În ultimii ani, utilizatori şi organizaţii de tot felul înfruntă o ameninţare informatică cunoscută cu denumirea de "ransomware", care nu este altceva decât un malware al cărui scop este acela de a împiedica accesul victimelor la fişiere, sau chiar la întregul sistem informatic infectat, până la plata unei sume de bani cu titlu de răscumpărare ("ransom").
Astfel, ransomware-ul a devenit una dintre cele mai supărătoare forme de malware, mai ales pentru faptul că poate produce pagube sau cel puţin neplăceri aproape tuturor tipurilor de utilizatori. Majoritatea dintre noi avem stocate pe dispozitivele noastre, fie că sunt PC-uri sau telefoane mobile, cel puţin nişte poze la care ţinem şi pentru care probabil am fi dispuşi să facem eforturi de a le recupera, inclusiv prin plata unei sume de bani. Exact pe acest lucru se bazează şi cei care se ocupă cu crearea şi distribuirea unui malware de tip ransomware, iar statisticile internaţionale referitoare la câştigurile acestora ne spun că este o afacere foarte profitabilă.
În rândurile următoare se regăsesc o serie de recomandări/măsuri pentru prevenirea infectării cu ransomware, dar şi pentru diminuarea daunelor produse în eventualitatea infectării. Aceste măsuri sunt preluate din "Ghidul privind combaterea ameninţărilor informatice de tip ransomware" publicat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO, din al cărui colectiv de elaborare am făcut parte.
• Măsuri de prevenţie:
1. Fiţi precauţi! Această recomandare este general valabilă pentru a spori securitatea sistemelor informatice pe care le utilizaţi/administraţi. Este deja bine-cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă din lanţul ce formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). În consecinţă, vă recomandăm să nu accesaţi link-urile sau ataşamentele conţinute de mesajele email suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. De asemenea, o atenţie sporită trebuie acordată site-urilor web pe care le accesaţi şi surselor online pe care le utilizaţi pentru descărcarea sau actualizarea aplicaţiilor.
2. Efectuaţi copii de siguranţă ale datelor (backup). Cea mai eficientă metodă pentru combaterea ameninţării ransomware este realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dacă accesul la date este blocat de către un ransomware, datele dumneavoastră vor putea fi restaurate rapid, iar daunele provocate vor fi minime. IMPORTANT! Pentru backup utilizaţi un mediu de stocare extern care nu este conectat în permanenţă la sistem, altfel existând riscul ca, în cazul infectării cu ransomware, să fie criptate şi fişierele de pe respectivul mediu de stocare.
3. Activaţi opţiunile de tip "System Restore". În cazul sistemelor de operare Windows, vă recomandăm activarea opţiunii "System Restore" pentru toate partiţiile de stocare. În cazul infectării cu malware sau compromiterii unor fişiere (chiar şi fişiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioară. ATENŢIE! Nu vă bazaţi exclusiv pe această facilitate deoarece unele versiuni recente de ransomware şterg datele din "System Restore".
4. Implementaţi mecanisme de tip "Application Whitelisting". "Application Whitelisting" presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai software autorizat/cunoscut. Conceptul în sine nu este nou, reprezentând practic o extindere a abordării "default deny " (nu permite în mod implicit) utilizată de mult timp de soluţiile de securitate de tip firewall. În prezent, "application whitelisting" este considerată una dintre cele mai importante strategii de combatere a ameninţării malware şi există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandată începând cu sistemul de operare Windows 7, având acelaşi scop ca şi facilitatea SRP din Group Policy).
5. Dezactivaţi execuţia programelor din directoare precum "%AppData%" şi "%Temp%". O soluţie alternativă la mecanismul de tip "Application Whitelisting" (nu la fel de eficientă, însă care aduce un spor semnificativ de securitate) este blocarea execuţiei programelor din directoare ca %AppData% şi %Temp%, prin intermediul politicii de securitate (GPO - Group Policy Object) sau utilizând o soluţie de tip IPS (Intrusion Prevention Software).
6. Afişaţi extensiile fişierelor. Unele tipuri de ransomware sunt livrate sub forma unor fişiere cu extensie cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia ".exe", caracteristică fişierelor executabile, rezultând extensii de forma ".docx.exe", ".txt.exe" etc. Astfel, afişarea extensiilor fişierelor poate facilita observarea fişierelor suspicioase/maliţioase. Este recomandat să nu rulaţi niciodată fişiere executabile venite prin email.
7. Actualizaţi în permanenţă sistemele de operare şi aplicaţiile. Actualizarea aplicaţiilor/programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui nivel de securitate ridicat al sistemului informatic. De cele mai multe ori, un software neactualizat este echivalentul unei uşi deschise (backdoor) pentru infractorii din mediul cibernetic. În general, producătorii de software publică în mod regulat actualizări (update-uri) pentru sistemele de operare şi aplicaţii, utilizatorul având posibilitatea să configureze descărcarea şi instalarea automată a acestora. Astfel, vă recomandăm să activaţi opţiunea pentru actualizări automate acolo unde este posibil şi să aveţi în vedere modalitatea cea mai eficientă. Pentru actualizarea celorlalte programe (verificarea periodică a versiunilor pe site-ul producătorilor). ATENŢIE! Deseori, programele maliţioase au fost livrate sub forma unui update de software. Verificaţi cu atenţie sursele utilizate pentru descărcarea/actualizarea de software.
8. Utilizaţi soluţii de securitate eficiente şi actualizate. O măsură absolut necesară pentru prevenirea infecţiilor cu diferite tipuri de malware o reprezintă utilizarea uneia sau mai multor soluţii software de securitate eficiente şi actualizate care să dispună de facilităţi/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc. Mai nou, unele produse antimalware oferă protecţie dedicată antiransomware.
9. Utilizaţi instrumente software pentru monitorizarea fişierelor. Utilizarea de instrumente software pentru monitorizarea fişierelor (accesare, modificare, ştergere etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau reţelei.
10. Manifestaţi atenţie sporită la accesarea reclamelor web. Unele dintre versiunile recente de ransomware au fost livrate prin intermediul unor reclame maliţioase (malvertising) afişate pe site-uri web populare (ştiri, magazine online etc.). Vă recomandăm să evitaţi pe cât posibil accesarea reclamelor şi chiar utilizarea unor instrumente software (de tip "add block") care să blocheze automat încărcarea/afişarea reclamelor.
• Măsuri de eradicare şi limitare a efectelor
1. Deconectaţi mediile de stocare externe. Deconectaţi urgent toate mediile de stocare externe conectate la PC (memorie USB, card de memorie, hard disk extern etc.), deconectaţi cablul de reţea şi dezactivaţi orice alte conexiuni de reţea ( WiFi, 3G etc.). Astfel se previne afectarea fişierelor stocate pe mediile de stocare externe sau celor accesibile prin reţea (network share, cloud storage etc).
2. [Opţional]. Realizaţi o captură de memorie (RAM). În cazul în care se urmăreşte investigarea ulterioară a incidentului şi eventual încercarea de a recupera cheile de criptare utilizate de ransomware din memorie, realizaţi cât mai rapid o captură de memorie (RAM), înainte de oprirea PC-ului, utilizând o unealtă specializată. ATENŢIE! Există ris-cul ca până la finalizarea procesului de realizare a unei capturi de memorie să fie afectate (criptate) cât mai multe fişiere (sau chiar toate). Decizia de a opri imediat PC-ul sau de a efectua mai întâi o captură de memorie trebuie luată în funcţie de priorităţi (sunt mai importante datele sau posibilitatea efectuării unei analize ulterioare?). Spre exemplu, dacă există un backup pentru datele stocate pe PC-ul afectat, sau fişierele nu sunt considerate importante, se poate lua decizia de a efectua o captură de memorie.
3. Opriţi PC-ul (Shutdown). În cazul în care suspectaţi că un PC a fost infectat cu ransomware şi decideţi să nu realizaţi o captură de memorie (conform punctului 2), vă recomandăm să-l opriţi imediat pentru a limita cât mai mult numărul fişierelor criptate.
4. [Opţional] Realizaţi o copie (imagine) de HDD. În cazul în care se urmăreşte investigarea ulterioară a incidentului şi eventual încercarea de a recupera o parte din fişiere cu ajutorul unor instrumente de tip "Data Recovery", realizaţi o copie de tip "bit cu bit" (imagine) a hard-disk-urilor afectate de ransomware, utilizând o unealtă specializată.
5. Realizaţi un back-up "offline" al fişierelor. Porniţi PC-ul (boot) utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern (CD, DVD, memorie USB etc.), majoritatea distribuţiilor moderne de Linux oferind această facilitate. Copiaţi pe un alt mediu de stocare toate fişierele de care aveţi nevoie, inclusiv pe cele care au fost compromise (criptate).
6. Restauraţi fişierele compromise. Cea mai simplă metodă de recuperare a fişierelor afectate de ransomware este restaurarea acestora din cadrul unor copii de siguranţă (backup). În cazul în care astfel de copii nu sunt disponibile, vă recomandăm să încercaţi recuperarea fişierelor prin "System Restore" sau utilizând instrumente software specializate de recuperare date (de tip "Data Recovery").ATENŢIE! Vă recomandăm să încercaţi recuperarea datelor cu uneltele software de tip "Data Recovery" numai de pe imaginile (copiile) de HDD (realizate conform punctului 4), altfel existând riscul să compromiteţi şansele de reuşită ale unor proceduri mai complexe ce presupun recuperarea datelor direct de pe mediile de stocare. Există soluţii pentru a încerca recuperarea datelor direct de pe mediile de stocare, însă acestea necesită un nivel ridicat de expertiză şi dotări tehnice speciale.
7. Dezinfectaţi sistemele informatice afectate. Cea mai sigură metodă prin care vă puteţi asigura că sistemul informatic nu mai conţine malware (sau rămăşiţe de malware) este reinstalarea completă a sistemului de operare, prin formatarea tuturor HDD-urilor/ partiţiilor în prealabil. În cazul în care acest lucru nu este posibil (spre exemplu în cazul în care se intenţionează recuperarea datelor direct de pe HDD-urile afectate), vă recomandăm să utilizaţi una sau mai multe soluţii de securitate de tip antivirus/antimalware /antispyware pentru scanarea sistemului şi dezinfectare acestuia. ATENŢIE! În cazul în care intenţionaţi să încercaţi recuperarea de date de pe HDD-urile afectate, conform indicaţiilor de la punctul 6, vă recomandăm să nu încercaţi dezinfectarea acestora, ci să utilizaţi alte HDD-uri pentru re-instalarea sistemului de operare. În ultimă instanţă, dacă fişierele v-au fost compromise şi nicio încercare de recuperare a acestora nu a avut succes, trebuie să manifestaţi prudenţă cu privire la posibilitatea de a plăti răs-cumpărarea solicitată în mesajul de ransomware. Pe lângă faptul că ar contribui la încurajarea celor care se ocupă cu crearea şi distribuirea de ransomware, nu există nicio garanţie reală că într-adevăr vă veţi recupera datele în urma plăţii, existând din ce în ce mai multe cazuri în care utilizatorii nu şi-au recuperat datele ca urmare a efectuării plăţii solicitate de atacatori.
Cătălin Pătraşcu este expert în securtate cibernetică, cu peste opt ani de experienţă relevantă în domeniu. Şi-a început călătoria în domeniul securităţii cibernetice în cadrul Ministerului Apărării Naţionale (2010-2012), a continuat în calitate de coordonator al echipei de răspuns la incidente din cadrul Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO (2012-2018) şi activează, în prezent, ca manager de livrare de servicii de securitate cibernetică în cadrul unei companii de profil. A gestionat cu succes proiecte în domeniul securităţii cibernetice, a planificat şi moderat exerciţii cibernetice, a gestionat incidentae cibernetice la scară naţională şi a efectuat diverse studii pe teme de securitate cibernetică şi criminalitate informatică.
-----------
Bibliografie
[1]. https://cert.ro/vezi/document/ghid-protectie-ransomware
[2]. https://www.us-cert.gov/ncas/alerts/TA14-295A
[3]. http://www.symantec.com/connect/blogs/ransomware-how-stay-safe