Упознајте зајебане вирусе – Ransomware

Ransomware (ренсомвер) је тип малвера новије генерације који има задатак да вам закључа рачунар уз поруку типа „Ваш рачунар је закључан од стране ФБИ/Интерпол/ЦИА…. због тога што сте 11. Априла прошле године ви или неко други са овог рачунара посећивали сајтове са дечјом порнографијом“ – и да вам понуди џентлменски договор да ће рачунар откључати и да нећете одговарати никоме ако уплатите рецимо 200$ у наредна 2-3 дана путем неког егзотичног начина плаћања да би вам откључао рачунар.

Сви наравно знамо да полиција хоће тако да вам тражи 200$ поготово за та ситна кривична дела попут тероризма, педофилије и слично, сиротиња шта ћеш, мале плате у полицији, знате како је и остале тужне приче… </end_of_sarcasm>

Сем оваквих уцена зачињеним страхом од нечега што нисте урадили – новији ренсомвери вам поштено напишу „Закључали смо све ваше фајлове јер тако смо у могућности, платите толико-и-толико ако желите да добијете кључ за откључавање“. Сем ваших фајлова биће шифровани и фајлови на мрежним дисковима које сте мапирали код себе тако да ће дељени фајлови бити нечитљиви и вама и свима осталима који користе тај мрежни диск. Двоструко срање.

Ренсомвер малвер ће вам инсталирати сет малициозних програма и сервиса на рачунару који ће у потпуности онемогућити његов рад.

Добра вест је да се офлајн скенирањем рачунара антивирусом овај вирус може уклонити, али је лоша вест да вам рачунар и после тог чишћења највероватније неће радити баш најсрећније, биће баговит и мрљав, јер ће антивирус поскидати све инфициране фајлове, а ренсомвер напада богаоца системских фајлова, што значи да ће вам доста битних фајлова отићи у заборав. Укратко, реинсталација или враћање из бекапа (ако сте га уопште и направили) вам не гине.

Иначе, овај тип малвера се иако се појавио 80-тих година прошлог века никад није попримао озбиљније димензије све до пре неколико година кад је једна посебна врста ренсомвер малвера – Cryptolocker заразила огроман број рачунара и направила ршум, зарадивши огромне новце креаторима заразе.

Ransomware је изведен од енглеске речи ‘Ransom’ што у преводу значи уцена а ‘ware’ је изведено од ‘Software’ што отприлике значи компјутерски програм. Дакле, буквалан превод би био компјутерски програм за уцену, али неки га зову и полицијски малвер јер се у великој већини случајева прети полицијом ако не платитите.

Сем што може да вам закључа рачунар, постоји и опаснији тип ренсомвера који вам може шифровати вама битне фајлове без могућности опоравка после чишћења од вируса и тако вас присилити да платите и да се надате да ће вам фајлови бити дешифровани и враћени назад.

Како би изгледало инфицирање система ренсомвером

Овај тип вируса се најчешће инсталира тако што покренете скинете неки програмчић чији вам је линк за скидање неко послао путем мејла, друштвених мрежа, чета….или једноставно вас неко пошаље на инфицирани сајт са кога ћете скинути и инсталирати програмчић, а у неким ситуацијама ће се програмчић успети инсталирати и сам са тог малициозног сајта.

У огромном броју случајева напада се Виндовс оперативни систем, али ни остали системи нису поштеђени иако у веома малом проценту, а у новије време је актуелна зараза на Андроид уређајима (детаљније овде).

Конкретно, рецимо, може да вам стигне имејл са адресе office@bankalnteza.com, у коме стоји да неко покушава да се домогне ваше е-банкинг лозинке те да кликнете на неки линк како би скинули апликацију којом можете ресетовати даљинским путем лозинку.
Мејл изгледа скоро идентично, ту је лого, она стерилна корпоративна комуникација, телефон банке….дакле све. Ви наравно, скинете програм да би предухитрили тог лопова и инсталирате га….и опалаааа….

Овај ће вам се прозор указати приликом стартовања рачунара и моћи ћете само њега видети, те нема другачије шансе да уђете у нешто друго. Што би наш народ рекао „Можгајебат“.

Е сад, сигурни сте да се никад нисте бавили ичим криминалним на интернету, најдаље што сте ишли било је гледање порнића или скидање неког филма преко торента….али опет….хммм можда је неки вирус, хакер или удаљени нападач то урадио. Ви можете исфоматирати цео рачунар 100 пута али и даље је информација о вашој IP адреси у том ФБИ-ју и црно вам се пише, ћорка бар 10 година. Мааааа платићу, овај месец нећу да једем месо, платим деци вртић и шверцоваћу се у јавном превозу.

А иначе, ако бисте детаљније проверили имејл адресу из горњег примера, увидели бисте да је адреса office@bankalnteza.com са малим латиничним словом Л (дакле Лнтеза уместо Интеза) али ко ће сад тиме да се бави…
Има чак и фора да видите да је мејл адреса заиста office@bankaintesa.com али да није та него office@kompjuteras.kz, али срећом такве имејлове сви већи имејл провајдери (Gmail, Outlook.com, Yahoo) детектују и шаљу у СПАМ или их једноставно обришу.

Е сад, ако и платите тим криминалцима, то није гаранција да ће вам рачунар заиста бити откључан, тако да вам реинсталација система не гине, и ту сте реинсталацију коју ћете урадити управо платили 200$. А реално, и ако га откључају, питање је да ли су га и очистили, можда је зараза и даље ту и биће активирана за пола године опет.

Како се заштити од ренсомвер претње?

• Више пута сам понављао, поновићу и сад….не кликћите на све живо и могуће шта вам дође у инбокс, на Фејсбук зид, на чет, а поготово не кликћите кад вам тако нешто дође од неког непознатог. Кад одете на неки мање познат сајт, памет у главу. Ако вам пише да сте милионити посетилац па ћете добити милион долара, знајте да вас ложе душмани. Ако вам стигне имејл од банке, прво се запитајте зашто би вас банка контакирала маилом. Ако нисте сигурни, назовите контакт centar, али не са оног телефона који вам је стигао путем имејла, већ прогуглајте прави број телефона те банке, службе за испоруку, јавне институције…
• Увек имајте ажурирано антивирус заштиту на рачунару, по могућству са добром хеуристиком.
  Погледајте још: Који непознати бесплатни антивирус препоручујем
• Не плаћајте. ФБИ/ЦИА/МУП вам сигурно неће тражити да уплатите 200$ на MoneyPak рачун (а поготово не да платите у Биткоинима) јер сте се бавили дечјом порнографијом или тероризомом, већ ће вам избити бубреге, прерасподелити зубе по вилици и уклонити пендреком половину кичмених пршљенова.
• Био би добро да немате администраторске привилегије на рачунару, али с обзиром да 99.99% корисника има те привилегије…да не тупим зубе. Ренсомвер као и сви остали програми (‘ware’ – сећате се) не могу се правилно (или се не могу уопште) инсталирати сем ако нападач не зна вашу администраторску лозинку или ако не крене у инсталацију путем вашег налога који има админ привилегије.

Шта после заразе?

Остаје вам да чекате да ће неко разбургијати овај ренсомвер и објавити кључеве за дешифровање. Дакле бекап закључаних фајлова и чекање, то је једино паметно што можете урадити, спаса нема до тад.

• Можете покушати са чишћењем рачунара од вируса из офлајн режима, односно пре него што је систем подигнут (описано овде како), па ако се рачунар понаша нормално у наредних 5-6 дана онда ОК….али мале су шансе за то…али и тад, закључани фајлови и даље остају закључани.
• Шифроване фајлове можете пробати регенерисати али само у случају да је малвер шифровао фајлове па обрисао оригинале – е ту је могуце решење, опоравак обрисаних оригиналних фајлова.
• Спремите се за реинсталацију система. Ако сте направили бекап система (описано рецимо овде како) онда урадите опоравак (restore), ако нисте, столица је ваша наредна 2-3 сата…али опет…ништа од шифрованих фајлова док се не објаве кључеви…ако се и објаве икада

Cryptolocker – најопаснији ransomware

Ренсомвер као што рекох, није био глобално раширен све до појаве Cryptolocker-а који је заразио на стотине хиљада рачунара широм света.
Постоји више типова ренсомвер малвера који се разликују методама застрашивања или контаминације рачунара али је Cryptolocker један од најопаснијих икада.

Овај подмукли малвер који вам на систем може упасти најчешће уз помоћ фишинг мејла и контаминираних линкова или прилога у том мејлу које вам шаљу бот мреже (не ове домаће СНС бот мреже, него професионалне, које имају више од 100.000 заражених рачунара под својом командом)…и после њега нема опоравка.

Како он делује?

….инсталира се, али вас неће плашити како вас је вид’о да сте посећивали сајтове са забрањеним садржајима већ ће да довати и да вам зашифрује све вама битне фајлове које имате на рачунару, без обзира на којој су партицији или мапиране мрежне фолдере на вашем рачунару (значи ни крив ни дужан биће шифрован и неупотребљив и садржај неког фолдера који је рецимо колега шеровао) и затражи вам да уплатите и до 1000 евра а и више како би вам их откључао. Чак и ако приступите фајловима уз помоћ неког другог и сигурнијег оперативног система у ‘live’ режиму џаба вам, фајлови ће и даље бити неупотребљиви.

Ако правите бекап на клауд (енг. cloud) сервисе методом аутоматске синхронизације са рачунаром, опет вам џаба, јер ће шифровани фајлови бити и у клауду замењени са регуларним. Укратко….најебали сте!
Ако сте пословни корисник или имате неке битне пројекте на којима сте радили а да их нисте чували екстерно или на клауд сервисе ван аутоматске компјутер синхронизације…попијте нешто добро за смирење.

Cryptolocker изведе шифровање методом два RSA кључа, јавног и приватног (за откључавање мора да постоје оба кључа), с тим што приватни кључ пошаље неком удаљеном серверу. Чисто да знате, ако платите, плаћате за тај приватни кључ, ако вам га и дају уопште.

Колико је опасан овај малвер говори и то да је до сад Cryptolocker успео да изнуди око 10 милиона долара од обичних корисника и компанија.

Добра вест везана за Cryptolocker је та да је у међувремену бот мрежа која је радила на инфицирању, угашена великом акцијом полиције и највећих стручњака из домена ИТ безбедности, као и то да се у се појавиле фирме које вам могу дешифровати (или бар покушати) фајлове чак и бесплатно.

Лоша вест је да се на основу Cryptolockerа праве још софистициранији и напреднији ренсомвер вируси (попут рецимо вируса Цитрони), као и нове бот мреже…Тако да…чувајте се!
(чувајте се = „не кликћите на све живо, опрез са линковима и фајловима, обавезан антивирус, по могућству нон-админ кориснички налог“)