Obawiasz się, że użytkownicy w sieci otworzą drzwi wirusom i programom szpiegującym?
Pracownicy narażają firmę na atak, odwiedzając niebezpieczne strony internetowe, czytając złośliwe wiadomości lub podłączając zainfekowane urządzenia USB?
Nie chcesz stać się zakładnikiem Ransomware’a?
2015 był rokiem oprogramowania ransomware, które szyfruje dane lub blokuje urządzenie i żąda zapłacenia okupu w zamian za przywrócenie dostępu. Okup może wynosić od kilkuset do nawet kilkunastu tysięcy dolarów, w przypadku mobilnego oprogramowania ransomware okup ten wynosił od 12 do 100 dolarów.
W ostatnich miesiącach bardzo często trafiamy na informacje o atakach ransomware. Bardziej spektakularne pomysły to ukrycie szkodnika pod postacią „instalatora” Windows 10 czy maila od Poczty Polskiej. Ransomware może już wybierać między systemami. Palo Alto Networks poinformowało niedawno (07.03.2016) o KeRengerze – pierwszym ransomwarze, który pojawił się na systemie OS X. Trend Micro ostrzega przed rozszerzeniem ataków ransomware na strony internetowe.
Co zrobić, żeby nie stać się kolejną ofiarą ?
Czym właściwie jest ransomware?
Ransomware „porywa” Twój system lub dane, żądając okupu
Ransom (okup) + software = Ransomware
Głównym zadaniem oprogramowania ransomware (ang. ransom – okup) jest infiltracja zarażonych nim urządzeń oraz żądanie uiszczenia odpowiedniej opłaty w zamian za odblokowanie komputera. W wyniku infekcji trojan wyświetla ekran blokady z informacją o krokach, które należy podjąć, aby odzyskać kontrolę nad sprzętem. Część użytkowników oskarżana jest o posiadanie nielegalnego oprogramowania, pobieranie zawartości chronionej prawami autorskimi lub też o próby uzyskania dostępu do dziecięcej pornografii. Aby uwiarygodnić swoje działania, ransomware podszywa się pod lokalne służby policyjne poprzez użycie ustawień regionalnych użytkownika – innymi słowy komunikuje się w lokalnym języku i wykorzystuje logotypy lokalnej policji. Po dokonaniu opłaty poszkodowany zazwyczaj otrzymuje klucz odblokowujący.
Szczególnym programem ransomware jest Cryptolocker. CryptoLocker do wejścia na nasz system wykorzystuje dziurawe oprogramowanie, np. Microsoft Office lub Acrobat Reader, w których otwieramy załącznik. Po infekcji, CryptoLocker najpierw zaszyfruje niektóre dane na naszym komputerze (i uwaga! także dyskach sieciowych — niekoniecznie naszych, ale podmontowanych do naszego systemu) a następnie zablokuje nasz komputer jakąś „ciekawą” planszą. Jeżeli chcesz odzyskać dostęp do swoich plików powinieneś znać 2 klucze bezpieczeństwa. Jedynym skutecznym rozwiązaniem problemu, jest zdobycie drugiego klucza aktywacyjnego, znanego tylko cyberprzestępcom. Mamy określony czas na zakupienie licencji, po jego upłynięciu możemy się z nimi pożegnać – zostaną usunięte.
W jaki sposób program Cryptolocker może przedostać się do mojego komputera?
Cryptolocker jest rozpowszechniany, używając oficjalnie wyglądających wiadomości e-mail. Zainfekować się nim możemy otwierając np. załącznik od nieznanej osoby. W większości przypadków przypomina użytkownikowi o upływającym czasie zapłaty, podatkach, a także innych rzeczach, przez których otwarcie użytkownik może się zetknąć z groźnym wirusem. Jak tylko złośliwy załącznik zostanie otwarty, komputer zostanie zainfekowany.
Dlaczego klasyczny AV jest nieefektywny w detekcji Crypto-Ransomware?
1. Dzięki m.in. kompresji kodu wykonywalnego ransomware nieustannie modyfikuje swoją postać – sygnatury nie na wiele się zdają
2. Szyfrowana i anonimizowana komunikacja z mocodawcą – np. z użyciem sieci Tor, tunelowaniem, itp.
3. Przynosi znaczne zyski – zatem warto intensywnie inwestować w nowe metody unikania detekcji
Jak możemy się bronić?
• Rób backup (z potwierdzonym odtworzeniem) – jeśli atak się powiedzie, przynajmniej otworzysz pliki i dane
• Regularnie aktualizuj system. Podobnie jak w przypadku RansomWare, z którego korzysta Blackhole Exploit Kit, użytkownicy powinni stosować najnowsze poprawki zabezpieczeń, aby chronić swoje systemy przed wyczynami złośliwców, nadużywających znane już luki. Łataj swoje systemy i aplikacje – to zapobiegnie wykorzystywaniu podatności.
• Wchodź na ważne dla siebie strony za pomocą zakładek – unikaj bezpośrednich linków z poczty czy stron www (mogą Cię zawieść tam, gdzie nie chcesz przebywać :); powszechną praktyką powinno być skopiowanie i wklejanie adresu URL na pasku adresu zamiast bezpośredniego klikania linków; unikaj klikania wątpliwie wyglądających linków, np. tych znalezionych w spamie
• Zastosuj dobre polityki dla produktów bezpieczeństwa, które posiadasz.
• Bądź na bieżąco z najnowszymi trendami bezpieczeństwa. Edukacja jest kluczem. Należy przyzwyczaić się do czytania wiadomości o zabezpieczeniach, aby zobaczyć aktualne trendy w krajobrazie zagrożeń i wiedzieć, jak uniknąć stania się ofiarami tych wschodzących.
• Nie płać – płacenie wzmacnia aktywność szantażystów, wątpliwe, aby zostawili Cię po tym w spokoju.
Proponowana przez nas ochrona:
Trend Micro Web Reputation Technology blokuje wiarygodne witryny hostingowe ransomware, natomiast technologia File Reputation wykrywa i natychmiast usuwa warianty szkodnika. Rozwiązania Trend Micro umożliwiają zabezpieczenie, szyfrowanie i optymalizację wydajności punktów końcowych każdego typu = urządzeń mobilnych, laptopów i komputerów, lokalnie lub w hostingu. TrendMicro OfficeScan zajmuje niewiele miejsca i chroni urządzenia w czasie rzeczywistym przed najnowszymi zagrożeniami w środowisku lokalnym, natomiast TrendMicro Worry-Free Services zapewnia ciągłą ochronę w chmurze.
Dedykowana ochrona przed Crypto-Ransomware
• Dostępna (AD. 2016/01) w OfficeScan 11 SP1 i Worry Free Business Security(TrendMicro Worry-Free Services zapewnia ciągłą ochronę w chmurze)
• Sprawdza czy proces szyfruje pliki i zatrzymuje ten proces
• Znane dobre aplikacje nie są oceniane
Dodatkowe środki ochrony?
Dopuść jedynie znane dobre aplikacje, np. za pomocą Trend Micro Endpoint Application Control
Zastosuj dynamiczną analizę plików (sandboxing) dla wykrycia nieznanego szkodliwego oprogramowania typu Crypto-Ransomware – np. Trend Micro Deep Discovery (Analyzer)
Pobierz wersję próbną rozwiązań Trend Micro:
Worry Free Business Security Service
Worry Free Business Security, Advanced
Jesteś zainteresowany tym rozwiązaniem?
Skontaktuj się z nami: Net Complex
Redaktorka Net Complex Blog