Ransomware. Poznaj metody ochrony przed złośliwym oprogramowaniem

Co zrobić, żeby nie stać się kolejną ofiarą ?

Czym właściwie jest ransomware?

Ransomware „porywa” Twój system lub dane, żądając okupu Ransom (okup) + software = Ransomware Głównym zadaniem oprogramowania ransomware (ang. ransom – okup) jest infiltracja zarażonych nim urządzeń oraz żądanie uiszczenia odpowiedniej opłaty w zamian za odblokowanie komputera. W wyniku infekcji trojan wyświetla ekran blokady z informacją o krokach, które należy podjąć, aby odzyskać kontrolę nad sprzętem. Część użytkowników oskarżana jest o posiadanie nielegalnego oprogramowania, pobieranie zawartości chronionej prawami autorskimi lub też o próby uzyskania dostępu do dziecięcej pornografii. Aby uwiarygodnić swoje działania, ransomware podszywa się pod lokalne służby policyjne poprzez użycie ustawień regionalnych użytkownika – innymi słowy komunikuje się w lokalnym języku i wykorzystuje logotypy lokalnej policji. Po dokonaniu opłaty poszkodowany zazwyczaj otrzymuje klucz odblokowujący. Szczególnym programem ransomware jest Cryptolocker. CryptoLocker do wejścia na nasz system wykorzystuje dziurawe oprogramowanie, np. Microsoft Office lub Acrobat Reader, w których otwieramy załącznik. Po infekcji, CryptoLocker najpierw zaszyfruje niektóre dane na naszym komputerze (i uwaga! także dyskach sieciowych — niekoniecznie naszych, ale podmontowanych do naszego systemu) a następnie zablokuje nasz komputer jakąś „ciekawą” planszą. Jeżeli chcesz odzyskać dostęp do swoich plików powinieneś znać 2 klucze bezpieczeństwa. Jedynym skutecznym rozwiązaniem problemu, jest zdobycie drugiego klucza aktywacyjnego, znanego tylko cyberprzestępcom. Mamy określony czas na zakupienie licencji, po jego upłynięciu możemy się z nimi pożegnać – zostaną usunięte.

W jaki sposób program Cryptolocker może przedostać się do mojego komputera?

Cryptolocker jest rozpowszechniany, używając oficjalnie wyglądających wiadomości e-mail. Zainfekować się nim możemy otwierając np. załącznik od nieznanej osoby. W większości przypadków przypomina użytkownikowi o upływającym czasie zapłaty, podatkach, a także innych rzeczach, przez których otwarcie użytkownik może się zetknąć z groźnym wirusem. Jak tylko złośliwy załącznik zostanie otwarty, komputer zostanie zainfekowany.

Dlaczego klasyczny AV jest nieefektywny w detekcji Crypto-Ransomware? 

1. Dzięki m.in. kompresji kodu wykonywalnego ransomware nieustannie modyfikuje swoją postać – sygnatury nie na wiele się zdają 2. Szyfrowana i anonimizowana komunikacja z mocodawcą – np. z użyciem sieci Tor, tunelowaniem, itp. 3. Przynosi znaczne zyski – zatem warto intensywnie inwestować w nowe metody unikania detekcji

Jak możemy się bronić? 

• Rób backup (z potwierdzonym odtworzeniem) - jeśli atak się powiedzie, przynajmniej otworzysz pliki i dane • Regularnie aktualizuj system. Podobnie jak w przypadku RansomWare, z którego korzysta Blackhole Exploit Kit, użytkownicy powinni stosować najnowsze poprawki zabezpieczeń, aby chronić swoje systemy przed wyczynami złośliwców, nadużywających znane już luki. Łataj swoje systemy i aplikacje - to zapobiegnie wykorzystywaniu podatności. • Wchodź na ważne dla siebie strony za pomocą zakładek - unikaj bezpośrednich linków z poczty czy stron www (mogą Cię zawieść tam, gdzie nie chcesz przebywać :); powszechną praktyką powinno być skopiowanie i wklejanie adresu URL na pasku adresu zamiast bezpośredniego klikania linków; unikaj klikania wątpliwie wyglądających linków, np. tych znalezionych w spamie • Zastosuj dobre polityki dla produktów bezpieczeństwa, które posiadasz. • Bądź na bieżąco z najnowszymi trendami bezpieczeństwa. Edukacja jest kluczem. Należy przyzwyczaić się do czytania wiadomości o zabezpieczeniach, aby zobaczyć aktualne trendy w krajobrazie zagrożeń i wiedzieć, jak uniknąć stania się ofiarami tych wschodzących. • Nie płać - płacenie wzmacnia aktywność szantażystów, wątpliwe, aby zostawili Cię po tym w spokoju.

Proponowana przez nas ochrona:

blokuje wiarygodne witryny hostingowe ransomware, natomiast technologia File Reputation wykrywa i natychmiast usuwa warianty szkodnika. Rozwiązania Trend Micro umożliwiają zabezpieczenie, szyfrowanie i optymalizację wydajności punktów końcowych każdego typu = urządzeń mobilnych, laptopów i komputerów, lokalnie lub w hostingu. TrendMicro OfficeScan zajmuje niewiele miejsca i chroni urządzenia w czasie rzeczywistym przed najnowszymi zagrożeniami w środowisku lokalnym, natomiast TrendMicro Worry-Free Services zapewnia ciągłą ochronę w chmurze.

Dedykowana ochrona przed Crypto-Ransomware 

• Dostępna (AD. 2016/01) w OfficeScan 11 SP1 i Worry Free Business Security(TrendMicro Worry-Free Services zapewnia ciągłą ochronę w chmurze) • Sprawdza czy proces szyfruje pliki i zatrzymuje ten proces • Znane dobre aplikacje nie są oceniane

Dodatkowe środki ochrony?

Dopuść jedynie znane dobre aplikacje, np. za pomocą Trend Micro Endpoint Application Control Zastosuj dynamiczną analizę plików (sandboxing) dla wykrycia nieznanego szkodliwego oprogramowania typu Crypto-Ransomware - np. Trend Micro Deep Discovery (Analyzer)