AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Znovu je tady ransomware

Tak je to tady zase! Opět se potýkáme s novou vlnou ransomware a opět přicházejí uživatelé o data, o nervy a o peníze L Vzhledem k zapojení sociální manipulace, jsou tyto útoky stále účinné a je opravdu obtížné se jim bránit.

Dnes se tedy na nás opět valí vlna mailů s údajnými fakturami v příloze nebo dokonce falešným upgrade na Windows 10. Je to nekonečný a obtížný boj. Jaké jsou tedy naše defenzivní možnosti?

Napřed si připomeňme, co je to ransomware (český překlad by byl něco jako vyděračský software). Jedná se o trojského koně (software nebo lépe kód, který předstírá, že je něčím jiným a uživatel ho tudíž v dobré víře spustí), který se po spuštění pokouší šifrovat data na lokálním disku. Po zašifrování oznámí uživateli, že má smůlu a k datům se už nikdy nedostane, tedy pokud nebude ochoten zaplatit odpovídající obnos tvůrci. Oběť útoku tudíž má zaplatit buď peníze (nejlépe v bitcoinech nebo pokud jinak tak nějakým nestopovatelným způsobem) a doufat, že dostane šifrovací klíč nebo se může s daty rozloučit. K nejznámějším „kouskům“ patří Cryptolocker. Protože se ukázalo, že použití ransomware pro „přivýdělek“ je skutečně účinné, stal se velmi rozšířený a tak stavební kit pro vytvoření vlastní verze ransomware pořídíte na Dark Webu (část internetu používaná pro ilegální obchod, která je přístupná pomocí speciálních nástrojů) za stovky dolarů (a stavebnici pro ransomware Tox dokonce zdarma!). A tak kdo neumí programovat, koupí si stavebnici a není tedy divu, že se denně objevují nové verze. Výhledy do budoucna nejsou zrovna „růžové“ a proto můžeme očekávat varianty, které se budou pokoušet šifrovat nejen sdílené a síťové disky, ale třeba i cloudová úložiště.

To bychom tedy měli ransomware. A jak ho dostat k uživateli? Snadno, stačí trochu manipulace a to jsou ty maily, které zaplavují naše mailboxy. Určitě si pamatujete na tzv. policejní mail nebo na mail z České pošty, DHL atd. Dalo by se pokračovat snad do nekonečna. Aktuálně jde tedy o mail s údajnými fakturami nebo upgrade na Windows 10. V každém případě přiložený soubor buď přímo obsahuje, nebo připojený link vede na výše zmíněné trojské koně. Maily jsou stále více přesvědčivé a používají originální grafiku i styl, aby zmátly uživatele. Při určité dávce zkušenosti a pozornosti lze nalézt varovné znaky, nicméně nebezpečnost těchto mailů je díky jejich přesvědčivosti a časté manipulaci se základními lidskými pudy (strach, zvědavost atd.) pořád větší. Přiznávám, že i odborníci mají problém dobře připravený email rozpoznat.
Co má tedy uživatel potažmo organizace dělat, aby odolali této lavině? Obranu bychom měli dělit do jednotlivých vrstev jako cibuli. Pokud selže jedna vrstva, potom máme ještě další „obranné zákopy“.
V první řadě bychom se měli pokusit zabránit doručení takového emailu uživatelům do mailboxu. Co to znamená? Implementovat antispamové řešení, které bude blokovat nevyžádanou poštu. V sítích antispamu uvíznou tedy i podvodné emaily nicméně vzhledem k tomu, že použité řešení nebude nikdy 100% (nemůžeme nastavit antispam natolik restriktivně, aby nám blokoval veškerou poštu a vzhledem k tomu, že slova jako „faktura“, „nabídka“ atd. mohou signalizovat korektní poštu, je velmi pravděpodobné, že některý z emailů pronikne až k našemu uživateli.
Nepřítel tedy pronikl první obrannou linií, je v rukou uživatele, nic však ještě není ztraceno. Jde o to neklikat na všechny přílohy, všech mailů, které dorazí, což bude asi dost obtížné. Nezbývá tedy než dělat osvětu a uživatele zkoušet vzdělat. Co tedy zkusit udělat dříve, než klikneme na přílohu?

  1. Sledujte, jestli v mailech není drobná chyba ve formátování nebo pravopisné chyby.
  2. Podívejte se na email odesilatele. Řetězce místo jména nebo domény buď nesouvisející se jménem předstírané organizace, nebo napodobující jméno předstírané organizace, jsou podezřelé.
  3. Zastavte kursorem nad linkem a podívejte se na zobrazené URL. Zkoumejte, zdali souhlasí s adresou odesilatele nebo s URL předstírané organizace. Neklikejte na link a raději si v prohlížeči otevřete oficiální stránku předstírané organizace, pokud se jedná o nějakou „mimořádnou“ nabídku, určitě zde o tom bude zmínka.
Co ještě můžeme udělat? Udržovat aktuální antivirový software a záplatovaný operační systém. Aktualizovaný antivirový systém může detekovat již známý model ransomware a upozorní na jeho existenci. Aktualizujte teda a volte vhodné nastavení.
Jaká je další prevence? Systémy nazývané jako application control. Tyto systémy neumožňují spustit žádnou aplikaci, žádný kód kromě těch, které jsou vysloveně povolené. V závislosti na politice potom buď spuštění zablokují „bez řečí“ nebo se zeptají uživatele (ano pokud tady tušíte achillovu patu, potom tušíte správně, avšak opět je to o nastavení systému a osvětě uživatelů). To by mělo znovu zmenšit prostor pro ransomware.
Jak již jsem zmínil,  ransomware dokáže dosáhnout na sdílené nebo síťové disky. Je tedy potřebné síť segmentovat tak, aby uživatelé (a tedy jejich stroje) neviděli kompletně celou síť, protože jinak můžeme očekávat pokus o šifrování všeho, na co je možné dosáhnout.
Co když všechna preventivní opatření selžou nebo nejsou implementovány? Co dělat, když už na nás zabliká z displeje „vyděračská zpráva“? V tomto okamžiku již máte pravděpodobně data zašifrována. Netřeba však propadat panice a posílat peníze do „Tramtárie“, pokud máte zálohy. V takovém případě naleznete a odstraníte soubor ransomware a následně data obnovíte ze záloh. Drobná, ale důležitá poznámka – data je nutné vytvářet a držet off line, protože je velmi pravděpodobné, že ransomware se pokusí zašifrovat všechny soubory, na všech discích a úložištích, které uvidí.
Samozřejmě je potřebné provádět zálohy pravidelně, protože v okamžiku, kdy je ransomware aktivní, tak data šifruje a může tedy dojít k zálohování již zašifrovaných dat. Znamená to tedy provádět zálohy pravidelně, a čím častěji tím lépe a pak na off line mediu nebo úložiště, které ransomware „neuvidí a na které nedosáhne“.
Když to tedy shrnu:
  • Implementujte antispam
  • Implementujte antivirové řešení
  • Implementujte application control řešení
  • Segmentujte síť
  • Implementujte zálohování
  • Vzdělávejte uživatele
  • Pravidelně zálohujte
A pokud chcete poradit, co dělat v konkrétní situaci, neváhejte se zeptat. Na každý z výše uvedených bodů dokážeme reagovat. AutoCont ví jak.
 

Komentáře