Ransomware

I. Ce este un Ransomware?

Ransomware este un tip de malware care blochează accesul la date până când se plătește o răscumpărare și, în același timp, afișează pe monitor un mesaj prin care solicită plata pentru deblocarea acestuia.
În general, acest tip de malware se răspândește prin fişierele ataşate la email-urile deschise de utilizatorii obișnuiți pe calculatoarele de la locul de muncă sau de acasă. Pe aceste sisteme informatice se instalează la deschiderea email-ului o aplicaţie de tip troian care contactează un server de comandă şi control (C&C), de unde descarcă fişierele necesare operării. După activare, ransomware blochează accesul utilizatorilor la sistemul informatic respectiv până când aceştia plătesc o răscumpărare (ransom în engleză) către o terţă entitate. img1

Există trei variante cunoscute de ransomware.

Primele variante de ransomware cereau utilizatorilor să trimită un SMS cu un anumit cod la un număr de telefon cu suprataxă. Pe baza codului trimis, se primea un altul ce permite utilizatorului să-şi deblocheze calculatorul. Plata (răscumpărarea) consta în taxarea suplimentară la trimiterea SMS-ului.
img2 Cea de a doua variantă de ransomware blochează ecranul calculatorului cu o imagine care pare a veni din partea unei autorităţi guvernamentale cu atribuţii în combaterea pirateriei online. Utilizatorul este anunţat că trebuie să plătească o amendă substanţială pentru faptul că a piratat conţinut online. Acesta este instruit să trimită o anumită sumă de bani printr-un serviciu de transfer de bani. Secvenţa de deblocare se obţine prin trimiterea pe o anumită adresă de email a codului de transfer pentru suma respectivă de bani.
Cea de a treia variantă de ransomware, și, evident cea mai periculoasă, utilizează funcţiile criptografice incluse în sistemul de operare respectiv pentru a cripta fişierele utilizatorului (documente, fotografii, etc.).Această variantă de ransomware caută pe HDD fişiere cu anumite extensii (*.doc, *.xls, *.pdf, *.jpg), fişiere pe care le criptează utilizând funcţiile criptografice (API-urile furnizate de sistemul de operare) sau pe care le arhivează cu parolă utilizând un algoritm binecunoscut – rar, zip, etc. Cheia de criptare este creată pe baza unor identificatori unici prezenţi în sistemul informatic respectiv (seria partiţiei, Security Identificator – SID, etc.). Cheia poate fi obţinută prin plata unei răscumpărări prin metode similare celor din varianta 2. img3

 

II. Cât de periculos este un atac cu Ransomware?

img4 În prezent, Infectarea cu malware de tip ransomware a devenit o problemă majoră la nivel global. Cel mai recent exemplu îl reprezintă atacul început în cursul zilei de 12 mai 2017, atac considerat a fi cel mai mare atac cibernetic de până acum cu acest tip de virus. Denumit WannaCry sau WannaCryptor, virusul a afectat zeci de mii de computere din peste 100 de țări. De la instituții guvernamentale până la spitale, companii de telefonie mobilă, companii de furnizare a energiei electrice și a gazelor naturale, toate au raportat pierderi uriașe și întârzieri în furnizarea serviciilor în urma pagubelor produse de criptarea fișierelor de către acest virus ransomware. În România, cele mai de notorietate exemple sunt Ministerul de Externe și compania Automobile Dacia.

Și, cu toate că. printr-un adevărat miracol, un tânăr analist britanic a reușit să oprească relativ repede răspândirea malware-ului, amenințarea nu a fost definitiv îndepărtată, autorii atacului anunțând lansarea unei noi versiuni a acestuia, WannaCry 2.0.

Este un fapt recunoscut de experții în securitate că Ransomware are cea mai rapidă ascensiune dintre amenințările malware actuale și s-a transformat într-o adevărată afacere infracțională, extrem de profitabilă. Potrivit unui raport guvernamental al SUA, în medie, peste 4.000 de atacuri ransomware au avut loc zilnic, începând din ianuarie 2016, iar Raportul Cisco de Securitate pentru 2017 relevă că 22% din organizațiile care au suferit breșe de securitate și-au pierdut din clienți, iar 40% dintre ele au pierdut mai mult de 20% din baza de clienți. Companiile afectate de atacuri cibernetice înregistrează pierderi de până la 20% din cifra de afaceri.

Sumele plătite pentru răscumpărare sunt de obicei mari, iar atacatorii nu fac discriminări. De exemplu, sumele cerute pentru persoane fizice se situează între 300-600 de dolari, în timp ce unor organizații, cum ar fi, de exemplu, școli, spitale sau companii locale mici și mijlocii, infractorii cibernetici le pot cere sume între 10.000 și 20.000 de dolari, de obicei în corelație cu numărul echipamentelor infectate.

În aceste condiții, investințiile în soluții proactive și implementarea sau actualizarea politicilor de securitate în companie reprezintă o necesitate imediată, fiind singura opțiune efectivă de protecție împotriva acestui tip de amenințare.

 

III. Cum pot fi prevenite atacurile cu ransomware? 9 măsuri de adoptat imediat.

  1. Gândiți înainte să acționați! Este cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă din lanțul care formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează exploatarea componentei umane. Nu accesați link-urile sau atașamentele conținute de mesajele email suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. Acordați atenție sporită site-urilor web pe care le accesați și surselor online pe care le utilizați pentru descărcarea sau actualizarea aplicațiilor.
  2. Mențineți copii de siguranță (backup) ale datelor. Cea mai eficientă metodă pentru combaterea amenințării ransomware este realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. IMPORTANT! Pentru backup utilizați un mediu de stocare extern care nu este conectat în permanență la sistem.
  3. Activați opțiunile de tip „System Restore”. În cazul sistemelor de operare Windows, vă recomandăm activarea opțiunii „System Restore” pentru toate partițiile de stocare.
  4. Utilizați numai software legal, autorizat și cunoscut. Se recomandă implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai software licențiat (mecanisme de tip „Application Whitelisting”).
  5. Afișați în permanență extensiile fișierelor. Unele tipuri de ransomware, precum Cryptolocker, sunt livrate sub forma unor fișiere cu extensie cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia „.exe”, caracteristică fișierelor executabile, rezultând extensii de forma „.docx.exe”, „.txt.exe”. Este recomandat să nu rulați niciodată fișiere executabile venite prin email.
  6. Actualizați în permanență sistemele de operare și aplicațiile. Actualizarea aplicațiilor și programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui nivel de securitate ridicat al sistemul informatic. De cele mai multe ori, un software neactualizat este echivalentul unei uși deschise (backdoor) pentru infractorii din mediul cibernetic (vezi cazul WannaCry!).
  7. Utilizați soluții de securitate eficiente și actualizate. O măsură absolut necesară pentru prevenirea infecțiilor cu diferite tipuri de malware o reprezintă utilizarea uneia sau mai multor soluții software de securitate eficiente și actualizate care să dispună de facilități/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc.
  8. Utilizați instrumente software pentru monitorizarea sistemelor informatice. Utilizarea de instrumente software pentru monitorizare (accesare, modificare, ștergere etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau rețelei.
  9. Manifestați atenție sporită la accesarea reclamelor web. Unele dintre versiunile de ransomware din ultimul timp au fost livrate prin intermediul unor reclame malițioase (malvertising) afișate pe site-uri web populare (știri, magazine online etc.).

 

IV. 5 pași pentru limitarea efectelor infectării cu Ransomware.

  1. Deconectați rețeaua și mediile de stocare externe! Deconectați urgent toate mediile de stocare externe conectate la PC (memorie USB, card de memorie, hard disk extern etc.), deconectați cablul de rețea și dezactivați orice alte conexiuni de rețea (WiFi, 3G etc.).
  2. Opriți PC-ul (Shutdown)! În cazul în care suspectați că un PC a fost infectat cu ransomware, vă recomandăm să-l opriți imediat pentru a limita cât mai mult numărul fișierelor criptate.
  3. Realizați un back-up „offline” al fișierelor. Porniți PC-ul (boot) utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern (CD, DVD, memorie USB etc.). Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost compromise (criptate).
  4. Restaurați fișierele compromise. Cea mai simplă metodă de recuperare a fișierelor afectate de ransomware este restaurarea acestora din cadrul unor back-up-uri. În cazul în care astfel de back-up-uri nu sunt disponibile, vă recomandăm să încercați recuperarea fișierelor prin „System Restore”.
  5. Dezinfectați sistemele informatice afectate. Cea mai sigură metodă prin care vă puteți asigura că sistemul informatic nu mai conține malware (sau rămășițe de malware) este reinstalarea completă a sistemului de operare, prin formatarea tuturor HDD-urilor/partițiilor în prealabil. În cazul în care acest lucru nu este posibil (spre exemplu în cazul în care se intenționează recuperarea datelor direct de pe HDD-urile afectate), vă recomandăm să utilizați una sau mai multe soluții de securitate de tip antivirus/antimalware /antispyware pentru scanarea sistemului și dezinfectare acestuia.

Nu uitați! Cea mai bună cale de evitare a efectelor unor atacuri informatice este prevenția!

MITnet acordă suport de specialitate pentru elaborarea și întreținerea celor mai potrivite soluții de monitorizare preventivă a sistemului informatic, asigurând și implementarea politicilor de securitate care se impun pentru securitatea informațiilor din compania dumneavoastră.