One security advice a day keeps ransomware away

Ce este ransomware-ul?

Ransomware-ul este un tip de malware care cripteaza datele de pe hard disk-ul sistemului (documente, poze, video-uri, baze de date), blocand practic accesul la fisiere. Virusul afiseaza apoi o nota de rascumparare prin care se cere plata unei sume in schimbul datelor criptate. Daca victima plateste rascumpararea, exista cateva scenari posibile:

  • atacatorul sa ia banii pur si simplu (scenariul cel mai des intalnit), iar victima nu isi mai poate recupera datele
  • atacatorul sa trimita cheile de decriptare, impreuna cu instructiunile corespunzatoare, iar victima poate sa isi recupereze datele, partial sau integral
  • uneori, criptatea este atat de agresiva incat nici cu cheia corecta de criptare nu se pot recupera datele, aceasta fiind pierdute pentru totdeauna

Cum “se ia” ransomware-ul?

Cel mai adesea, ransomware-ul este livrat prin fisiere malitioase anexate email-urilor sau prin URL-uri malitioase inserate in email-uri. Download-ul de continut de pe site-uri “dubioase” (de exemplu, de pe “torrente”) poate descarca si malware pe sistemele utilizatorilor. Un alt mod de infectare cu ransomware este prin stick-uri USB gasite undeva pe strada, in mall-uri sau alte locuri publice (atacuri de tipul USB drop).

O data ce un sistem este compromis, ransomware-ul va scana reteaua sa vada ce alte sisteme pot fi atacate. Ceea ce inseamna ca este suficient ca un singur dispozitiv sa fie infectat pentru ca o intreaga retea sa fie in pericol.

Ce se poate face daca este prea tarziu?

Daca ransomware-ul este victorios, este o situati delicata, insa e posibil ca datele sa fie recuperate.

In primul rand, nu platiti rascumpararea. Fiecare plata in parte reprezinta practic o finantare a acestei industrii si un stimulent care incurajeaza hackerii sa continue cu campaniile lor de atac. Si in niciun caz plata recompensei nu aduce certitudinea ca datele vor fi recuperate.

Utilizati serviciul Crypto Sheriff pentru a afla ce tip de malware v-a infectat dispozitivul. Poate aveti noroc si deja exista un decriptor, caz in care va puteti recupera datele fara a plati rascumpararea.

Verificati site-ul No More Ransom pus la dispozitie de Europol si companii de securitate cibernetica pentru a gasi un decriptor pentru ransomware-ul care v-a infectat. Chiar daca nu exista unul acum, intrati din cand in cand pe site. Noi decriptori sunt facuti disponibili periodic.

Se spune ca preventia este mai buna decat tratamentul. Daca se iau masurile corespunzatoare de securizare a datelor, a sistemelor si a utilizatorilor, infectarea cu ransomware devine foarte putin probabila.

Sfatul #1
Cea mai buna arma impotriva ransomware-ului este backup-ul datelor. Astfel, chiar daca ransomware-ul are succes, va exista intotdeauna o sursa din care sa se recupereze datele pierdute, fara a fi nevoie sa se plateasca rascumpararea. Backup-ul facut periodic cu o frecventa cat mai mare minimizeaza volumul de date care se poate pierde. Pentru documentele critice backup-ul ar trebui facut zilnic. Regula de baza este 3-2-1: trebuie sa existe 3 copii ale datelor, 2 dintre acestea trebuie sa fie pe medii fizice diferite, iar 1 copie trebuie sa fie pastrata off-premises (cel mai sigur ar fi online).

Sfatul #2
Apoi, update-urile de sistem si patch-urile de securitate trebuie instalate de indata ce sunt facute disponibile de producatori. Adesea, se intampla sa lucram la un document important si instalarea unei patch cere un restart pe care il amanam la infinit pentru ca ne intrerupe munca. Principiul calauzitor trebuie sa fie “Better safe than sorry!” si sa apasam pe “Yes” la intrebarea “Update is finished. To take effect, you must restart your computer. Restart now?”

Sfatul #3
Utilizatorul are un rol major in executarea cu succes a ransomware-ului. Oricine ar fi tentat sa isi revendice premiul de 10.000 USD doar pentru ca a fost ales drept vizitatorul norocos al unui site cel putin dubios. Atacatorii stiu cum sa exploateze la maxim curiozitatea si naivitatea oamenilor si pot insera ransomware-ul in atasamentele sau URL-urile din email. Fiecare dintre noi trebuie sa exerseze scepticism la astfel de mesaje. Daca suna prea frumos sa fie adevarat, probabil ca asa si este. Evitarea retelelor peer-to peer, a site-urilor de genul “cu filme/seriale online”, nedeschidearea atasamentelor primite prin email de la surse necunoscute reprezinta un comportament corect care trebuie exersat de fiecare dintre noi.

Sfatul #4
Folosirea unui software ca Cisco Secure Endpoint pentru protejarea sistemului. Secure Endpoint foloseste tehnologii moderne care poate identifica si care poate bloca malware-ul in timp real. Pe langa detectia pe baza de semnaturi impotriva ransomware-ului deja cunoscut, Cisco Secure Endpoint poate oferi protectie si impotriva ransomware-ului pentru care inca nu exista o semnatura disponibila prin analizarea comportamentului fisierelor suspecte si a proceselor folosite de acestea.

r

Inginerii Dendrio va pot ajuta in evaluarea securitatii organizatiei dumneavoastra si in urma descoperirilor facute, va pot propune un plan de protectie impotriva ransomware-ului si a altor forme de malware.

Mihai Dumitrascu, Sr Systems Engineer