Ja sanācis "noķert" šifrējošo izspiedējvīrusu, sajūtas var būt dažādas - šoks, dusmas, neziņa, ko darīt tālāk. Ļaundariem šajā gadījumā ir savi uzstādījumi - maksā vai zaudē failus, tomēr ne visos gadījumos tās ir vienīgās alternatīvas. Taču, pastāv arī citas iespējas, kā rīkoties, lai nevajadzētu maksāt.
Latvijā visbiežāk sastopami šādi šifrējošie vīrusi:
• CTB-Locker (Critroni);
• Crypto Wall;
• Tesla Crypt;
• CryptoLocker;
• Linux Encoder;
• Paralēli tiek izplatīti arī dažādi iepriekšējo paaudžu šifrējošie vīrusi.
Kā izvairīties no inficēšanās?
Pamatā ir divi veidi, kā notiek datora inficēšana ar šifrējošo izspiedējvīrusu:
1. veids - inficēts e-pasta pielikums vai saite. Inficēšanās notiek, atverot failu vai klikšķinot uz saites. Šajā gadījumā inficēšanās prasa lietotāja līdzdalību, jo kaitīgais vīruss tiek izpildīts jeb "palaists" kā programma ar paša lietotāja ziņu. Visbiežāk, ziņkārības pēc.
2. veids - neatjauninātas programmas, piemēram, Adobe Flash, Java vai Microsoft Windows, kur neizlabotu programmatūras tūkumu dēļ rodas izspiedējvīrusa izplatībai labvēlīga situācija.
Praktiski tas notiek, lietotājam apmeklējot leģitīmas, tomēr kompromitētas vietnes. Sākumā vietne piegādā mūķi, kas instalējas caur neatjauninātu programmu, un vēlāk šis mūķis jau spēj instalēt lietotāja datorā izspiedējvīrusu un citas kaitnieciskas programmas.
Ieteikumi lietotājiem, lai nekļūtu par šifrējošo vīrusu upuriem:
• Vislabākā aizsardzība ir rezerves kopiju veidošana. Tās var glabāt mākonī, uz fiziskas iekārtas (datu nesēja), vai izmantot speciālu programmatūru, kas automātiski veido rezerves kopijas datorā vai uz ārēja datu nesēja. Ja glabājat rezerves kopijas uz ārējas iekārtas, tās vēlams atslēgt no tīkla, lai vīruss nesabojā arī tās.
• Atjauniniet visas programmas savlaicīgi - uzbrucējam pietiek ar vienu nedrošu komponenti.
• Neklikšķiniet uz saitēm ne e-pastā, ne sociālajos tīkos, ja neesat drošs, kas tā ir par saiti.
• Neatveriet negaidītus e-pasta pielikumus – ja neesat drošs, pajautājiet sūtītājam, pat ja sūtītājs ir jūsu draugs. Atcerieties, ka nav drošu un nedrošo failu - vīruss var slēpties gan .pdf failā, gan MS Office Word dokumentā.
• Atslēdziet ActiveX un Macro funkcijas MS Office programmās.
• E-pasta serveru administratoriem iesakām veidot e-pastu filtrus – bloķējiet .scr, .js, .bat, .exe pārsūtīšanu e-pasta serverī.
• Pārskatiet tiesības rakstīt / dzēst failus koplietošanas mapēs un tīkla diskos.
Ja nezināt, kā veikt kādu no šīm darbībām, jautājiet savam datorspeciālistam.
Kā rīkoties ja dators ir inficēts?
1. Informējiet CERT.LV.
2. Vēlams izveidot pilnu šifrētā diska kopiju, izmantojot tādas programmas kā DD, HDD clone, Clonezilla.
3. Atjaunojot datora darbību, saglabājiet šifrēto disku vai tā «klonu» - iespējams, to varēs atšifrēt pēc kāda brīža, ja atklāsies kriptogrāfiskas nepilnības šifrēšanā, vai tiks pārņemta vīrusa izplatītāju infrastruktūra.
4. Pat, ja vīruss paziņo, ka to nevar atšifrēt, uz to nevajadzētu paļauties. Šifrējošie vīrusi var izmantot svešus nosaukumus savos paziņojumos, tāpēc ir vērts sazināties ar CERT.LV, lai noskaidrotu, vai tiešām esat inficēts ar paziņojumā norādīto vīrusu.
5. Jāpārliecinās, vai vīrusam nav pieejami bezmaksas rīki failu atšifrēšanai.
6. Izmēģiniet atgūt datus, izmantojot Windows Volume shadows copy /File History.
7. Ja tas neizdodas, izmantojiet failu atgūšanas programmas – Foremost, PhotoRec un dažādus komerciālus rīkus.
8. Ja failu zaudēšana radījusi ievērojamus zaudējumus – informējiet Valsts policiju, rakstot iesniegumu.
9. Pēc iespējas nemaksājiet izspiedējiem! Nav garantijas, ka atgūsiet datus, bet jūsu nauda tiks ieguldīta jaunu datorvīrusu izstrādē!
Vai datus var atgūt?
• CTB-Locker, Crypto Wall – šobrīd nav iespējams,
• TeslaCrypt – ir bezmaksas CISCO izstrādāta atšifrēšanas programma, arī vīrusa izstrādātāji publicējuši atšifrēšanas atslēgu,
• CryptoLocker – ir bezmaksas rīks no FireEye,
• Linux Encoder – ir bezmaksas rīks no Bitdefender,
• Dažādi vecāki šifrējošie vīrusi – eksistē rīki no Kaspersky, Dr.Web un citiem ražotājiem.
Vairāk par izspiedējvīrusu vēsturi un par to veidiem: https://blog.varonis.com/a-brief-history-of-ransomware/
Ja sanācis "noķert" šifrējošo izspiedējvīrusu, sajūtas var būt dažādas - šoks, dusmas, neziņa, ko darīt tālāk. Ļaundariem šajā gadījumā ir savi uzstādījumi - maksā vai zaudē failus, tomēr ne visos gadījumos tās ir vienīgās alternatīvas. Taču, pastāv arī citas iespējas, kā rīkoties, lai nevajadzētu maksāt.
Latvijā visbiežāk sastopami šādi šifrējošie vīrusi:
• CTB-Locker (Critroni);
• Crypto Wall;
• Tesla Crypt;
• CryptoLocker;
• Linux Encoder;
• Paralēli tiek izplatīti arī dažādi iepriekšējo paaudžu šifrējošie vīrusi.
Kā izvairīties no inficēšanās?
Pamatā ir divi veidi, kā notiek datora inficēšana ar šifrējošo izspiedējvīrusu:
1. veids - inficēts e-pasta pielikums vai saite. Inficēšanās notiek, atverot failu vai klikšķinot uz saites. Šajā gadījumā inficēšanās prasa lietotāja līdzdalību, jo kaitīgais vīruss tiek izpildīts jeb "palaists" kā programma ar paša lietotāja ziņu. Visbiežāk, ziņkārības pēc.
2. veids - neatjauninātas programmas, piemēram, Adobe Flash, Java vai Microsoft Windows, kur neizlabotu programmatūras tūkumu dēļ rodas izspiedējvīrusa izplatībai labvēlīga situācija.
Praktiski tas notiek, lietotājam apmeklējot leģitīmas, tomēr kompromitētas vietnes. Sākumā vietne piegādā mūķi, kas instalējas caur neatjauninātu programmu, un vēlāk šis mūķis jau spēj instalēt lietotāja datorā izspiedējvīrusu un citas kaitnieciskas programmas.
Ieteikumi lietotājiem, lai nekļūtu par šifrējošo vīrusu upuriem:
• Vislabākā aizsardzība ir rezerves kopiju veidošana. Tās var glabāt mākonī, uz fiziskas iekārtas (datu nesēja), vai izmantot speciālu programmatūru, kas automātiski veido rezerves kopijas datorā vai uz ārēja datu nesēja. Ja glabājat rezerves kopijas uz ārējas iekārtas, tās vēlams atslēgt no tīkla, lai vīruss nesabojā arī tās.
• Atjauniniet visas programmas savlaicīgi - uzbrucējam pietiek ar vienu nedrošu komponenti.
• Neklikšķiniet uz saitēm ne e-pastā, ne sociālajos tīkos, ja neesat drošs, kas tā ir par saiti.
• Neatveriet negaidītus e-pasta pielikumus – ja neesat drošs, pajautājiet sūtītājam, pat ja sūtītājs ir jūsu draugs. Atcerieties, ka nav drošu un nedrošo failu - vīruss var slēpties gan .pdf failā, gan MS Office Word dokumentā.
• Atslēdziet ActiveX un Macro funkcijas MS Office programmās.
• E-pasta serveru administratoriem iesakām veidot e-pastu filtrus – bloķējiet .scr, .js, .bat, .exe pārsūtīšanu e-pasta serverī.
• Pārskatiet tiesības rakstīt / dzēst failus koplietošanas mapēs un tīkla diskos.
Ja nezināt, kā veikt kādu no šīm darbībām, jautājiet savam datorspeciālistam.
Kā rīkoties ja dators ir inficēts?
1. Informējiet CERT.LV.
2. Vēlams izveidot pilnu šifrētā diska kopiju, izmantojot tādas programmas kā DD, HDD clone, Clonezilla.
3. Atjaunojot datora darbību, saglabājiet šifrēto disku vai tā «klonu» - iespējams, to varēs atšifrēt pēc kāda brīža, ja atklāsies kriptogrāfiskas nepilnības šifrēšanā, vai tiks pārņemta vīrusa izplatītāju infrastruktūra.
4. Pat, ja vīruss paziņo, ka to nevar atšifrēt, uz to nevajadzētu paļauties. Šifrējošie vīrusi var izmantot svešus nosaukumus savos paziņojumos, tāpēc ir vērts sazināties ar CERT.LV, lai noskaidrotu, vai tiešām esat inficēts ar paziņojumā norādīto vīrusu.
5. Jāpārliecinās, vai vīrusam nav pieejami bezmaksas rīki failu atšifrēšanai.
6. Izmēģiniet atgūt datus, izmantojot Windows Volume shadows copy /File History.
7. Ja tas neizdodas, izmantojiet failu atgūšanas programmas – Foremost, PhotoRec un dažādus komerciālus rīkus.
8. Ja failu zaudēšana radījusi ievērojamus zaudējumus – informējiet Valsts policiju, rakstot iesniegumu.
9. Pēc iespējas nemaksājiet izspiedējiem! Nav garantijas, ka atgūsiet datus, bet jūsu nauda tiks ieguldīta jaunu datorvīrusu izstrādē!
Vai datus var atgūt?
• CTB-Locker, Crypto Wall – šobrīd nav iespējams,
• TeslaCrypt – ir bezmaksas CISCO izstrādāta atšifrēšanas programma, arī vīrusa izstrādātāji publicējuši atšifrēšanas atslēgu,
• CryptoLocker – ir bezmaksas rīks no FireEye,
• Linux Encoder – ir bezmaksas rīks no Bitdefender,
• Dažādi vecāki šifrējošie vīrusi – eksistē rīki no Kaspersky, Dr.Web un citiem ražotājiem.
Vairāk par izspiedējvīrusu vēsturi un par to veidiem: https://blog.varonis.com/a-brief-history-of-ransomware/