fbpx

ransomware

Ulazeći dublje u oblast kao što je sajber bezbjednost, nisam ni mogao zamisliti šta će me sve čekati, šta ću sve morati da učim i sa čime ću se sve susretati. U početku me je više zanimalo izučavanje same teorije sajber bezbjednosti i širenja informacija i savjeta za zaštitu, nego zalaženje dublje u tu oblast, učenje pentestinga (penetracijsko testiranje).

Postoji mnogo različitih opasnosti na Internetu, od spam poruka, virusa, trojanaca, phishing-a, ransomware-a, itd.

Black hat hakeri su osobe koje vrše različite bezbjednosne napade na tuđe sajtove, servere, računare i druge uređaje sa ciljem da ukradu određene ili sve podatke hakovane osobe, iznude novac od nje, zaraze im uređaj virusom ili izvrše bilo kakvu sličnu ilegalnu radnju.

Tako je i slučaj sa ransomware virusom za koji sam mislio da kao i većina stvari na ovom svijetu zaobilazi ovu banana državu u svakom pogledu, međutim pogriješio sam.

Međutim ispostavilo se da je situacija kod nas kada se radi o ransomware-u veoma kritična.

Ukratko o ransomware virusu

To je virus koji kada se ubaci na vaš računar, polako počinje da radi u pozadini, mijenjajući ekstenzije fajlova i zaključava ih. Kada završi sa svim fajlovima koje je pronašao, izbaciće vam na ekranu poruku kako su vaši fajlovani enkriptovani (zaključani) i ukoliko želite da ih dobijete nazad, morate platiti određenu sumu novca. Naravno niko vam ne garantuje da će vam zaista otključati podatke ukoliko im platite.

Ovaj tekst je moje prvo susretanje sa ovim virusom (na moju sreću nije moj laptop zaražen) te ću opisati sve kroz šta sam prošao sa ciljem da spasim podatke i očistim laptop od virusa. Ne zamjerite mi ako je nešto moglo drugačije da se odradi, lakše, brže, bolje, pametnije, itd. Kako ne želim da otkrivam pravi identitet osobe čiji se laptop zarazio, zvaću je jednostavno Džon.

Identifikacija virusa

Identifikacija virusa može biti značajna stvar. Kako postoji mnogo vrsta, mogu se raspodjeliti u određene grupe od kojih svaka grupa ima svoj način za njihovo brisanje. Kada se radi o ransomware-u, lako možete saznati da li ste zaraženi. Promjeniće vam se pozadina ekrana sa tekstom u kojem će (u najčešćem slučaju) pisati ime ransomware-a, šta vam se dogodilo sa podacima, koliko morate platiti da biste ih otključali i slične informacije. Džon se zarazio CryptoLocker virusom, ili barem nekom njegovom novijom verzijom, s obzirom da je navodno originalni CryptoLocker “ugašen” i svi današnji koji se tako predstavljaju su samo njegove kopije sa dodatnim modifikacijama. Sve u svemu, Džon je u velikom problemu, pošto CryptoLocker spada u jedne od baš problematičnih ransomware-a.

Izvor virusa

Veoma je bitno otkriti odakle je sve počelo da se širi, šta je prouzrokovalo da dođe do ovoga. Postoji mnogo načina zaraziti se nekim virusom ali najčešći su skidanjem piratskog softvera sa neprovjerenih sajtova i od neprovjerenih članova, otvaranje spam dokumenta (phishing) i gledanje onlajn filmova i serija.

Zašto je bitno saznati izvor virusa?

Zato što nije svaki virus isti, i zato što neće svaki virus koji skinete da se automatski proširi po cijelom računaru, a samim saznanjem izvora virusa, možete započeti skeniranje tog foldera ili tog zaraženog fajla antivirusom u nadi da ćete ga obrisati.

Džon mi je rekao da je pokušavao da skine sa Interneta Adobe Photoshop te ga je pronašao na nekoliko različitih sajtova, ali mi je i rekao da jedan koji je pokušao pokrenuti nije radio, pa je samim tim Džon pretpostavljao da je izvor virusa upravo Photoshop.

Džon je bio u pravu.

Džonu se slika sa objašnjenjem da su mu podaci zaključani pojavila samo par dana nakon instalacije Photoshop-a.

Otvorio sam folder u kome se sačuvala preuzeta instalacija Photoshop-a i primjetio da su skoro svi fajlovi u tom folderu bili modifikovani samo dan nakon instalacije.

Virus je počeo da enkriptuje podatke u 23:29 i nakon samo 2 minuta, u 23:31, uspio je da enkriptuje 77 različitih fajlova (tekst dokumenti, prezentacije, zip fajlovi…) koji zauzimaju oko 3,60 GB memorije.

Ovo se sve desilo u samo jednom folderu, do drugih foldera je došao samo nekoliko minuta kasnije i nastavio da radi, tiho u pozadini dok na kraju nije sve podatke koje je mogao enkriptovao.

Uspio je čak i Dropbox da zarazi jer je najvjerovatnije bila uključena automatska sinhronizacija a tu su se nalazili najvažniji Džonovi fajlovi, u prevodu, Dropbox je bio Džonov backup.

Brisanje virusa

Čitajući razne članke sajtovima, shvatio sam da brisanje ransomware-a nije nimalo laka stvar, ali je moguća, dok sam za dekriptovanje podataka saznao da je gotovo nemoguće i rijetko ko je uspio da povrati podatke, čak i oni koji su uspjeli nisu povratili sve podatke koji su bili enkriptovani.

Saznao sam za nekoliko alata koji se najčešće koriste za čišćenje CryptoLocker-a i povrat podataka te sam počeo više da ih istražujem.

Alati koje sam preuzeo sa Interneta su Malwarebytes Anti-Malware, HitmanPro, Shadow Explorel, Recuva i RannohDecryptor.

Sa Malwarebytes i HitmanPro sam stavio da se skenira cijli laptop.

Ostavio sam ih cijelu noć da rade jer i nakon prethodna skoro 2 sata skeniranja i dalje mi nije izgledalo kao da su blizu završetku.

Ujutru je već bilo gotovo skeniranje i dočekali su me sa upozorenjima o pronađenim zaraženim fajlovima koje su stavili u karantin.

Zanimljivo je da su različite zaražene fajlove našli (ili jednostavno rade na drugačije načine) a opet i prije nego što sam se dohvatio laptopa primjetio sam da su HitmanPro i Malwarebytes već bili instalirani samo nije rađeno skeniranje cijelog sistema tako da je moguće da su već obrisali neke zaražene fajlove.

Malwarebytes je pronašao 13 zaraženih slika, dok je HitmanPro pronašao 9 raznih fajlova među kojima se nalazi i Adobe Photoshop od kojeg je i sve počelo najvjerovatnije, ali i Adobe Dreamweaver koji je preuzet sa Interneta nekoliko mjeseci ranije.

Kako mi je ovo prvi put da se susrećem sa ovakvom vrstom virusa nisam siguran da li je virus zaista obrisan, bez obzira na to što su podaci i dalje enkriptovani, te mi ostaje da “vjerujem na riječ” prethodno korišćenim programima.

Povrat podataka

Pokušaj br. 1

Sad je na red došao gotovo nemogući zadatak, dekriptovanje podataka.

Princip po kojem radi ransomware je taj da prvo napravi kopije podataka, zatim ih enkriptuje, a originale obriše.

Windows sistem ima mogućnost da automatski ili manuelno čuva kopije podataka sakrivene “pod senkom” (eng. shadow copies) koje se nalaze negdje u sistemu.

Kada se ransomware aktivira on takođe traži te shadow kopije kako bi ih obrisao, međutim u nekim slučajevima ne uspjeva sve da ih obriše.

Tu dolazimo do programa Shadow Explorel.

Ovaj program vam omogućava da pretražujete te sakrivene kopije i povratite ih korišćenjem metode sličnoj System Restore, odnosno izaberete datum iz kojeg želite da povratite podatke i sačuvate ih.

Nažalost, u mom slučaju nisu postojali podaci od ranije, nisam imao nijedan datum ponuđen sem tadašnjeg, što može značiti da su te kopije obrisane.

Više o Shadow kopijama možete pročitati na https://en.wikipedia.org/wiki/Shadow_Copy

Pokušaj br. 2

Sljedeći pokušaj je bio sa programom Recuva.

Da budem iskren ovaj program mi je iz nekog razloga najviše davao nade da ću uspjeti povratiti podatke.

Recuva vam omogućava da skenirate bilo koju particiju uključujući i čitavu Shadow kopiju C particije a zatim će vam prikazati sve skenirane fajlove u skeniranoj partijici (ili folderu ukoliko neki izaberete) zajedno sa informacijama kao što su, datum posljednje modifikacije, put do fajla, veličina, status mogućeg povrata, itd.

Sve što treba da uradite jeste da izaberete koje fajlove želite da povratite, kliknete na dugme Recover, izaberete folder u kojem želite da vam se podaci vrate i to je sve.

Zvuči tako jednostavno, ali sam i ovde (naravno) imao problem.

Skeniranje određenih foldera, Shadow particije ili bilo čega drugog je prošlo uspješno ali povrat nije.

Nakon povrata podataka, podaci su i dalje bili enrkiptovani. Slike se nisu prikazivale, tekstovi su prikazivali žvrljotine, MS fajlovi korumpirani. Pokušao sam još nekoliko puta da pomoću Recuva-e povratim podatke, jednom sam ciljao samo slike, drugi put samo tekstualne fajlove, treći put prezentacije ili nešto drugo, ali svaki put bi bilo bez uspjeha.

Podaci bi i dalje bili zaključani. Na kraju sam i odustao od Recuva-e i prešao na sljedeći program.

Pokušaj br. 3

Pokušaj broj 3 je vjerovatno najkraće trajao. Koristio sam softver Kaspersky Lab-a, RannohDecryptor za koji neki kažu da je među nekoliko softvera koji zaista može da učini nešto kada se radi o ransomware virusu.

Prateći uputstva, može se pretpostaviti da je proces prilično lak. Program radi tako što prvo izaberete zaraženi fajl, recimo sliku, a zatim morate izabrati i original sliku (sjetite se da sam napomenuo da su enkriptovani fajlovi kopije u stvari) i sačekate da program odradi svoje. Problem u mom slučaju je bio taj što nisam imao nikakve originale enkriptovanih fajlova i samim tim nisam uspio bukvalno ništa da učinim.

Pokušaj br. 4

Četvrti pokušaj, ujedino i posljednji, jeste korišćenje Restore opcije na Dropbox-u, (za koju nisam ni znao jer ne koristim cloud servise).

Ovo je Džon pokušao tek nakon potpunog brisanja hard diska i reinstalacije sistema opisane u daljem tekstu.

Na sreću, većina podataka je uspješno povraćena (slike, prezentacije, dokumenta), a neki fajlovi nažalost nisu mogli biti povraćeni.

Kako su Džonovi najbitniji podaci bili na njegovom Dropbox nalogu, može se reći da je ovaj pokušaj (djelimično) uspješan.

Reinstalacija sistema

Ono što sam napomenuo Džonu prije nego što sam i počeo da radim na laptopu jeste da su velike šanse da ću morati uraditi potpuno brisanje sistema i reinstalirati ga ponovo, s obzirom na to koliko komplikovani mogu biti ovakvi virusi i zbog same činjenice da mi je ovo prvi slučaj (za koji sam se inače sam ponudio) sa ovakvim virusom i da nemam nekog iskustva sa njegovim brisanjem i povratom podataka, ali kao što ste i mogli zaključiti do sada, često u ovakvim situacijama iskustvo ništa ne znači ako se ne reaguje na vrijeme, pa čak ni tada, ako se radi o nekom veoma zeznutom tipu ransomware-a.

Da bih bio siguran da na hard disku neće ostati tragovi virusa, bilo je potrebno obrisati u potpunosti hard disk a ne samo odraditi reinstalaciju.

Pokušao sam prvo sa programom Darik’s Boot and Nuke da obrišem čitav hard disk, međutim laptop nije prepoznavao CD kao butabilan (moguće da ga nisam lijepo narezao) pa sam prešao na drugu opciju.

Ubacio sam USB sa Linux-om i pokrenuo instalaciju, obrisao sve particije i vratio se na početni meni i izabrao Erase Disk and install zajedno sa enkripcijom cijelog hard diksa (koji brišu bukvalno sve podatke). Nakon instalacije, odmah sam ubacio butabilan usb sa Windows 10, instalirao ga i to je bilo to.

Ostalo je samo drajvere da sredim, ažuriram sistem i osnovne programe da instaliram.

Savjeti za zaštitu

Postoji mnogo opasnih virusa na Internetu a i mnogo načina da se zarazite nekim od njih.

Glavni problem kod većine ljudi je što nisu zainteresovani za privatnost i bezbjednost na Internetu. Ovo ne znači da morate da učite sve o tome i da se bavite time, već da imate neko osnovno znanje o bezbjednom korišćenju Interneta.

Smatram da je od ključnog značaja da svaki korisnik Interneta mora da zna šta smije a šta ne smije da otvara dok pretražuje veb i čita email poruke.

Takođe još jedna od mnogih zabluda prosječnih korisnika je ta da ih antivirus uvijek čuva.

Griješite.

Antivirus nikada ne garantuje potpunu bezbjednost, niti će ikada garantovati.

Česti su slučajevi gdje ni ne primjete neki virus koji vam polako uništava računar. To je najvjerovatnije zato što tog virusa još nema u bazi antivirusa ili jednostavno antivirus ima neke propuste koji se moraju “zakrpiti”. Naravno ovo ne znači da ga ne treba uopšte instalirati, ali bitno je da znate da korišćenje antivirus (naročito piratizovanog) nije dovoljno da vas zaštiti od virusa.

Kada se radi o bezbjednosti tokom pretraživanja veba, jedni od najvećih izvora virusa su reklame koje se pojavljuju na svakom drugom sajtu i to ne u nekoj normalnoj mjeri, već zatrpaju cijeli sajt reklamama a sadržaj čini svega 10% cijele stranice.

Pravi primjer takvog sajta je sajt Blic novina.

Posljednji put kada sam ga otvorio bez uBlock-a, bilo je više reklama nego Srba koji slave Svetog Nikolu.

Često se dešava da vas te reklame vode na lažne sajtove sa nagradnim igrama ili lažne Facebook/Gmail stranice gdje vam traže da uneste lične podatke.

Nikako to nemojte raditi.

Izbjegavajte da unosite bilo gdje lične podatke ako vam je sajt nepoznat.

Dodatke koje vam preporučujem da instalirate i koji će vam poboljšati veb pretraživanje i učiniti ga bezbjednijim su:

  • uBlock Origin - Najbolji dodatak za blokiranje dosadnih reklama, koji je lagan, open source i besplatan.
  • HTTPS Everywhere - Automatski vas prebacuje na HTTPS verziju sajta ukoliko postoji.
  • Privacy Badger - Blokira treća lica koja koriste reklame da vas prate i špijuniraju.
  • Ghostery - Ghostery blokira treća lica koja prate vaše aktivnosti i garantuje vam veću privatnost na Internetu.
  • No Script - Ovaj dodatak omogućava da skripte napisane u Java i Javascript programskim jezicima automatski startuju samo sa proverenih sajtova.

U slučaju da skidate piratizovane softvere (programe, igrice, filmove, itd.) sa raznih Torrent sajtova, obratite pažnju od koga skidate i da li je provjeren korisnik koji je okačio taj torent.

Recimo na sajtu Pirate Bay možete primjetiti da neki korisnici imaju ljubičastu ili zelenu lobanju pored svog korisničkog imena.

Ljubičasta lobanja predstavlja korisnika kome se vjeruje, a korisnici sa zelenom lobanjom su VIP.

Izbjegavajte da skidate fajlove od korisnika bez lobanja ili Anonymous korisnika bez obzira koliko željeli da skinete taj fajl i bez obzira da li ima 1, 10, 100 ili više komentara koji ga hvale.

Zaključak

Ransomware je vjerovatno najgora vrsta virusa koja može da vas zadesi i u takvim situacijama je najbolje da se obratite nekom IT profesionalcu ili nekom ko se bolje od vas razumije u računare i bezbjednost.

Pazite šta klikćete i šta otvarate na Internetu, informišite se o bezbjednom pretraživanju veba na vrijeme da ne biste došli u ovakvu situaciju kada šteta može biti daleko gora od gubitka slika sa mora i žurki, vaše omiljene mp3 kolekcije i sličnih stvari.

Ako se pak odlučite da platite da vam vrate podatke, budite spremni na to da možda vam neće biti dekriptovani iako ste im platili.

Autor: Marko Andrejić (facyber) #hack #copy #share #seed


Dobrodošli

Hvala Vam što ste izabrali posjetiti moj web sajt.

Na njemu ćete naći stvari koje volim:

  • podatke o meni,
  • mojoj domovini, Republici Srpskoj,
  • mojoj opsesiji, Informacionim tehnologijama i
  • sitnicama koje život čine ljepšim.

Naravno, vidjećete i nešto što se nalazi između redova, moju ljubav i trud da ovaj sajt i komunikaciju prema Vama učinim originalnom, korisnom i atraktivnom i obećanje da neću prestati da se trudim.

Ukoliko nađete da Vam je ova posjeta koristila u bilo kom pogledu, napišite mi to, veoma ćete me obradovati.

Srdačan pozdrav i uživajte u životu!

Dejan MAJKIĆ

Preporuka

Riješite današnji problem

Igrajte šah - Play chess online