Cum ne protejam de “ransomware”?

Servicii IT externalizate, virusi ransomware

Cum ne protejam de “ransomware”?

Voi incepe prin a preciza ca tutorialul asta poate fi aplicat si ca metoda de protejare impotriva altor tipuri de virusi, nu numai cei de tipul ransomware.

Ce este un virus de tipul RANSOMWARE?

Este un virus care iti tine fisierele ostatice si iti cere o anumita suma de bani, de regula intre 200 euro si 10.000 euro pe care de reguyla trebuie sa le platesti in Bitcoin (crypto moneda) pentru a le recupera.

Cine este vulnerabil in fata acestor virusi ransomware?

Acesti tip de virusi sunt creati pentru a infecta companii pentru ca de regula datele de pe calculatoarele lor sunt mai sensibile si de obicei platesc pentru a recupera baze de date fara de care nu pot functiona sau ii afecteaza mult mai mult decat valoarea ceruta de catre cel care le-a infectat calculatorul, dar implicit acestia se raspandesc peste tot si infecteaza fara discriminare.

Pot bloca atacul impotriva unui astfel de virus?

Raspunsul simplu este NU, in multe cazuri s-a observat ca trece usor de antivirusi si firewall-uri, iar solutiile suplimentare de protectie pot doar ameliora impactul si reduce incidenta.

Care este cea mai buna solutie de a-mi tine fisierele in siguranta?

Backup-ul este, din punctul meu de vedere, singura solutie viabila pentru a tine fisierele in siguranta, si aici voi dezvolta putin pentru ca exista mai multe tipuri de backup si trebuie sa stiti care sunt implicatiile

  • backup-ul manual (salvarea fisierelor pe un hard-disk extern sau pe un stick USB)

O solutie buna atunci cand te intereseaza sa tii in siguranta poze si filmulete de familie care in total ocupa un spatiu considerabil de mare si nu vrei sa ai costuri lunare

  • backup-ul automat (te folosesti de un software sa pui fisierele pe un hard-disk extern conectat la retea NAS, pe un FTP etc.)

Dezavantajul solutiei astea este ca se face la o anumita ora si intra in discutie daca user-ul are calculatorul deschis in acel moment, user-ul de regula nu observa daca este vreo eroare in timpul salvarii, unde este tinut acel spatiu de stocare si cate point of failure are etc.

Din puncul meu de vedere, cea mai buna solutie dintre toate, mai ales ca pe un cloud bun, ai file history, unele iti arata cine a modificat fisierul in caz ca au mai multi acces la el, user-ul este notificat in caz de probleme de catre aplicatie etc. Necesita un abonament daca sunt fisiere mai mult de 2GB pana la 25GB (in functie de solutie, unele sunt gratuite pentru cantitati mici de date).

Ce alte masuri trebuie sa luam pentru a evita cat mai mult infectarea calculatorului:

  • Sistemul de operare sa fie updated la zi

  • Un antivirus care sa stie si protectia impotriva ransomware-ului

  • Evitati mail-urile dubioase, mai alesc cele care au attachment si nu stiti de la cine este

  • Nu dati click pe orice apare pe monitor doar ca sa vedeti un film gratis online 😉

Ce sa faci atunci cand totusi te-ai infectat cu un astfel de virus:

  • Inchide calculatorul si contacteaza un specialist

Sunt situatii in care sesizezi infectarea in timp ce se intampla, inchiderea calculatorului opreste acel proces si daca esti norocos, nu a infectat fisierele de care ai nevoie. Daca citesti mai departe vei intelege si de ce.

  • Verifica ce versiune de ransomware ai

Daca este o versiune mai veche, poate cineva a descoperit algoritmul de generare a cheii de criptare, iarasi, in functie de noroc. De asta iti poti da seama dupa terminatia fisierelor criptate

  • Restabileste fisierele daca ai backup

Daca ai backup, ar trebui formatat intregul sistem si apoi restabilite datele pe care le ai salvate deja

  • Verifica daca ai file history activ pe calculator

La versiunile mai vechi de virusi ransomware nu se stergea file history si puteai sa restabilesti fisierele asa.

  • Daca te-ai hotarat sa platesti, fii atent la intructiuni si urmeaza-le intocmai

E greu sa platesti unui hot, e adevarat, dar uneori e cea mai buna solutie, si nu o zic numai eu ci foarte multi din domeniu. Nu uita, scopul celor care creeaza astfel de virusi este de a-ti da incredere ca dupa ce platesti vei primi fisierele inapoi.

  • Daca nu te-ai hotarat ce sa faci, nu incerca sa recuperezi fisierele singur

Din pacate multi incearca sa recupereze fisierele singuri desi nu au experienta in asa ceva si asta nu face decat sa sporeasca sansele ca fisierele respective sa fie pierdute pentru totdeauna.

Se pot recupera fisierele si intr-un alt mod, spre exemplu sa decripam fisierele cu softuri specializate?

Raspunsul practic este ca NU, de obicei se folosesc chei de criptare de 128 biti, asta inseamna ca sunt 340282366920938463463374607431768211456 posibile combinatii de chei de 128 biti, adica 16 caractere, dar sunt si virusi care folosesc chei de criptare de 2048 biti, deci imposibil practic de gasit de catre un software.

Experiente personale

Au existat momente in care au ajuns clienti la noi infectati cu virusi ransomware si fiecare situatie a fost total diferita de cealalta:

Dintr-un numar de 6 cazuri:

  • 1 server contabilitate – am recuperat cu file history (perioada de inceput al ransomware-ului)
  • 1 computer personal – am recuperat din shadowfiles (perioada de inceput al ransomware-ului)
  • 1 computer de birou fara baze de date – recuperat dupa formatare dintr-un backup de retea SMB (deci nu a plecat si in reteaua interna)
  • 1 server contabilitate – nu avea totul salvat (avea doar softul de contabilitate salvat), si avea nevoie de datele de pe desktop (platit 1000 euro si recuperat date)
  • 1 server atacat prin RDP cu brute force (platit 4000 euro si recuperat date) aici se folosise si sdelete, tintise doar servere si de aceea presupun ca a fost mai scump
  • 1 statie server neprotejat (platit 200 euro si recuperat date), in situatia asta a avut noroc ca a fost foarte ieftin, baza de date pe care o avea era destul de importanta

Daca vreti mai mute detalii despre cum actioneaza acesti virusi, si cum ne putem proteja, srieti-mi si voi aprofunda.

Leave a Reply

Your email address will not be published. Required fields are marked *


Follow by Email
Facebook
Facebook