Ransomware: Experții oferă sfaturi legate de modul în care vă puteți menține în siguranță


Ransomware-ul este un software malițios utilizat de infractorii cibernetici pentru a deține computere sau fișiere de pe acestea în scopul primirii unei răscumpărări, solicitând victimei să efectueze plata pentru a le putea recupera. Din păcate, ransomware-ul este o modalitate din ce în ce mai populară pentru autorii de malware de a stoarce bani de la companii și de la consumatori deopotrivă.

Plătirea acestor infractori nu este niciodată o idee bună, chiar și atunci când pare a fi o decizie oportună. Autorii de ransomware nu au nici o obligație pentru a vă da de fapt înapoi datele pentru care plătiți și au existat o mulțime de cazuri în care fie cheia de decriptare nu a funcționat, fie notificarea de răscumpărare nici măcar nu a apărut. Este suficient de menționat faptul că infractorii nu sunt, în general, renumiți pentru testarea excelentă a software-ului sau pentru devotamentul pentru serviciu de calitate dedicate clienților.

Ce puteți face în acest caz?

Pe de o parte, ransomware-ul poate fi extrem de înfricoșător – fișierele criptate pot fi, în esență, considerate deteriorate definitive, fără a putea fi remediate. Dar, dacă v-ați pregătit în mod corespunzător sistemul, este într-adevăr doar o pacoste și nimic mai mult.

Există câteva lucruri pe care le puteți face pentru a evita ca ransomware-ul să vă strice ziua. Să începem cu ceea ce poate fi realizat în avans pentru a preveni, în primul rând, ca malware-ul să obțină acces în sistemul dvs. și pentru a diminua daunele create în cazul unui incident.

Realizați un back up pentru datele dvs.

Cel mai important lucru pe care îl puteți face pentru a vă pregăti în caz de urgențe, inclusiv pentru situațiile în care ați fost afectat de ransomware, este să aveți backup-uri actualizate frecvent. Multe variante de ransomware vor cripta fișierele de pe unitățile care sunt asociate.

În această categorie intră orice unități de stocare externe, cum ar fi stick-urile USB, precum orice alte rețele sau magazine de stocare cloud asociate. Prin urmare, copia de rezervă trebuie să fie pe un drive extern sau pe un serviciu de backup deconectat de la dispozitive și de la rețea atunci când nu sunt utilizate, iar copia trebuie să fie securizată atât din punct de vedere fizic, cât și digital.

Păstrați software-ul dvs. actualizat

Autorii de malware se bazează, de obicei, pe faptul că oamenii rulează software-uri fără actualizările necesare efectuate, cu vulnerabilități cunoscute, pe care aceștia le pot exploata pentru a putea pătrunde neobservați în sisteme. Poate fi diminuată semnificativ posibilitatea de infectare dacă realizați  o practică frecventă de actualizare a software-ului. Activați actualizările automate în cazul în care este posibil, actualizați prin intermediul procesului de actualizare intern al software-ului sau accesați direct site-ul furnizorului acelui software.

Autorii de malware maschează uneori creațiile lor sub forma unor notificări de actualizare a software-ului, iar prin accesarea unor arhive de software cunoscute puteți mări șansele de a obține actualizări curate și verificate. În Windows, vă recomandăm să verificați de două ori că acele versiuni vechi – și potențial vulnerabile – ale software-ului sunt șterse, prin verificarea în

Add/Remove Software din Control Panel.

Utilizați o suită de securitate cu reputație

Este întotdeauna o idee bună să aveți un software anti-malware și unul de firewall instalate pentru a vă putea ajuta să identificați amenințările sau comportamentele suspecte. Autorii de malware actualizează frecvent creațiile lor în încercarea de a evita detecția, de aceea este important să aveți ambele straturi de protecție. În cazul în care întâmpinați o situație în care o versiune de ransomware, ce este atât de nouă încât reușește să treacă de software-ul anti-malware, acesta va putea fi detectat încă de firewall atunci când va încerca să se conecteze cu serverul său de Comandă și Control (C&C) pentru a primi instrucțiunile de criptare a fișierelor.

Următoarele sfaturi urmăresc să vă ajute să gestionați metodele folosite de variantele actuale de ransomware – aceste sfaturi nu pot fi folositoare în absolut toate cazurile, dar reprezintă o cale mai puțin invazivă și ieftină pentru a reduce rutele de acces utilizate de o varietate de familii de malware.

Dezactivați macro-urile din fișierele Microsoft Office

Cei mai mulți oameni pot să nu fie conștienți de faptul că fișierele din Microsoft Office sunt ca un sistem de fișiere integrat într-un sistem de fișiere, ceea ce include abilitatea de a utiliza un limbaj puternic de script pentru a automatic aproape orice acțiune pe care ați putea să o efectuați cu un fișier pe deplin executabil. Prin dezactivarea macro-urilor din fișierele Office, puteți dezactiva utilizarea acestui tip de limbaj de scriptare.

Afișați extensiile ascunse de la fișiere

O metodă populară folosită de malware pentru a părea inocent, este numirea fișierelor cu extensii duble, precum “.PDF.EXE”. În mod implicit, Windows și OSX ascund extensiile cunoscute de fișiere; malware-ul profită de acest comportament pentru a face ca un fișier să apară ca unul care ar fi în mod obișnuit schimbat. Dacă activați opțiunea de a vedea extensia completă a fișierului, pot fi mai ușor de detectat tipurile de fișiere suspecte.

Filtrarea executabilelor în e-mail

Dacă scanerul de e-mail la nivel de gateway are abilitatea de a filtra fișierele în funcție de extensie, s-ar putea să doriți refuzarea e-mailurilor care ajung cu fișiere de tip “.EXE” sau cu două extensii de fișier, ultima fiind executabilă (spre exemplu, “Nume fișier.PDF.EXE”). În cazul în care aveți nevoie în mod legitim să faceți schimb de fișiere executabile în mediul dvs. de lucru și refuzați primirea e-mailurilor ce conțin fișiere executabile, puteți trimite/primi fișiere de tip ZIP (protejate cu parole, desigur) sau prin intermediul serviciilor de cloud. Trimiterea în interiorul fișierelor ZIP poate oferi un nivel suplimentar de asigurare, deoarece vă permite să alegeți o parolă oficială, universală, pentru a fi folosită în interiorul companiei, putând astfel să identificați fișierele neoficiale care nu folosesc parola stabilită.

Dezactivați fișierele care rulează din folderele AppData/LocalAppData

Puteți crea reguli în Windows sau prin intermediul software-ului de prevenire a intruziunii, pentru a nu permite un anumit comportament notabil utilizat de Cryptolocker, care rulează executabilul din folderele App Data sau Local App Data. Dacă (din anumite motive), aveți software-ul legitim setat să nu ruleze din zona obișnuită de Program Files, ci din App Data, va fi nevoie să excludeți aceasta de la regulă.

Dezactivați RDP-ul

Malware-ul Cryptolocker/Filecoder accesează adesea mașinile țintă utilizând Remote Desktop Protocol (RDP), un utilitar de la Windows ce permite altora să acceseze desktop-ul de la distanță. În cazul în care nu este nevoie de utilizarea RDP, puteți dezactiva această funcție pentru a proteja mașina de Filecoder și de alte variante de exploatare a RDP-ului. Pentru instrucțiuni legate de realizarea acestui lucru, puteți consulta articolul corespunzător:

Dacă vă aflați într-o poziție în care ați rulat deja un executabil ransomware fără să fi luat nici una dintre măsurile de precauție menționate anterior, opțiunile sunt mail imitate. Există câteva lucruri pe care le puteți face în continuare, care să contribuie la atenuarea pagubelor:

Verificați dacă există vreun decriptor disponibil

Unii autori de malware fac greșeli și pot fi create utilitare de decriptare. În alte cazuri, autorii de malware au remușcări pentru acțiunile lor sau se opresc din dezvoltarea unei anumite familii de ransomware, pentru ca mai apoi să lanseze o cheie de decriptare. Se poate spune că merită să faceți o căutare rapidă pe internet, pentru a vedea dacă soluția la problema dvs. este disponibilă, fără costuri, de la o sursă cu reputație bună.

Deconectați-vă de la WiFi sau de la rețea imediat

Dacă rulați un fișier pe care îl suspectați că ar putea fi unul de tip ransomware, dar nu ați identificat încă ecranul ransomware caracteristic și dacă puteți acționa rapid, se poate opri comunicarea cu serverul C&C înainte de terminarea criptării pentru toate fișierele. Dacă efectuați deconectarea de la rețea imediat, daunele ar putea fi diminuate.

Apelați la System Restore pentru a reveni la o stare a sistemului curată

În cazul în care aveți activată funcția de System Restore pe mașina dvs. cu Windows, veți putea readuce sistemul la o stare cunoscută ca fiind sigură. Multe variante de ransomware vor preveni această acțiune înainte ca ea să aibă succes, dar merită încercat

Setați ceasul BIOS înapoi

Unele variante de ransomware au un cronometru pentru plată care crește prețul pentru cheia de decriptare după un timp setat. Puteți câștiga timp suplimentar prin setarea ceasului BIOS la un timp anterior afișării ferestrei cu termenul limită.

În cele din urmă, trebuie remarcat faptul că recenta răspândire de atacuri a generat un subiect important în mediul jurnalistic, în principal pentru că este o abatere de la tendințele anterioare ale codurilor malware cu motivație financiară (care aveau tendința de a fi nedetectabile și nu deteriorau datele).

Ransomware-ul poate fi cu siguranță un aspect înfricoșător al mediului online, dar există și alte probleme care pot cauza la fel de multe daune. De aceea, cea mai bună practică de a vă proteja împotriva pierderii datelor a fost și va fi efectuarea de backup-uri regulate menținute offline. Astfel, indiferent de evenimente, veți putea să vă reluați viața digitală foarte repede. Este bine de sperat ca în urma acestei tendințe ransomware, efectul pozitiv va fi o mai bună înțelegere a importanței de a efectua frecvent backup-uri, pentru protejarea datelor valoroase.

 

LYSA MYERS
CORESPONDENT INDEPENDENT

 

oana October 13, 2016

Lasa un comentariu