Ransomware - zaštita

Zadnjih dana nam u firmi stiže zabrinjavajuća količina mailova od klijenata koji su pokupiliu nekakav ransomware unatoč uobičajenoj zaštiti koja se koristi. U ponekim slučajevima su enkriptirani dokumenti po mrežnim diskovima a šteta je enormna.Zbog toga sam i sam odlučio kod kuće poduzeti nešto pa sam uobičajeni admin account na kućnom NAS-u (synology) zamjenio sa read-only accountom koji ima RW prava na samo neke foldere (za pristup preko mreže).Imam izuzetno puno privatnih i poslovnih datoteka koje mi jako puno znače.

Čuo sam (neprovjereno) da su neki imali enkriptirane podatke i na svojim cloud backup lokacijama(kako je to moguće uopće?).

Evidentno je da se uglavnom radi o zero-day napadu i antivirusni softver je uglavnom nemoćan. Kako se branite od toga?

Pod "klijenti" mislim na velike klijente sa sređenom infrastrukturom (neki imaju i više tisuća korisnika u mreži).

- zeroday je samo isprika (loša), problem je što imaju certifikate, to traje već godinama (hint, banke) i tu AV ne može baš ništa, jednako kao što portir mora propustiti nekog s propusnicom..

- za mailove/spam-trojan.. bi ISP morao preuzeti odgovornost i spriječiti, ali prave se glupi. Gašenjem linka providera s kojeg dođe malware bi se trenutno eliminirao taj način ulaska, ali njih zanima samo promet.naplata usluge i odbijaju odgovornost (jer bi tad postojale i sankcije, pa je bolje gurnuti glavu u pijesak, kao banke, to zna i policija ali opet, tko je važniji? Mali korisnici/firme ili veliki Operateri-Banke?). Svi šute.. jer im je to OK.

- sve ostalo kao .exe je već (tudumski/defaultno) podešeno upraov tako (UAC, + korištenje ne-admin acca kao user s nižim ovlastima) ali to bi pomoglo samo kod 'tudum' malwarea... ovo ide po sasvim drugoj ruti, npr S-1-5-20...

- dodatno, uopće nije problem ukloniti ransomware/cryptlocker, problem su posljedice.. kriptirani fileovi. Tu nema pomoći uz današnju automatizaciju, YT, multimedija, PDF, java, flash.. + user s 'rizičnim' ponašanjem ili samo lošom srećom. npr tko ima UAC ili je ugašen? Ja ga gasim.. i (nadam se) znam što radim, pa opet ponekad naletim.. (ali ne na poslovnom PCju, problem su naivci...).

npr, poslovni PC mora imati javu-banke/porez/fina.. kućni-gamerski za minecraft.. a java već godinu dana kilavi, npr najava da neće supportati XP kojeg ipak suportaju upravo zbog sigurnosnih problema od prije godinu dana. Kriminal samo kristi rupe, Oracle+Banke ih ostavljaju širom otvorenima, a certifikati se kradu. Verisign, MS.. svako malo se revokaju/reizdaju.. ali i dalje curi na sve strane. Što s SSLom i kritičnom mrežnom opremom, itd..

-rasnsomware samo koristi 'statistiku'. Backup je jedini način čuvanja podataka, zapravo dal je HW ili SW problem, razlike nema (osim gorčine i peckanja oko anusa kad se to desi ''meni'').

-upali ti se alarm na autu, dođe policajac, imaš ključ i vlasnički list.. (ako nisi crnac) nema razloga upucati te. Ista stvar, malware ima certifikate.. prolazi. AV/OS ne smije zaustaviti neke procese, to je pravilo, to je OS.. (istovremeno, to je i zaštita linuxa uz dll hell, OS na kojem ništa, pa ni malware ne radi bez kuckanja u mraku terminala.. ali i na njemu bi ovo prolazilo samo nije dovoljno zanimljiv, vidjet ćemo uskoro npr Andoridiće-mobače..).

-ŠBBKBB, što da ti npr zipiraš/backupiraš? Dali te OS ili AV može/smije zaustaviti? Jednako da kriptiraš.. a to što nemaš ključ.. pa to AV ne zna.  ... kao kad kažeš enormne količine fileova, nevažno jedan ili 1.000, kao i to nije npr delete koji bi tražio 'OK' i sl. Enkripcija je normalna funkcija, možemo čak reči da je problem što uopće postoji unutar Win kao mogućnost. Obrnuto, tko (postotak korisnika) koristi npr win-sec. kao bitlocker za zaštitu PCja? Zanemariv broj. Bilo bi logičnije da se taj servis kompletno removne iz OSa (može biti pod add-remove featursa..), ali se oslanja na previše stvari, npr autoupdate, provjera valjanosti aktivacije wisa.. i tako u krug. Pošto je normalno pokrenuti neke servise/skripte s admin ovlastima koji se moraju izvršiti, jer to su zahtijevi modernog OSa, npr antivirus .. nema razloga da malware ne kroisti isti mehanizam. Jedino što bi bilo za predpostaviti da malware nema 'ključ' (identičan kao npr MSov update sistema ili antivirusa), to bi ga spriječilo.

Najgluplja skripta može sadržavati potrebne swicheve koji mogu ignorirati bilo što, npr potrebu korisnika da klikne OK/YesNo ili da prikaže upozorenje, dok bi recimo brisanje mogao izvesti početnik nakon sat vremena listanja howto za npr delete-diskpart..

Zaštita? Uzalud, tj imati nešto 'normalnog' + imati plan if-then (ovisno o potebama/hitnosti i sl.). Backup+recovery (naravno, koje se provjeri da nije u njemu ransom.. tad svaka automatika postane upitna, moraš biti za PCjem, povremeno provjeriti.. i ponovo, nije problem ukloniti ransom-malware.. problem su podaci ako su kriptirani i nemaš ključ).

Problem kreće od neadekvatne zaštite certifikata, tj oni koji certifikate izdaju. Kad se pogrešna strana tog dočepa, tad je problem 'nerješiv' jer tako npr posluju banke, a one ne mogu reći, sorry ne radimo par dana... tj mogle bi, ali već sutra bi mogli biti u istoj situaciji jer nije problem kriminalu za odgovarajuću sumu novčanica nači nekog dovoljno pohlepnog djelatnika i ključ je tu. Milijarde, tad je sve jasnije. Droga, ratovi.. nema iskorjenjivanja jer je prevelik novac.

- kriminalci nisu vunderkindovi koji razbijaju šifre, prije da će ići bruteforceom ili mitom. Već je dovoljno superračunala koje se mogu rentati.

- jedan BTWovski, za plaćanje spominje se TOR. NSA ga kontrolira već duže vrijeme. Ako bi postojala teorija zavjere, tad bi se moglo zamisliti scenarij da iza svega stoje takve službe, iza kojih možda je običan kriminal-novac, ili sama država. Ponekad načini zarade nisu legalni/moralni, ali su ipak zarada. Nije isključeno... Podsjetnik na npr MSove mail servere u Irelandu (inače EU EMEA soft-heaven, porezni) i igre/igrokaza oko jursdikcije.

Tko ima dovoljno resursa za npr probijanje SHA i sl. a kad postoji način, tad se obično nađe i strana koja će nešto napraviti za novac (ili bilo koji politički razog, koji je opet na kraju novac).

Jedan od korisnih programa je i CryptoPrevent - http://www.foolishit.com/vb6-projects/cryptoprevent/

CryptoFortress, a TorrentLocker clone that also encrypts unmapped network shares

A new encrypting ransomware called CryptoFortress was discovered yesterday by security researcher Kafeine that appears to be either a copycat or a new version of TorrentLocker. When looking at the ransom note and decryption site for both CryptoFortress andTorrentLocker the differences between the two appear to be small. On further inspection, though, we have discovered that CryptoFortress includes the new and nasty feature of being able to encrypt files over network shares even if they are not mapped to a drive letter.

 Mogu ja, imam 2 diska i 4 particije na racunalu. Nisam klikao na nista, jedino sam se spajao na druga racunala da bih upogonio Malwarebytes, jedna kolegica se par puta spojila k meni da skine neki software. Pobrao sam cryptolocker, sos, i to samo na jedinoj particiji koja je bila sherana...ali bas particija, sad imam samo folder share-an gdje prebacujem potrebne dokumente i softver...