Izspiedējvīrusi jāķer svaigi

Attēla autors William Wan

No sarunas elektronikas preču veikalā:

Pārdevējs: Šis videoreģistrators automašīnām ir no lētākajiem, bet tiešām labs. Mūsu priekšnieks arī tādu nopirka.
Pircējs (ziņkārīgi): Un kā? Vai viņam tas palīdzēja?
Pārdevējs (samulsis): Nē... Viņš nopirka pēc avārijas.

Šī priekšnieka stratēģija ir ļoti sena. Latvieši baro suni, kad vilks jau aitās, krievu mužiks pārkrustās tikai tad, kad pērkons norīb, bet latgalieši izsakās vispārīgāk – „piec požara i buoba gudra”. Tāpēc arī visaktīvākie videoreģistratoru pircēji ir tie, kas ir tikuši nepatiesi apvainoti avārijas izraisīšanā, bet cilvēki pie datora sāk kaut ko darīt ar antivīrusu programmatūru tikai tad, kad cerības nekad nenoķert vīrusu ir zudušas uz visiem laikiem.

Šis raksts ir par antivīrusu, kas paredzēts speciāli izspiedējvīrusu darbības atklāšanai. Tie, kuri uz sava ekrāna ir jau redzējuši ziņojumu, ka visi vajadzīgie faili ar tekstiem un fotogrāfijām ir nošifrēti, un to atšifrēšanas atslēgu var dabūt par zināmu naudas summu, šeit uzzinās, ko viņi var darīt, lai tāda situācija neatkārtotos. Tāpat raksts var noderēt tādiem, kas nevēlas gaidīt šo satraucošo mirkli, maksāt izspiedējam un vēl piedevām, tā arī pazaudēt šos failus, ja neizdodas atšifrēt. Spriedelējumi par to, ka „kuram gan var interesēt mans dators” ne vienmēr nostrādā. Izspiedējvīrusu aktivitāte 2016. gadā pieauga 3 reizes un katru dienu parādās apmēram 1000 jaunu variantu.

Tāda aktivitāte apgrūtina cīņu pret izspiedējiem. Standarta antivīrusi veido datubāzes ar vīrusu signatūrām, t.i., tādām simbolu virknēm, pēc kurām var pazīt konkrēto vīrusu. Tas nozīmē, ka katrs jauns vīruss ir jāizpēta un jāieliek datubāzē tūlīt, kā tikai tas parādās. Kamēr tas nav noticis, vīruss darbojas bez traucēkļiem. Pēdējos gados vīrusu apkarotāji cenšas veidot antivīrusus, kuri vīrusa programmu atpazītu pēc tās darbības, pēc uzvedības datorā. Šajā rakstā tiek stāstīts par jaunāko tāda veida programmu RansomFree, kas atpazīst tieši izspiedējvīrusus. To 2016. gada decembrī izlaida ASV firma Cybereason. Programma ir bez maksas un vienmēr paliks bez maksas, vismaz tā apgalvo firma, jo viņi ir pasludinājuši karu pret izspiedējvīrusiem.

Firmu izveidoja bijušie Izraēlas Aizsardzības spēku 8200. vienības (Israel Defense Forces’ 8200 unit) speciālisti. Šī vienība vairāku tūkstošu karavīru sastāvā nodarbojas ar izlūkošanu, pie tam ar tā saukto signālu izlūkošanu (signal inteliģence jeb SIGINT), t.i. informācijas monitoringu visos sakaru kanālos. Var piezīmēt, ka ASV analogs ir Nacionālā Drošības aģentūra (National Security Agency), tas ir tas kantoris, kurā dienēja E.Snoudens. Tā kā Cybereason speciālisti drošības drēbi zina no abām pusēm.

Protams, var rasties sarūgtinājums, ka programma ir orientēta tikai uz izspiedējvīrusiem, jo dažādus trojāņus un tamlīdzīgu ļaunatūru tā neķer. Bet var arī atcerēties veco gudrību, ka tas, kas der visam, neder nekam. Programmas izstrādātāji apgalvo, ka viņi ir izpētījuši desmitiem tūkstošu izspiedēju variantus no 40 saimēm un ir spējuši noteikt, kas tiem ir kopīgs uzvedībā. Detaļas izstrādātāji, protams, noklusē, jo nevēlās instruēt vīrusu taisītājus, ko viņiem vajadzētu uzlabot. Tiek apgalvots, ka rezultātā programma spēs aizsargāt arī no tādiem izspiedējvīrusiem, kas būs pilnīgi jauni un neredzēti.

Tā kā programma RansomFree ir ļoti jauna, tā ir taisīta tikai pēdējām Windows versijām, kuras Microsoft atbalsta – Windows 7, 8 un 10, kā arī serveru versijām Windows Server 2012 R2 un 2008 R2. Iznāk, ka Windows XP lietotāji, kuri slinkuma vai objektīvu iemeslu dēļ vēl turas pie šīs operētājsistēmas, šo vīrusu ķērāju nevarēs instalēt. (Mac OS X lietotājiem ir pieejama citas firmas šāda veida programma RansomWhere, kas arī ķer vīrusus pēc to uzvedības.)

RansomFree lejupielādēšana un instalēšana ir ļoti vienkārša, jo firma ir paņēmusi standarta instalēšanas vedni un pielāgojusi savām vajadzībām, bet varbūt daži paskaidrojumi nebūs lieki.

Vispirms ir jāpieslēdzas pie attiecīgās vietnes pēc adreses https://ransomfree.cybereason.com/ un jāuzklikšķina uz taustiņa ar uzrakstu Free download (Lejupielāde par brīvu).

Parādīsies lodziņš:

kas piedāvā saglabāt programmas instalētāju. Šeit jāuzklikšķina uz taustiņa Save file (Saglabāt failu) un fails tiks lejupielādēts un noglabāts. Kad tas ir noticis, šis instalētājs ir jāpalaiž un tas vispirms priecīgi sveiks ar lodziņu: 

Uz šī lodziņa ir jāuzklikšķina Next (nākošais), lai turpinātu darbu. Tagad tiks piedāvāts rūpīgi izlasīt programmas licenci:

Licencei nav būtisku atšķirību no tām licencēm, kas aizsargā programmas, kuras tiek izmantotas katrā datorā. Nedrīkst tirgot šo programmu, nedrīkst to izmainīt vai izmantot kādā savā programmatūras izstrādājumā. Ja nekas vairāk nav domāts, kā tikai šīs programmas palaišana, var droši atķeksēt lodziņu pirms teikuma „I accept the terms in the License Agreement” (Es piekrītu licences noteikumiem) un uzklikšķināt Next.

Nākošais lodziņš principā nesatur nekādu informāciju, tas vienkārši dod vēl vienu iespēju pārdomāt, ja vairs nav vēlēšanās turpināt instalēšanu.

Lai turpinātu, jānoklikšķina taustiņš Install (instalēt) un instalēšana tiks uzsākta. Tā kā instalēšana parasti prasa iejaukšanos sistēmas failos, tad sistēma prasīs atļauju ļaut instalāciju turpināt. Tas izskatīsies dažādi dažādās sistēmās, bet atļauja ir jādod.

Tad arī sāksies pati instalēšana:

Necik ilgi un tiks izdots paziņojums par darba beigām.

Uzmanīgs vērotājs var pamanīt, ka šajā lodziņā tiek rakstīts par versijas 2.2.5.1 instalācijas pabeigšanu, bet iepriekšējos lodziņos tika ziņots par versiju 2.2.5.0. Tam ir sava vēsture. Pirmo reizi programma tika instalēta februāra vidū, bet kaut kā negribēja strādāt – izdeva ziņojumu, ka neparedzētas kļūdas dēļ aizsardzība pret izspiedējiem tiek atslēgta. Pēc vairākkārtējas sistēmas pārstartēšanas un atkārtotas instalācijas nekādu uzlabojumu nebija. Tādu programmu nu nevar piedāvāt portālā “Esi drošs”! Tāpēc firmai tika aizsūtīts drusku ironisks jautājums, vai tādu atteikumu tiek fiksēts daudz. Pēc pāris stundām atnāca īsa atbilde: The patch we released today addresses this issue. Please ensure that you have updated to version 2.2.5.1. We appreciate your patience with this matter.

Tātad sagadījās, ka tieši vēstules saņemšanas dienā tika palaista jauna uzlabota programmas versija. Tai tiešām nekādu iebildumu pret darbu aizsardzībā no izspiedējiem nebija. Divas lietas var izsecināt no šīs sarakstes. Pirmkārt, ir taisnība tiem komentatoriem, kuri saka, ka programma ir kopumā laba, bet vēl šis un tas jāuzlabo. Otrkārt, taisnība ir pašas firmas pārstāvjiem, kuri apgalvo, ka norit intensīvs darbs pie programmas uzlabošanas, un tās divu mēnešu ekspluatācija ir ļāvusi atklāt jaunas iespējas.

Jāatzīst tomēr, ka jaunajai versijai ir neliels trūkums. Iepriekšējā versija pēc instalēšanas beigām godīgi paziņoja, ka tā ir izveidojusi datora atmiņā dažus failus, kurus nevajadzētu dzēst. Tagad tāds brīdinājums netiek izteikts, kaut gan faili tiek veidoti, un liekas, ka jebkuram RansomFree lietotājam par šiem failiem tomēr būtu jāzina.

Šie faili ir ēsmas faili, jeb mānekļi, jeb medus podi – faili, uz kuriem izpiedējvīrusam ir jāuzķeras. Kā tikai vīruss sāks tos šifrēt, RansomFree to pamanīs un cels trauksmi. Katrs saprot, ka ar šādu triku vien nekāds labais pretizspiedēju līdzeklis neiznāks, jo var gadīties, ka tie viltus faili tiks šifrēti pēdējie, kad visi vērtīgie faili būs nošifrēti. Tāpēc programmai ir arī citas metodes vīrusu atpazīšanā. Paši RansomFree izstrādātāji apgalvo, ka maksimāli varētu pazust 4 derīgi faili līdz tiek atklāta uzsāktā šifrēšana. Parasti šifrētājs tiekot pieķerts pirms kaut ko ir nošifrējis.

Versija 2.2.5.1 ar medus podiem izveido divas direktorijas uz katra diska, tāpat arī divas apakšdirektorijas direktorijā Documents. Katra direktorija satur kādus 10 ēsmas failus. Gan direktoriju, gan failu nosaukumi katrai instalētajai programma tiek savi, atšķirīgi no citām. Pie tam šie nosaukumi ir gan pilnīgi nesakarīgi, piemēram, nTiatUT7.doc vai Iq0OK5M.mdb, gan arī tēlo kaut kādus nopietnus pētījumus – reorganization.rolled.docx vai treatment measure crawled.xlsx. Paplašinājumi šiem failiem neatkārtojas, tie ir tādi, kurus izspiedējs nošifrē vispirms – ne tikai jau minētie .doc, .xls un .mdb, bet arī .jpg, .sql, .txt, .pem, .rtf, u.c. Attiecīgās programmas (Word, Excel u.c.) šos failus neatpazīst kā savus, tie satur simbolus, kuru jēga nav zināma, vai varbūt tiem nekādas jēgas arī nav. Var piezīmēt, ka iepriekšējās versijās programma izveidoja ēsmas failu, kuru izvietoja uz datora darba virsmas, jo novērojumi liecina, ka blēži vispirms ķeras pie failiem, kuri ir izvietoti darba virsmā kā visaktuālākie. Pašreizējā versija tādu failu  neveido, bet nav jādomā, ka firma ir aizmirsusi par šādu darbošanos.

Tā kā izveidoto failu nosaukumi ir atšķirīgi katrā instalācijā, tad nevar izveidot vīrusu, kurš inficētajā datorā sameklētu ēsmas failus pēc nosaukumiem un tos neaiztiktu. Var mēģināt izveidot tādu vīrusu, kurš pārbaudītu visus failus un atrastu RansomFree, kura arī maina savu nosaukumu dažādās instalācijās. Bet tā jau būs vēl viena aizdomīga aktivitāte! RansomFree autori informē, ka tika izstrādātas programmas slēpšanās daudzlīmeņu metodes un pie tam krietni uzlabotas tieši pēdējā laikā, kad programma jau bija aizgājusi tautā un sāka krāties tās izmantošanas pieredze.

Šāda uzlabošana nevar apstāties, tai ir jāturpinās tikmēr, kamēr būs dzīvs kaut viens izspiedējvīruss. Tāpēc katram RansomFree lietotājam jāseko jauno programmas versiju izlaišanai. Firma ir paredzējusi ziņot par jaunajām versijām, bet automātisku programmas atjaunināšanu tā vēl nav izveidojusi. Jaunās versijas var pārbaudīt, noklikšķinot peles labo taustiņu uz RansomFree simbola

sistēmas ikonjoslā. Tad jāizvēlas iespēja Check for updates (Pārbaudīt atjauninājumus) un tiks pateikts vai ir kāda jaunāka versija.

Kas īsti notiek, kad tiek atklāts, ka izspiedējvīruss ir iekļuvis datorā un uzsācis savas cūcības? RansomFree parāda šādu ekrānu:

Lietotājs tiek informēts, ka ir atklāta programma ar ļaundabīgu uzvedību, un tiek jautāts, vai ļaut tai turpināt darbību. Atļaut, uzklikšķinot uz No, vajag tad, ja pats lietotājs šifrē kādus savus datus ar mazāk pazīstamu šifrētāju. Ja tas tā nav, jānoklikšķina taustiņš Yes. Var paskatīties, kādi faili ir cietuši no uzbrukuma (ja tādi ir), uzklikšķinot uz teikuma View affected files. Tie faili būs zuduši, atšifrēt RansomFree tos nevar. Šifrēšanu programma pārtrauc, bet izstrādātāji brīdina, ka dažreiz citas vīrusa darbības turpinās, piemēram, daži izspiedējvīrusi ieslēdz skaitītāju, kurš rāda, cik vēl laika ir atlicis, lai samaksātu. Lai tik rāda, tam vairs nekādas nozīmes nav, jo RansomFree ir šifrētāju nobloķējis. Vēl der zināt, ka atklātā ļaundabīgā šifrēšanas programma tiek nosūtīta uz firmu, kur to analizēs un izmantos turpmākiem RansomFree uzlabojumiem.

Lai cik dziļa būtu ticība RansomFree spējām, tās instalēšana ir tikai viens solis pretim drošībai. Šī programma nekāda ziņā neatceļ datorhigienas pasākumus, par kuriem tik daudz un bieži runā drošības speciālisti. Regulāri ir jāveido visu vajadzīgo failu rezerves kopijas, vai nu uz sava speciāla rezerves diska, vai mākonī. Tāpat nav jāslēdzas pie apšaubāmas kvalitātes vietnēm, nav  jāklikšķina uz saitēm, kas parādās e-pasta vēstulēs no nezināmām personām, kā arī nedrīkst vērt vaļā e-pastiem pieāķētos failus, ja tie ir atnākuši pavisam negaidīti. Jāseko līdzi sava datora operētājsistēmas stāvoklim – vai visi jaunākie labojumi ir ieviesti, vai ir nepieciešamība tik plaši izmantot Java u.c.

Ne mirkli nedrīkst aizmirst – visvairāk drošībai vari palīdzēt pats!