Recomandări de protecţie anti-ransomware

Recomandări de protecţie anti-ransomware

103

autor: Cătălin Pătraşcu

În ultimii ani, utilizatori și organizații de tot felul înfruntă o amenințare informatică cunoscută cu denumirea de „ransomware”, care nu este altceva decât un malware al cărui scop este acela de a împiedica accesul victimelor la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei sume de bani cu titlu de răscumpărare („ransom”).

 

Astfel, ransomware-ul a devenit una dintre cele mai supărătoare forme de malware, mai ales pentru faptul că poate produce pagube sau cel puţin neplăceri aproape tuturor tipurilor de utilizatori. Majoritatea dintre noi avem stocate pe dispozitivele noastre, fie că sunt PC-uri sau telefoane mobile, cel puţin niște poze la care ţinem și pentru care probabil am fi dispuși să facem eforturi de a le recupera, inclusiv prin plata unei sume de bani. Exact pe acest lucru se bazează și cei care se ocupă cu crearea și distribuirea unui malware de tip ransomware, iar statisticile internaţionale referitoare la câștigurile acestora ne spun că este o afacere foarte profitabilă.


În rândurile următoare se regăsesc o serie de recomandări/măsuri pentru prevenirea infectării cu ransomware, dar și pentru diminuarea daunelor produse în eventualitatea infectării. Aceste măsuri sunt preluate din „Ghidul privind combaterea ameninţărilor informa- tice de tip ransomware” publicat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, din al cărui colectiv de elaborare am făcut parte.
Măsuri de prevenție
  1. Fiți precauți! Această recomandare este general valabilă pentru a spori securitatea sistemelor informatice pe care le utilizaţi/administraţi. Este deja bine- cunoscut faptul că utilizatorul reprezintă veriga cea mai slabă din lanţul ce formează securitatea cibernetică, fapt pentru care majoritatea atacurilor vizează exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). În consecinţă, vă recomandăm să nu accesaţi link-urile sau atașamentele conţinute de mesajele email suspecte înainte de a verifica în prealabil sursa/legitimitatea acestora. De asemenea, o atenţie sporită trebuie acordată site-urilor web pe care le accesaţi și surselor online pe care le utilizaţi pentru descărcarea sau actualizarea aplicaţiilor.
  2. Efectuați copii de siguranță ale datelor (backup). Cea mai eficientă metodă pentru combaterea ameninţării ransom- ware este realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dacă accesul la date este blocat de către un ransomware, datele dumneavoastră vor putea fi restaurate rapid, iar daunele provocate vor fi minime.
    IMPORTANT! Pentru backup utilizaţi un mediu de stocare extern care nu este conectat în permanenţă la sistem, altfel existând riscul ca, în cazul infectării cu ransomware, să fie criptate și fișierele de pe respectivul mediu de stocare.
  3. Activați opțiunile de tip „System Restore”. În cazul sistemelor de operare Windows, vă recomandăm activarea opţiunii „System Restore” pentru toate partiţiile de stocare. În cazul infectării cu malware sau compromiterii unor fișiere (chiar și fișiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioară. ATENȚIE! Nu vă bazaţi exclusiv pe această facilitate deoarece unele versiuni recente de ransomware șterg datele din „System Restore”.
  4. Implementați mecanisme de tip „Application Whitelisting”. „Application Whitelisting” presupune implementarea unui mecanism care să asigure faptul că în cadrul unui sistem informatic rulează numai software autorizat/cunoscut. Conceptul în sine nu este nou, reprezentând practic o extindere a abordării „default deny ” (nu permite în mod implicit) utilizată de mult timp de soluţiile de securitate de tip firewall. În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţării malware și există deja o varietate de soluţii tehnice cu ajutorul cărora poate fi implementată, inclusiv de către utilizatorii casnici, mai ales în cadrul sistemelor de operare Windows unde implementarea se poate realiza utilizând uneltele deja conţinute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandată începând cu sistemul de operare Windows 7, având același scop ca și facilitatea SRP din Group Policy).
  5. Dezactivați execuția programelor din directoare precum %AppData% și %Temp%. O soluţie alternativă la mecanismul de tip „Application Whitelisting” (nu la fel de eficientă, însă care aduce un spor semnificativ de securitate) este blocarea execuţiei programelor din directoare ca %AppData% și %Temp%, prin intermediul politicii de securitate (GPO – Group Policy Object) sau utilizând o soluţie de tip IPS (Intrusion Prevention Software).
  6. Afișați extensiile fișierelor. Unele tipuri de ransomware sunt livrate sub forma unor fișiere cu extensie cunoscută (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaugă extensia „.exe”, caracteristică fișierelor executabile, rezultând extensii de forma „.docx.exe”, „.txt.exe” etc. Astfel, afișarea extensiilor fișierelor poate facilita observarea fișierelor suspicioase/maliţioase. Este recomandat să nu rulaţi niciodată fișiere executabile venite prin email.
  7. Actualizați în permanență sistemele de operare și aplicațiile. Actualizarea aplicaţiilor/programelor utilizate reprezintă o măsură obligatorie pentru asigurarea unui nivel de securitate ridicat al sistemului
    informatic. De cele mai multe ori, un software neactualizat este echivalentul unei uși deschise (backdoor) pentru infractorii din mediul cibernetic. În general, producătorii de software publică în mod regulat actualizări (update-uri) pentru sistemele de operare și aplicaţii, utilizatorul având posibilitatea să configureze descărcarea și instalarea automată a acestora. Astfel, vă recomandăm să activaţi opţiunea pentru actualizări automate acolo unde este posibil și să aveţi în vedere modalitatea cea mai eficientă.
    pentru actualizarea celorlalte programe (verificarea periodică a versiunilor pe site-ul producătorilor).
    ATENȚIE! Deseori, programele maliţioase au fost livrate sub forma unui update de software. Verificaţi cu atenţie sursele utilizate pentru descărcarea/actualizarea de software.
  8. Utilizați soluții de securitate eficiente și actualizate. O măsură absolut necesară pentru prevenirea infecţiilor cu diferite tipuri de malware o reprezintă utilizarea uneia sau mai multor soluţii software de securitate eficiente și actualizate care să dispună de facilităţi/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc. Mai nou, unele produse antimalware oferă protecţie dedicată antiransomware.
  9. Utilizați instrumente software pentru monitorizarea fișierelor. Utilizarea de instrumente software pentru monitorizarea fișierelor (accesare, modificare, ștergere etc.) poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau reţelei.
  10. Manifestați atenție sporită la accesarea reclamelor web. Unele dintre versiunile recente de ransomware au fost livrate prin intermediul unor reclame maliţioase (malvertising) afișate pe site-uri web populare (știri, magazine online etc.). Vă recomandăm să evitaţi pe cât posibil accesarea reclamelor și chiar utilizarea unor instrumente software (de tip „add block”) care să blocheze automat încărcarea/afișarea reclamelor.
Măsuri de eradicare și limitare a efectelor
  1. Deconectați mediile de stocare externe. Deconectaţi urgent toate mediile de stocare externe conectate la PC (memorie USB, card de memorie, hard disk extern etc.), de-conectaţi cablul de reţea și dezactivaţi orice alte conexiuni de reţea ( WiFi, 3G etc.). Astfel se previne afectarea fișierelor stocate pe mediile de stocare externe sau celor accesibile prin reţea (network share, cloud storage etc).
  2. [Opțional]. Realizați o captură de memorie (RAM). În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a recupera cheile de criptare utilizate de ransomware din memorie, realizaţi cât mai rapid o captură de memorie (RAM), înainte de oprirea PC-ului, utilizând o unealtă specializată.
    ATENȚIE! Există riscul ca până la finalizarea procesului de realizare a unei capturi de memorie să fie afectate (criptate) cât mai multe fișiere (sau chiar toate). Decizia de a opri imediat PC-ul sau de a efectua mai întâi o captură de memorie trebuie luată în funcţie de priorităţi (sunt mai importante datele sau posibilitatea efectuării unei analize ulterioare?). Spre exemplu, dacă există un backup pentru datele stocate pe PC-ul afectat, sau fișierele nu sunt considerate importante, se poate lua decizia de a efectua o captură de memorie.
  3. Opriți PC-ul (Shutdown). În cazul în care suspectaţi că un PC a fost infectat cu ransomware și decideţi să nu realizaţi o captură de me- morie (conform pct. 2), vă recomandăm să-l opriţi imediat pentru a limita cât mai mult numărul fișierelor criptate.
  4. [Opțional] Realizați o copie (imagine) de HDD. În cazul în care se urmărește investigarea ulterioară a incidentului și eventual încercarea de a recupera o parte din fișiere cu ajutorul unor instrumente de tip „Data Recovery”, realizaţi o copie de tip „bit cu bit” (imagine) a hard-disk-urilor afectate de ransomware, utilizând o unealtă specializată.
  5. Realizați un back-up „offline” al fișierelor. Porniţi PC-ul (boot) utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern (CD, DVD, memorie USB etc.), majoritatea distribuţiilor moderne de Linux oferind această facilitate. Copiaţi pe un alt mediu de stocare toate fișierele de care aveţi nevoie, inclusiv pe cele care au fost compromise (criptate).
  6. Restaurați fișierele compromise. Cea mai simplă metodă de recuperare a fișierelor afectate de ransomware este restaurarea acestora din cadrul unor copii de siguranţă (backup). În cazul în care astfel de copii nu sunt disponibile, vă recomandăm să încercaţi recuperarea fișierelor prin „System Restore” sau utilizând instrumente software specializate de recuperare date (de tip „Data Recovery”).ATENȚIE! Vă recomandăm să încercaţi recuperarea datelor cu uneltele software de tip „Data Recovery” numai de pe imaginile (copiile) de HDD (realizate conform pct. 4), altfel existând riscul să compromiteţi șansele de reușită ale unor proceduri mai complexe ce presupun recuperarea datelor direct de pe mediile de stocare. Există soluţii pentru a încerca recuperarea datelor direct de pe mediile de stocare, însă acestea necesită un nivel ridicat de expertiză și dotări tehnice speciale.
  7. Dezinfectați sistemele informatice afectate. Cea mai sigură metodă prin care vă puteţi asigura că sistemul informatic nu mai conţine malware (sau rămășiţe de malware) este re-instalarea completă a sistemului de operare, prin formatarea tuturor HDD-urilor/ partiţiilor în prealabil. În cazul în care acest lucru nu este posibil (spre exemplu în cazul în care se intenţionează recuperarea datelor direct de pe HDD-urile afectate), vă recomandăm să utilizaţi una sau mai multe soluţii de securitate de tip antivirus/antimalware /antispyware pentru scanarea sistemului și dezinfectare acestuia.
    ATENȚIE! În cazul în care intenţionaţi să încercaţi recuperarea de date de pe HDD-urile afectate, conform indicaţiilor de la pct. 6, vă recomandăm să nu încercaţi dezinfectarea acestora, ci să utilizaţi alte HDD-uri pentru re-instalarea sistemului de operare.
    În ultimă instanţă, dacă fișierele v-au fost compromise și nicio încercare de recuperare a acestora nu a avut succes, trebuie să manifestaţi prudenţă cu privire la posibilitatea de a plăti răscumpărarea solicitată în mesajul de ransomware. Pe lângă faptul că ar contribui la încurajarea celor care se ocupă cu crearea și distribuirea de ransomware, nu există nicio garanţie reală că într-adevăr vă veţi recupera datele în urma plăţii, existând din ce în ce mai multe cazuri în care utilizatorii nu și-au recuperate datele ca urmare a efectuării plăţii solicitate de atacatori.

Bibliografie

[1]. https://cert.ro/vezi/document/ghid-protectie-ransomware
[2]. https://www.us-cert.gov/ncas/alerts/TA14-295A
[3]. http://www.symantec.com/connect/blogs/ransomware-how-stay-safe

Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetică, proiecte tehnice și exerciții cibernetice.