Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

Ransomware-ul legat de școală: O amenințare de care trebuie să fiți conștienți

2016-09-07

Se poate spune că fiecare zi aduce cu sine povești noi legate de atacuri cu ransomware ce vizează afacerile, în special la spitale și școli. În timp ce datele de viață sau moarte din spitale pot forța anumite organizații din mediul de sănătate să fie de acord cu cererile infractorilor în speranța de a recupera accesul la aceste date cât mai repede posibil, unele școli cad, de asemenea, pradă acestor cereri.

Plătirea solicitărilor venite de la infractori nu este niciodată o idee bună, chiar și atunci când acest lucru pare a fi unul oportun. Autorii de ransomware nu au nicio obligație de a vă oferi într-adevăr ceea ce ați plătit și au existat o mulțime de situații în care fie cheia de decriptare nu a funcționat, fie notificarea de plată nu a apărut niciodată. Este suficient de spus că infractorii cibernetici nu sunt, în general, renumiți pentru testările excelente ale software-ului sau pentru devotamentul față de serviciul de calitate pentru consumator.

Există o mulțime de lucruri pe care le puteți face acum, care vă vor ajuta să evitați pe deplin o problemă legată de ransomware și unele pe care le puteți face pentru a repara daunele, astfel încât să nu fiți nevoiți să plătiți banii de răscumpărare.

Se poate spune că fiecare zi aduce cu sine povești noi legate de atacuri cu ransomware ce vizează afacerile, în special la spitale și școli. În timp ce datele de viață sau moarte din spitale pot forța anumite organizații din mediul de sănătate să fie de acord cu cererile infractorilor în speranța de a recupera accesul la aceste date cât mai repede posibil, unele școli cad, de asemenea, pradă acestor cereri.

Plătirea solicitărilor venite de la infractori nu este niciodată o idee bună, chiar și atunci când acest lucru pare a fi unul oportun. Autorii de ransomware nu au nicio obligație de a vă oferi într-adevăr ceea ce ați plătit și au existat o mulțime de situații în care fie cheia de decriptare nu a funcționat, fie notificarea de plată nu a apărut niciodată. Este suficient de spus că infractorii cibernetici nu sunt, în general, renumiți pentru testările excelente ale software-ului sau pentru devotamentul față de serviciul de calitate pentru consumator.

Există o mulțime de lucruri pe care le puteți face acum, care vă vor ajuta să evitați pe deplin o problemă legată de ransomware și unele pe care le puteți face pentru a repara daunele, astfel încât să nu fiți nevoiți să plătiți banii de răscumpărare.

Ce face ca școlile să fie unice?

Într-un fel, școlile sunt precum niște mici orășele: acestea au adesea clinici de îngrijire medical, magazine, restaurante, câteodată chiar și bănci și, în plus, acestea au contabili, administrator etc. Școlile dețin diferite tipuri de date financiare, informații de sănătate, înregistrări ale studenților sau ale personalului – toate acestea fiind foarte sensibile și implicit, avantajoase pentru infractori.

Ransomware-ul reprezintă o situație specială în categoria codurilor malware, unde datele nu sunt neapărat retrase din sistemul victimei (precum este cazul altor tipuri de coduri malware moderne). În schimb, accesul la date este întrerupt. În cazul în cate ați avut vreodată de-a face cu ceea ce înseamnă neliniștea unui student sau a unui profesor înainte de termenul limită, știți că în timp ce accesul la date în timp util este mai puțin vital decât într-un spital, este încă absolut crucial într-o școală.

De asemenea, în spitale dispozitivele aprobate să intre în rețea sunt destul de limitate. Pe de altă parte, în școli se încurajează, în general, aducerea și folosirea propriilor dispozitive. Acest lucru aduce cu sine un nivel mai ridicat de provocare, deoarece un număr extrem de mare de dispozitive negestionate sunt conectate la rețea în fiecare zi.

Ce se poate face în cazul unui ransomware școlar

Să începem cu lucrurile pe care le puteți face în avans pentru a ajuta la prevenirea situațiilor în care malware-ul ajunge pe sistemul dvs. și la minimizarea daunelor în care ajungeți în acea situație.

Realizați o copie de rezervă pentru datele dvs.

Cel mai important lucru pe care îl puteți face pentru a vă pregăti pentru situații de urgență, inclusiv cele în care ați fost afectat de ransomware, este să aveți backup-uri actualizate și securizate. Multe variante de ransomware vor cripta fișierele de pe unitățile conectate. Aici sunt incluse orice unități externe, precum stick-uri USB, dar și rețele sau magazii de fișiere de tip cloud unde ați atribuit o literă de unitate. Prin urmare, backup-ul trebuie să se găsească pe o unitate externă sau pe un serviciu de backup, independente și care nu sunt conectate la sisteme sau la rețea atunci când nu sunt folosite.

Actualizați în permanență software-ul dvs.

Autorii de malware se bazează, de cele mai multe ori, pe oameni care rulează software-uri depășite, cu vulnerabilități cunoscute, pe care le pot exploata pentru a pătrunde neobservați în sistem. Se poate diminua semnificativ potențialul infectării cu malware dacă aplicați o practică regulate de actualizare a sistemului. Activați actualizările automate, dacă este posibil, actualizați prin intermediul procesului intern de actualizare a software-urlui sau accesați direct site-ul web al furnizorului de software. Autorii de malware maschează uneori creațiile lor, prezentându-le sub forma unor notificări de actualizare a software-ului, iar prin accesarea unei arhive de software de încredere, puteți crește șansele de a obține actualizări curate și verificate. În Windows, vă recomandăm să verificați că acele versiuni vechi – și potențial vulnerabile – ale software-ului sunt eliminate, în Add/Remove Software din Control Panel.

Utilizați o suită de securitate cu reputație

Este întotdeauna o idee bună să aveți software anti-malware, dar și firewall pentru a putea identifica amenințările sau comportamentul suspect. Autorii de malware actualizează frecvent creațiile lor pentru a încerca evitarea detectării, și de aceea este important să aveți ambele straturi de protecție. În cazul în care întâmpinați o variantă de ransomware atât de nouă, încât a reușit să treacă de software-ul anti-malware, aceasta ar putea fi încă detectată de firewall atunci când se încearcă o conectare la serverul său Command and Control (C&C) pentru a primi instrucțiuni de criptare ale fișierelor.

Folosiți principiul Privilegiului minor

Acest principiu presupune ca niciun utilizator să nu aibă mai mult acces decât este necesar pentru a finaliza sarcinile ce sunt în mod legitim în domeniul de activitate. Ca regulă general, majoritatea utilizatorilor nu ar trebui să aibă drepturi administrative pe mașinile lor, iar aceștia ar trebui limitați la accesul resurselor din afara competențelor lor. Studenții ar trebui să aibă niveluri de acces diferite față de profesori, care la rândul lor, vor avea un acces diferit față de administratori. Dispozitivele personale aduse de acasă ar trebui, de asemenea, tratate diferit de mașinile care rămân în permanență în cadrul rețelei din școală. Dacă sunt implementate barierele adecvate, puteți încetini sau opri răspândirea de malware în sisteme.

Educați utilizatorii

În timp ce unele accidente se pot întâmpla, este important pentru toți utilizatorii să înțeleagă ce presupune utilizarea acceptabilă a resurselor școlare. Această educare nu trebuie făcută doar la începutul anului și uitată la sfârșitul semestrului, ci este un exercițiu care trebuie revizuit frecvent. Postere sau alte material educaționale pot fi afișate în mod vizibil, oriunde există calculatoare publice sau conexiuni la internet. Este, de asemenea, imperativă încurajarea utilizatorilor să aducă la cunoștință accidentele petrecute, astfel încât daunele să fie limitate prin măsuri de corecție rapide.

Prin recompensarea unui comportament ce vizează o securitate mai eficientă, inclusiv prin sublinierea problemelor, poate ajuta la promovarea unui mediu mai sigur.

Următoarele sfaturi urmăresc să vă ajute să vă descurcați cu metodele pe care le folosesc variantele de ransomware de acum – aceste sfaturi ar putea să nu vă ajute în orice situație, dar sunt modalități ieftine și mai puțin invazive pentru a reduce rutele de acces utilizate de o varietate de familii de malware.

Dezactivați macro-urile din fișierele Microsoft Office

Cei mai mulți oameni pot să nu fie conștienți de faptul că fișierele din Microsoft Office sunt ca un sistem de fișiere integrat într-un sistem de fișiere, ceea ce include abilitatea de a utiliza un limbaj puternic de script pentru a automatic aproape orice acțiune pe care ați putea să o efectuați cu un fișier pe deplin executabil. Prin dezactivarea macro-urilor din fișierele Office, puteți dezactiva utilizarea acestui tip de limbaj.

Afișarea extensiilor ascunse de la fișiere

O metodă populară folosită de malware pentru a părea inocent, este numirea fișierelor cu extensii duble, precum “.PDF.EXE”. Astfel se profită de comportamentul implicit din Windows și OS X de a ascunde extensiile cunoscute de fișiere. Malware-ul se bazează pe acest comportament pentru a face ca un fișier să pară unul care, în mod obișnuit, ar fi distribuit. În cazul în care activați abilitatea de a vizualiza extensia complete a fișierului, pot fi mai ușor de identificat tipurile suspecte de fișiere.

Filtrarea executabilelor în e-mail

Dacă scanerul de e-mail la nivel de gateway are abilitatea de a filtra fișierele în funcție de extensie, s-ar putea să doriți refuzarea e-mailurilor care ajung cu fișiere de tip “.EXE” sau cu două extensii de fișier, ultima fiind executabilă (spre exemplu, “Nume fișier.PDF.EXE”). În cazul în care aveți nevoie în mod legitim să faceți schimb de fișiere executabile în mediul dvs. de lucru și refuzați primirea e-mailurilor ce conțin fișiere executabile, puteți trimite/primi fișiere de tip ZIP (protejate cu parole, desigur) sau prin intermediul serviciilor de cloud. Trimiterea în interiorul fișierelor ZIP poate oferi un nivel suplimentar de asigurare, deoarece vă permite să alegeți o parolă oficială, universală, pentru a fi folosită în interiorul companiei, putând astfel să identificați fișierele neoficiale.

Dezactivați fișierele care rulează din folderele AppData/LocalAppData

Puteți crea reguli în Windows sau prin intermediul software-ului de prevenire a intruziunii, pentru a nu permite un anumit comportament notabil utilizat de Cryptolocker, care rulează executabilul din folderele App Data sau Local App Data. Dacă (din anumite motive), aveți software-ul legitim setat să nu ruleze din zona obișnuită de Program Files, ci din App Data, va fi nevoie să excludeți aceasta de la regulă.

Dezactivați RDP

Malware-ul Cryptolocker/Filecoder accesează adesea mașinile țintă utilizând Remote Desktop Protocol (RDP), un utilitar de la Windows ce permite altora să acceseze desktop-ul de la distanță. În cazul în care nu este nevoie de utilizarea RDP, puteți dezactiva această funcție pentru a proteja mașina de Filecoder și de alte variante de exploatare a RDP-ului. Pentru instrucțiuni legate de realizarea acestui lucru, puteți consulta articolul corespunzător:

Dacă vă aflați într-o poziție în care ați rulat deja un executabil ransomware fără să fi luat nici una dintre măsurile de precauție menționate anterior, opțiunile sunt mail imitate. Există câteva lucruri pe care le puteți face în continuare, care să contribuie la atenuarea pagubelor:

Verificați dacă există vreun decriptor disponibil

Unii autori de malware fac greșeli și pot fi create utilitare de decriptare. În alte cazuri, autorii de malware au remușcări pentru acțiunile lor sau se opresc din dezvoltarea unei anumite familii de ransomware, pentru ca mai apoi să lanseze o cheie de decriptare. Se poate spune că merită să faceți o căutare rapidă pe internet, pentru a vedea dacă soluția la problema dvs. este disponibilă, fără costuri, de la o sursă cu reputație bună.

Deconectați-vă de la WiFi sau de la rețea imediat

Dacă rulați un fișier pe care îl suspectați că ar putea fi unul de tip ransomware, dar nu ați identificat încă ecranul ransomware caracteristic și dacă puteți acționa rapid, se poate opri comunicarea cu serverul C&C înainte de terminarea criptării pentru toate fișierele. Dacă efectuați deconectarea de la rețea imediat, daunele ar putea fi diminuate.

Apelați la System Restore pentru a reveni la o stare a sistemului curată

În cazul în care aveți activată funcția de System Restore pe mașina dvs. cu Windows, veți putea readuce sistemul la o stare cunoscută ca fiind sigură. Multe variante de ransomware vor preveni această acțiune înainte ca ea să aibă succes, dar merită încercat

Setați ceasul BIOS înapoi

Unele variante de ransomware au un cronometru pentru plată care crește prețul pentru cheia de decriptare după un timp setat. Puteți câștiga timp suplimentar prin setarea ceasului BIOS la un timp anterior afișării ferestrei cu termenul limită.

Infractorii sunt conștienți de faptul că datele deținute în cadrul școlilor sunt de valoare pentru studenți și personal, astfel acestea fiind o țintă potențial avantajoasă. Odată ce ținta a fost identificată ca fiind vulnerabilă, șansele ca infractorii să o atace din nou cresc (în special în cazurile cu ransomware în școli). Prin pregătirea înainte de un eveniment nefericit, puteți minimiza riscul de pierdere a accesului la datele dvs. sau de recuperare a accesului din partea infractorilor.

 

LYSA MYERS

CORESPONDENT INDEPENDENT

 



Leave a Reply

Your email address will not be published. Required fields are marked *