на енглеском језику – палите жуту лampицу…ако вам шаље линкове или фајлове – палите црвену. Да не гњавим много, сви линкови су потенционална претња и пре клика баците крајичком ока доле у браузер где заиста води линк који сте кликнули, то вам је пола секунде. Сам клик на линк у великом броју случајева није малициозан али ће вас одвести на неку фишинг стрницу која ‘делује ко оригинал’ где ће се од вас тражити да инсталирате ово-или-оно или да попуните ово-или-оно или да једноставно скинете нешто и кликнете 2x на то нешто.

Као и кад причате својој деци: ‘Не разговарај са непознатим људима’ а ја вам велим’Не кликћите ни на шта што добијате од непознатих људи

Ако баш морате да посећујете сумњиве сајтове типа торенти, крекови, порнићи и слично, да се не понављам – прегледајте оно написано у тексту који сам написао раније „Порно сајтови и како се заштитити док гледатe порниће на интернету“ где сам писао о посетама порно сајтовима јер су они убедљиво најпосећенији на интернету (тј нису, то нико не гледа) али се исто може применити и на остале сумњиве сајтове где може вребати базука уперена у ваш хард диск али чак и на регуларне сајтове које је неко паметнији компромитовао.

Колико дуго пратим како људи навлаче заразе, па мислим да је 90% свих зараза дошло кликом на нешто што не треба или инсталацијом нечега што није требало. Осталих 10% су ствари попут незакрпљених браузера, крекованих и неажурираних Виндовса. Једноставно схватите, луда су времена дошла, сваки добијени линк и сваки добијени извршни фајл су могућа инфекција.

И још једна је ствар, кад већ помињемо луда времена да вам дочарам колико су заиста луда: Ако вам дође мејл са легитимне адресе, рецимо banka.rs – опет ни то не мора да значи да је мејл легитиман. Како то?
banka.rs и banka.rs – можете гледати колико желите…нису исти домени. Овај други домен – има једно слово а које је ћирилично („а“ ћирилично и латинично „а“ су иста слова ‘на око’) – а ћирилична слова је могуће регистровати. Више о овом проблему овде где је проблем описан на нивоу домена Apple-а где рецимо домен www.xн–80ак6аа92е.com неки браузери отварају као apple.com а неки како треба а све зато што је слово „l“ у домену неко кинеско.

Заповест 2
ОБЕЗБЕДИ ВИНДОВС

Виндовс би требало да буде препечован Виндовс ажурирањима и о томе сви живи (с разлогом) дрве и то је ОК у пракси и на папиру и по дифолту би требало да је тако…али у зависности од хардвера до хардвера Windows Update уме да појебе систем катастрофа…примера ради на мом лаптопу не смем да поставим аутоматска ажурирања – два пута сам то радио и два пута ме дочекао неупотребљив Виндовс који је само „system image“ направљен раније могао да испегла – а ради се о легалном Виндовсу – ништа Дорћол Edition.

Знам за неколико корисника којима се Windows Update пошибао са Fortinet VPN клијентом што је резултирало BSoD-ом и јебавањем са његовим опорављањем. Али напомињем – то има проблем на једном (Леново) од два моја лаптопа (да Windows Update убије лаптоп) и на 3-4 лаптопа (исто Леново) на којима је био Fortinet VPN клијент – велика већина компјутера нема тај проблем. Мој приватни лаптоп (Асус) нема никакве проблеме са Windows Update и аутоматским ажурирањима.

Решење у ситуацији кад знате да Windows Update хоће да направи проблем, тј ако спадате у групу од 5% нас проблематичних, јесте да се постави Windows Update да се може покренути само ручно, па направите „image“ система Акронисом или CloneZilla-ом (описано овде како) и за то вам треба око 15 минута (ако сте поставили да вам сви кориснички фајлови буду на другој партицији а да партиција C:\ буде искључиво резервисана за систем и програме) па онда покренете Windows Update ручно….и ако све ради како треба и после недељу дана – можете да обришете тај „image“. Напомињем, ово важи за мањину која зна да има овај проблем.

Да, због лакшег прављења system image-а, идеално је да имате бар 2 партиције…једне на којој су само системске ствари (Виндовс, инсталирани програми…) и другу на којој су кориснички фајлови. Desktop, MyDocuments и остале дифолт корисничке фолдере можете лако преместити на ту другу партицију у 3-4 клика. Дакле једна строго системска партиција и једна строго корисничка – а „system image“ правите само над системском партицијом која ће бити доста мања (јер нема филмова, музике, фотографија и осталих билион корисничких фајлова)….тако да и кад урадите опоравак (restore) података – све што је било рецимо на Десктопу биће и даље ту…само што ће Виндовс и инсталиране ствари бити враћене на датум прављења систем image-а.

…ако не потпадате под нас проблематичне, тј ако сте у 95% ових осталих, само укључите Windows Update и боле вас ћоше.

Проблем 2 су пиратски крековани Виндовси којих има много више од ових легалних а на којима не сме да се активира Windows Update било како било јер ће зајебати активацију. Решење за те кориснике је да користе алат унутар 360 Total Security-ја имена „PatchUP“ који ће поскидати те критичне апдејте од којих ‘живот зависи’ и само њих инсталирати (више о њему овде). Иако ми нико од корисника са крекованим Виндовсом није пријавио проблем са овим алатом имајте у виду да се овакво ажурирање ради ван стандарда и алатом треће стране – тако да може зезнути активацију. Велим – још нисам налетео да ми је неко пријавио проблем са овим алатом.

Друга ствар која је добра а смара људе је такозвани UAC илити User Access Control или ти Контрола Корисничког налога који не може да заустави инсталацију малвера али може да вам избаци обавештење да ‘нешто хоће да се инсталира – да ли дозвољаваш то?“. UAC обично сви искључују јер сваку инсталацију било чега излети прозор који пита „Еси сигуран да желиш ово да инсталираш/покренеш“ укључујуши и покретање стандардних Виндовс ствари којима се може утицати на систем (regedit, Control Panel, gpedit и остало). UAC је обично и прва мета коју малвер покушава да угаси али претпостављам да баш ни Мајкрософт не седи скрштених руку.

Виндовс подзаповест: Избегавај администраторске привилегије на Виндовсу за корисника

Сви кућни корисници, али комплет сви до једног су на Виндовс пријављени под администраторским привилегијама а и сам Виндовс по инсталацији кориснику даје пуне привилегије, корисника обично боли уво и то тако остане. На Линуксу рецимо, који је боготац по инсталацији корисник нема никакве привилегије сем да користи програме који су инсталирани уз систем, да управља подацима унутар свог профила на систему, да тумара по фолдерима на којима му је изричито дозвољено да шврља (типа /tmp) и слично…а све фенси и системско типа инсталација/деинсталација нових програма, подешавање мреже и слично – мора да покрене под root или sudoers корисником који има пуне привилегије за све и да зна његову шифру.

Дакле идеално је да имате једног администратор корисника заштићеног довољно безбедном шифром (ајд, не мора баш шифра типа Njhb639uBzfvOIfuhs али може рецимо prvaljubav1995) и једног вашег профила који ће бити или стандард или guest профил. Guest профил на Виндовсу је профил који нема скоро па никакве привилегије и ја кад инсталирам Виндовсе кућним корисницима или корисницима који нису информатички писмени, после инсталације драјвера и програма и подешавања Виндовса обично поставим да буду под guest профилом – али им наравно кажем и администраторску лозинку, за случај да затреба инсталација нечега или за подешавање мреже.

Ако вам је Guest сувише напоран – будите макар Standard User који има доста шире привилегије али није администратор на систему.

Заповест 3
ЗАШТИТИ БРАУЗЕР

Браузер је први на удару на интернету, можда неко зарази легитиман сајт малвером који ће користећи неку рупу на нивоу браузера да вам наметне ренсомвер или неку другу напаст. Многи произвођачи браузера рецимо једном годишње организују за разне хакере такмичење у хаковању браузера уз велики наградни фонд за сваку рупу на коју се налети.

Браузер увек треба да је на последњој верзији али то је ОК јер Фајерфокс, Хром а мислим и Опера имају сервисе који раде у позадини и проверавају да ли постоје новије верзије браузера те ако постоје исте скидају и инсталирају аутоматски – вама се само појави она порука да рестартујете браузер и ту се прича завршава али ипак с времена на време проверите ви ипак ручно да нема новије верзије – и то можете унутар самог браузера у About секцији (на Фајерфоксu рецимо клик на сендвич мени, клик на знак упита, клик на ‘About Firefox’).

Ствар два коју ја примењујем а препоручујем и вама – јесте коришћење Фајерфоксa и инсталација два додатка њему имена NoScript Security Suite и uBlock Origin – први забрањује све скрипте са сајтова које посећујете (осим оне које ви омогућите ручно, типа Фејсбук скрипте и слично), други блокира огласе. Овај први додатак уме мало да смара пошто морате једно по једно блокирано да вајтлистујете – али кад једном то урадите…мирни сте што се тог сајта тиче а овај други само ћути и ради, није потребна никаква додатна интервенција.

Огласи сами по себи обично нису малициозни али су нешто што се пласира посетиоцу са неке друге локације или сервера – што је регуларно (Google AdSense и слични сервиси) и на познатим сајтовима их обично омогућавам (тј вајтлистујем) као неки вид подршке раду сајта али ако одете на неки непознатији или сумњивији сајт могуће да ће неко кроз оглас пласирати нешто што је малициозно, или директно или индиректно па макар то била реклама за датинг чији клик вас води на малициозну страницу где можете да се заразите трипером – што се компјутера тиче…ако ме разумете. Не знам да ли постоји слично на Гугл Хром браузеру.

Заповест 4
АНТИВИРУС ЗАШТИТА

Јавиће се богаоца људи који ће вам пријавити да је антивирус вишка и да џаба оптерећује систем – али их игноришите. То су обично људи који су дебело технички потковани, користе неке друге видове заштите па сад вама ту нешто серу и праве се Ајнштајнима (прочитајте више о њима овде).

Који антивирус? Ееее то је већ вечна дилема, има богаоца разноразних произвођача – и комерцијалних и бесплатних. Од комерцијалних некако ми се највише издваја Касперски, видим да стално учествују у некаквим истраживањима, доста скривених малициозних радњи на глобалном нивоу детектују њихови стручњаци, доста великих упада они крпе, доста су искусна и јака компанија. Овај антивирус лично не користим нити знам какав је у раду, неки ми људи пријављују да је тежак за систем неки да се не осећа али и једни и други ми пријављују да нема вируса.

Ја користим бесплатни 360 Total Security од 2014-те године са активирана два додатна Авира и Битдефендер модула и показао се као перфектан антивирус за мој компјутер и оне код којих знам да је инсталиран. У међувремену су почели да пласирају рекламе кроз тај антивирус и позивају на куповину лиценце – али ја то не видим…а искрено, можда чак и купим лиценцу из чисте подршке њима јер су цареви. Неколицина људи ми је пријавило да им се нешто ушуњало поред овог антивируса – али се испоставило да су га инсталирали и ту је крај – нису активирали та два додатна модула која су по мени ОБАВЕЗНА а која по дифолту нису активирана. Писао сам рецензије за 360 Internet Security овде и за 360 Total Security овде – и моје се мишљење и даље није променило, Кинезима свака част.

И опет напомињем – за ове неверне Tоме и теоретичаре завере, немам никакве везе са овом компанијом, не добијам никакав кеш од њих за рекламу или било шта слично, једноставно сам само (пре)задовољан како то све ради – а докле ћу бити, видећемо.

Заповест 5
FIREWALL ЗАШТИТА

Да не дрвим много, firewall је нешто што штити вас од напада преко мреже некога споља. Кроз firewall ви дефинишете шта је све отворено за преглед ономе ко би да се накачи на ваш компјутер. И овде као што је случај код код антивируса постоји богаоца произвођача али сам ја мишљења да на Виндовсу није потребно ништа више од његовог нативног firewall-а који само треба мало да се доштелује – а то се може у пар кликова.

Може вам бити занимљиво: Треба ли вам додатни фајервол на кућним рачунарима?

Довољно је да при конекцији кажете Windows Firewall-у да конекцију третира као јавне (Public) а да сам компјутер буде невидљив за остале а то ћете на Windows 10 урадити тако што ћете чим се накачите на нови Wi-Fi кликнути на NO кад вас пита „Do you want to allow your PC to be discoverable by other PCs on this network (превод – ош дозволиш да те сви са ове мреже виде)„.

Да промените већ дефинисане конекције на Public имате овде упутство – али имајте на уму да нико неће моћи да се накачи на ваш лаптоп путем Remote Desktop-а или File and Printеr Sharing-a и било чега осталога – док му ви не омогућите ручно…то омогућавање је већ нешто што тражи мало предзнања па вас нећу са тиме замарати овде.

Као и на линуксовом iptables-у – можете дефинисати који је порт отворен за кога, који протокол, која „source“ и „destination“ адреса – тако да, ето – само запамтите – где год вас пита који тип конекције запамтите појмове PUBLIC и „NO (на нешто discoverable by other PCs штагод, да ми искочи)“

Заповест 6
ЗАШТИТИ УРЕЂАЈЕ КОЈИ КОМУНИЦИРАЈУ СА КОМПЈУТЕROM

Све што се убада и меће у компјутер (USB флешеви, екстерни хард дискови, CD/DVD-јеви), комуницира или ће некад комуницирати са компјутером (мобилни телефони, таблети и апликације са њих) – о свему би требало водити рачуна пре убадања/комуникације.

Телефон рецимо, ако сте повукли неко срање са нета – а можете повући ако скинете програм ван Google Play-a (а некад богами чак и одатле) можда може да направи или експортује из себе самог неки извршни фајл – рецимо exe на само складиште телефона…exe фајл не може да уради ништа телефону – али ако исти телефон убодете у компјутер и тај exe фајл рецимо има иконицу као нека фотка са телефона – ударите дупли клик на њега свесно или несвесно – и журка може да почне. Дакле Андроид – скидајте само са Google Play-a, манте се свега осталог и онога што вам други причају.

USB флешеви – пропаст жива…од 20 разноразних флешева које сам убо у приватни компјутер од разноразних ‘пребаци ми то-и-то’ корисника – па чини ми се да је антивирус вриштао на свих 20 – али пошто ми је компјутер под Guest Windows налогом, антивирус активан, „autorun“ искључен, UAC на максимуму – није ми се ништа десило…мада да су напасти биле софистицираније можда су могле све то да ми поискључују – дакле, идеална варијанта и била – да не убадам ничије флешеве осим својих.

Да бих дочарао зашто је ово битно замислите како су ухакована иранска нуклеарна постројења – с обзиром да су били у потпуности затворени за јавност и одсечени од интернета? Неко мудар је бацио заражени флеш или испред фабрике или испред гајбе запосленог пре него што ће да крене на посао – овај видео отишао и убо у фирмин компјутер јер знатижеља, црв се проширио целом интерном мрежом са тог компа и 15 иранских постројења је било убијено (више о овоме на овом линку). Радило се о црву Stuxnet који је очигледно био направљен од стране љутих професионалаца, уложен огроман новац највероватније од иранских политичких непријатеља којих имају много као да су Срби – и ето, могла је наступити катастрофа левел Чернобил јер, понављам – ради се о нуклеарним постројењима.

Заповест 7
OFFLINE/NOSYNC КОПИЈА БИТНИХ ФАЈЛОВА

Увек треба знати да постоји могућност да се пробију све могуће и немогуће заштите и да малвер опет некако улети и заштифрује или бесповратно обрише све податке – треба бити и на то спреман. Дакле треба с времена на време бекаповати битне податке у једносмерном току…дакле или нарезати на неке силне DVD-јеве или имати засебан екстерни HDD само за бекап или бекаповати на клауд у фолдер који се не синхронизује аутоматски са компјутером или осмислити неко друго решење.

NAS-ови, мрежни дискови и слично вам не играју улогу ако су стално повезани са компјутером (Map Network Drive и слично) јер ће ренсомвер зашифровати и њих кад зарази сам компјутер. Ви евентуално овде можете да поставите да се чува више одвојених копија фајлова у фолдерима на самом NAS-у а који нису видљиви компјутерима (ако нема у виду апликације онда ће морати мало шел-скриптинг да ради).

Ја лично примењујем варијанту са клаудом и no-sync фолдером….дакле имате фолдер на тамо неком Dropbox/YandexDisk/GoogleDrive/Остало, ту урадите upload или ручно или преко sync клијента и кад се синхронизација заврши ви је скинете са даљег синхронизовања….тако да ако WannaCry улети и све вам зашифрује – зашифроваће и све фајлове на том истом локалном Dropbox/YandexDisk/GoogleDrive/Остало – то ће се uploadовати на клауд…и остадосте и без тих података…али опет, фолдер који се не синхронизује ће остати нетакнут јер је он само на клауду – не и на локалном компјутеру.

Овде је проблем простор на клауду којег у бесплатној варијанти можете имати до 50GB (Мега), али за рецимо 20$ годишње можете добити 100GB на Јандексу (тренутно најјефтиније) – али ви сами редефинишите који су вам фајлови битни – ако ћете да бекапујете филмове, музику и остало онда јебајга баш…али ако ћете приватне фотографије, снимке, docx/xlsx/pdf… и остала документа онда много тога може да се попакује у тих 100 или чак и 50GB.

Сем бекапа на један клауд примењујем још и бекап етремно битних података и на још један клауд – и то је клауд који не синхронизујем ни са чим и нигде…само је на серверу провајдера и то је то.

Укратко: Не кликћите на све и свашта те сваки добијени линк или фајл контајте као да шаље љути непријатељ из пакла који бљује ватру, Виндовс – ажурирајте а ако имате проблема прво „system image“ па онда, укључите UAC иако смара, не будите администратор на Виндовсу него Standard или Guest корисник, браузер последња верзија Фајерфоксa са NoScript и uBlock Origin додатком (не знам постоји ли еквивалент на Хрому, највероватније постоји), антивирус који ради у реалном времену, firewall на коме нисте видљиви никоме са мреже, пазите шта убаdate у USB порт, DVD драјв и на шта се качите кроз мрежу и опет, правите бекапе вама битних фајлова на неке офлајн или nosync локације. Ето.