Ransomware - prevencija i šta uraditi ako vas ta nevolja ipak "snađe". Već se desilo mnogima i desiće se mnogima u budućnosti. Budite oprezni i spremni.
Šta je to ransomware? To je zlonamerni softver koji vam zaključa računar, šifruje sve (programe i podatke) i ne da vam da ga koristite dok ne platite otkup. A moguće ni nakon što platite. I još vam priprete da će sve vaše podatke sa računara javno objaviti.
Kako da se zaštitite i da vodite računa da vam se to ne desi i šta da radite ako vam se ipak desi? Ovo je kombinacija dva posta koja sam objavio na LinkedInu.
Čitajte dalje.
Ransomware - bolje sprečiti nego lečiti!
Ovde (na LinkedInu, a verujem i na blogu) se okupljaju poslovni ljudi, pa mislim da je dobro da napišem neka razmišljanja o preventivnim merama i zaštiti od ransomware napada. Razlog je što je bilo nekoliko poziva u pomoć u proteklih par meseci. Tvorci ransomware-a su sve aktivniji.
Za one koji nisu upućeni u termin: to je situacija kada vam „uđe virus u računar ili telefon", pa šifruje podatke i ne da vam da ga dalje koristite dok ne platite otkup, obično u bitkoinima ili drugoj kripto valuti. A možda ni posle toga, zavisno od situacije. Nemojte sebi dozvoliti da do toga dođe, a posebno ne da plaćate otkup jer će te ih „navaditi", pa ih eto opet.
Dakle: preventivne mere su mnogo efikasnije nego reaktivne mere tj. „lečenje" kad vas nedaća snađe.
Koje su preventivne mere:
1. Koristite alate za detekciju zlonamernog koda (antivirusni alati), a takođe i alate za analizu ponašanja i događaja, detekciju i prevenciju upada i curenja podataka (self-marketing: INPRESEC, vSOC, Glog, Security Predictions)
2. Redovno arhiviranje sistema i podatka (engl. Backup)
3. Redovne i pravovremene nadogradnje i ažuriranje softvera (engl. Systems Upgrades and Software Updates)
4. Implementirajte model nultog poverenja (engl. Zero-Trust Model)
5. Segmentacija mreže
6. Inventar digitalne imovine tj. svog hardvera i softvera i "vidljivost krajnjih tačaka"
7. Nepromenljivi i neizbrisivi mediji za čuvanje podataka (engl. Immutable and Indelible Storage)
8. Redovno testiranje i validacija
9. Edukacija zaposlenih i korisnika (da ne klikću gde ne treba i ne otvaraju šta ne treba) :)
10. Plan akcije za slučaj sajber napada
11. Brzi oporavak - imati pripremljen plan i uvežbati
O tome šta da se radi, ako vas „snađe" ova nevolja, u sledećem postu ispod.
Šta da se radi, ako vas „snađe" ransomware nevolja?
[Ovaj tekst sam na LinkedInu objavio jednog petka. Neko će se možda zapitati zašto ovo objavljujem u petak pred kraj radnog vremena? Pa simbolično, jer se većina ransomware i sličnih napada desi upravo petkom u pet do pet ili preko vikenda. To je bazirano na iskustvu do sada.]
Ako je vaša organizacija već́ zaražena ransomware-om, ovi koraci mogu pomoći u ograničavanju uticaja:
1. Odmah isključite zaražene računare, laptopove ili tablete sa svih mrežnih veza, bilo žičanih, bežičnih ili mobilnih telefona.
2. U veoma ozbiljnom slučaju, razmislite da li će možda biti potrebno isključiti bežične tj. Wi-Fi mreže, onemogućiti sve veze sa osnovnom tj. centralnom mrežom (uključujući i svičeve) i prekinuti vezu sa Internetom.
3. Resetujte kredencijale - lozinke (posebno za administratorske i druge sistemske naloge) - ali proverite da ne zaključate sisteme koji su potrebni za oporavak.
4. Bezbedno obrišite (engl. wipe) zaražene uređaje i ponovo instalirajte operativni sistem (OS).
5. Pre nego što vratite programe i podatke iz rezervnih kopija, proverite da li nema zlonamernog softvera. Trebalo bi da vraćate programe i podatke iz rezervne kopije samo ako ste veoma sigurni da su rezervna kopija i uređaj sa kojim je povezujete čisti.
6. Povežite uređaje na čistu mrežu kako biste preuzeli, instalirali i ažurirali OS i sav drugi softver.
7. Instalirajte, ažurirajte i pokrenite antivirusni softver.
8. Ponovo se povežite na svoju mrežu.
9. Pratite mrežni saobraćaj i pokrenite antivirusno skeniranje da biste utvrdili da li postoji infekcija.
Ako nemate rezervnu kopiju (engl. backup), potražite kod pouzdanih firmi koje se bave bezbednošću, da li su možda objavljeni alati i ključevi za specifičnu vrstu ransomware-a, kojom su vaši sistemi „zaraženi". Postoje firme, organizacije i agencije se bave ovim problemima i dele svoja saznanja i alate za rešavanje problema. Budite vrlo oprezni u davanju poverenja izvorima sa Interneta, a najbolje da kontaktirate firme sa kojima već imate poslovni odnos ili pouzdane preporuke.
Da li treba da platite otkupninu (engl. ransom)?
Organi za sprovođenje zakona ne savetuju i ne odobravaju, niti dozvoljavaju plaćanje zahteva za otkupninu. Ako platite otkupninu:
• ne postoji garancija da ćete dobiti pristup svojim podacima ili računaru
• vaš računar će i dalje biti zaražen
• plaćaćete kriminalne grupe
• veća je verovatnoća da ćete biti meta u budućnosti.
Napadači će takođe zapretiti objavljivanjem podataka ako se ne izvrši plaćanje. Da bi se suprotstavile ovome, organizacije treba da preduzmu mere da minimiziraju uticaj eksfiltracije podataka.
Pogledajte i raniji tekst Tajni život Vašeg računara.
*****
Napomena: Jedan bloger ovdašnji mi reče:
- Objavi ovaj tekst na blogu. Koristiće mnogima.
- Pa ne pišem i ne dolazim više na blog - rekoh mu.
- Ipak objavi. Ako se bar jedan-jedna spasi od ransomware-a, vredno je - reče on.
I eto.
Ovim nisam pretendovao da dam detaljno, precizno i opširno uputstvo, već samo osnovne smernice. Za više detalja, postoje resursi na mreži, koje lako možete pronaći.
*****