Šta je ransomware?
Ransomware je zlonamerni tip programa koji zaključava vaš kompjuter, tablet ili pametni telefon – ili enkriptuje vaše fajlove i zatim zahteva otkup za njihovo bezbedno vraćanje. Postoje u suštini dva tipa ransomware-a.
Prvi tip su kriptori, koji enkriptuju fajlove i tako ih čine nedostupnim. Za dekripciju fajlova potreban je ključ korišćen prilikom enkripcije – za to plaćate otkup.
Drugi tip su blokeri; oni jednostavno blokiraju kompjuter ili drugi uređaj, čineći ga neupotrebljivim. Blokeri zapravo predstavljaju bolji scenario od kriptora; žrtva ima veće šanse za oporavak blokiranog pristupa nego kod enkriptovanih fajlova.
Koliko obično iznosi otkup?
Ne postoji uobičajena cifra. Ipak, 300 dolara je prosečan otkup koji iznuđivači traže od svojih žrtava da plate kako bi povratili pristup enkriptovanim fajlovima ili zaključanim kompjuterima. Ali, neki ransomware programi traže i samo 30 dolara. Pojedini zahtevaju desetine hiljada dolara. Preduzeća i druge velike organizacije, koje se obično inficiraju kroz fišing, imaju veće šanse da dobiju više otkupne zahteve.
Međutim, trebalo bi da imate u vidu da plaćanje otkupa ne obezbeđuje sigurno i pouzdano vraćanje fajlova.
Mogu li da dekriptujem enkriptovane fajlove bez plaćanja otkupa?
Ponekad. Većina ransomware programa koristi otporne kripto algoritme, što znači da bi bez ključa za enkripciju njihovo dekriptovanje moglo potrajati godinama.
Ponekad kriminalci koji stoje iza ransomware napada čine greške, omogućavajući predstavnicima zakona da oduzmu napadačke servere koji sadrže ključeve za enkripciju. Kada se to dogodi, dobri momci su u mogućnosti da razviju dekriptor.
Kako se plaća otkup?
Obično se otkup zahteva u kripto valuti, odnosno bitkoinima. Ova elektronska valuta ne može biti falsifikovana. Istorija transakcija je dostupna svima, ali vlasnik novčanika ne može lako biti praćen. Zato sajber kriminalci preferiraju bitkoine. Tako uvećavaju svoje šanse da ne budu uhvaćeni.
Neki tipovi ransomware-a koriste anonimne onlajn novčanike ili čak mobilna plaćanja. Najveće iznenađenje do sada je bio zahtev za iTunes karticama od 50$.
Kako ransomware završi na mom kompjuteru?
Najčešće putem e-maila. Ransomware se može predstaviti kao koristan ili važan attachment (hitna faktura, zanimljiv članak ili besplatna aplikacija). Kada otvorite prilog, vaš računar se zarazi.
Međutim, ransomware se može infiltrirati u vaš sistem i dok samo surfujete po internetu. Da bi preuzeli kontrolu nad vašim sistemom, iznuđivači koriste slabosti operativnog sistema, browsera ili aplikacija. Zato je od presudnog značaja da vaš softver i operativni sistem budu uvek ažurirani (inače, ovaj zadatak redovnog ažuriranja možete delegirati rešenjima kao što su Kaspersky Internet Security ili Kaspersky Total Security, čije najnovije verzije automatizuju ovaj proces).
Neki ransomware programi mogu se samostalno širiti kroz lokalne mreže. Na primer, ako Trojanac inficira jednu mašinu ili uređaj u vašoj kućnoj ili korporativnoj mreži, i drugi korisnici bi na kraju mogli da se zaraze. Ali to je redak slučaj.
Naravno, postoje scenariji infekcije koji su predvidljiviji. Skinete torent, zatim instalirate plugin… i tako sve počinje.
Koje vrste fajlova su najopasnije?
Najsumnjiviji fajlovi su izvršni (poput EXE ili SCR), a ne zaostaju puno ni Visual Basic ili Java skripte (.VBS i .JS ekstenzije). Oni su vrlo često upakovani u ZIP ili RAR arhive, kako bi sakrili svoju zlonamernu prirodu.
Još jedna opasna kategorija fajlova su MS Office datoteke (DOC, DOCX, XLS, XLSX, PPT i tako dalje). One mogu da sadrže ranjive makroe; ako se traži da omogućite makroe u Word dokumentu, razmislite dvaput pre nego što to uradite.
Budite oprezni i kod fajlova sa prečicama (.LNK ekstenzija). Windows može da ih predstavi kao bilo koju ikonu koja, u kombinaciji sa nevinim nazivom fajla, može da vas namami u nevolju.
Važna napomena: Windows otvara fajlove sa poznatim ekstenzijama bez pitanja korisnika, a podrazumevano skriva ove ekstenzije u Windows Exploreru. Dakle, ako vidite fajl sa nazivom poput Important_info.txt, to bi zapravo mogao biti Important_info.txt.exe, fajl koji instalira malware. Podesite Windows da prikazuje ekstenzije kako biste bili bezbedniji.
Mogu li da izbegnem infekciju ako se držim dalje od nevaljalih web sajtova ili sumnjivih attachmenta?
Na žalost, čak i oprezni korisnici mogu da budu inficirani ransomware-om. Na primer, moguće je da zarazite svoj računar dok čitate vesti na velikom, uglednom medijskom veb sajtu.
Naravno, sam veb sajt neće distribuirati malware posetiocima – osim ako je hakovan, što je druga priča. Umesto toga, mreže oglašivača napadnute od strane sajber kriminalaca služe kao distributeri, jer njihova nezakrpljena ranjivost može dozvoliti učitavanje malware-a. I da ponovimo još jednom, redovno ažurirani softver i potpuna nadogradnja (zakrpe) operativnog sistema su ključni.
Koristim Mac, dakle ne bi trebalo da brinem o ransomware-u?
Mac računari mogu biti i bili su inficirani ransomware-om. Na primer, KeRanger ransomware, koji je upao u popularni Transmission torrent klijent, pogodio je korisnike Mac-a.
Naši stručnjaci veruju da će se broj ransomware programa koji ciljaju Apple sisteme postepeno povećavati. A pošto su Apple uređaji relativno skupi, iznuđivači bi mogli da smatraju vlasnike Mac-a sjajnom metom za visoke otkupne zahteve.
Neke vrste ransomware-a pogađaju čak i Linux. Nijedan sistem nije bezbedan od ove pretnje.
Koristim telefon za surfovanje. Da li bi trebalo da brinem zbog ransomware-a na Androidu?
Da, trebalo bi. Na primer, postoje kriptori i blokeri za Android uređaje, s tim što preovlađuju ovi drugi. Imati antivirus na pametnom telefonu nije paranoično.
Dakle, čak i iPhone je u opasnosti?
Do sada ne postoje ransomware programi namenjeni za iPhone i iPad. Uzgred, ovo važi za iPhone čiji operativni sistem nije otključan. Malware se može infiltrirati u uređaje koji nisu zaštićeni bezbednosnim ograničenjima iOS i Apple zaključanog App Store-a.
Ipak, iPhone ransomware može biti odmah iza ugla, i bez otključanog sistema. Možemo videti i pojavu IoT ransomware-a, takođe. Sajber kriminalci bi mogli zahtevati visoke otkupnine nakon preuzimanja pametnog televizora ili frižidera.
Kako ću znati da li je moj kompjuter inficiran ransomware-om?
Ransomware nije suptilan. Sam će se najaviti, na primer ovako:
Ili ovako:
Ili ovako:
Blokeri više izgledaju ovako:
Koje vrste ransomware-a su najčešće?
Novi tipovi ransomware-a se pojavljuju svakog dana, tako da je teško reći koji su najpopularniji. Možemo nabrojati nekoliko istaknutih primera, poput Petya, koji enkriptuje kompletan hard disk. Takođe, tu je i CryptXXX, koji je još uvek moćan i koji smo već dva puta srušili. I naravno, TeslaCrypt je bio najrasprostranjeniji primer ransomware-a u prva četiri meseca 2016. godine; njegovi autori su, neočekivano, odlučili da objave glavni ključ (master key).
Ako budem inficiran, kako da uklonim ransomware?
Ako vidite da vam je kompjuter blokiran – neće da učita operativni sistem – upotrebite Kaspersky Windows Unlocker, besplatan program koji može da ukloni bloker i pokrene Windows.
Kriptori su već tvrđi orah. Prvo bi trebalo da se otarasite malware-a tako što ćete pokrenuti antivirus skeniranje. Ako nemate odgovarajući antivirus na računaru, možete preuzetni besplatnu trial verziju ovde.
Sledeći korak je da vratite nazad svoje fajlove.
Ako imate backup vaših fajlova, možete jednostavno da povratite datoteke iz rezervne kopije. To je definitivno najbolji mogući potez.
Ako niste napravili backup, možete pokušati da dekriptujete fajlove koristeći specijalne programe koji se nazivaju dekriptori. Svi besplatni dekriptori koje je kreirao Kaspersky mogu se naći na Noransom.kaspersky.com.
Druge antivirusne kompanije takođe razvijaju dekriptore. Jedna stvar: budite sigurni da downloadujete ove programe sa pouzdanih veb sajtova; inače preuzimate veliki rizik od inficiranja nekim drugim malware-om.
Ako ne možete da pronađete pravi dekriptor, ostaje vam da platite otkup ili da se pozdravite sa svojim fajlovima. Ne preporučujemo vam plaćanje otkupa.
Zašto da jednostavno ne platim otkup?
Za početak, ne postoji garancija da ćete dobiti svoje fajlove nazad. Ne možete verovati iznuđivačima. Jedan primer nepouzdanih lopova su autori Ranscam-a, ransomware-a koji se čak nije ni bavio šifrovanjem, već je jednostavno brisao fajlove (iako su, naravno, obećavali dekripciju u zamenu za novac).
Prema našem istraživanju, 20% žrtava ransomware napada koje su platile otkup nikada nisu dobile svoje fajlove nazad.
Pronašao sam potreban ransomware dekriptor; zašto ne radi?
Ransomware programeri brzo reaguju kada se pojavi novi dekriptor i na taj potez odgovaraju modifikacijom svog malware-a kako bi ga učinili otpornim. To je igra mačke i miša. Na žalost, dekriptori ne dolaze sa garancijama.
Ako primetim zlonamerni proces, da li postoji nešto što mogu da uradim da bih zaustavio infekciju ransomware-om?
Teoretski, ako ga uočite na vreme, možete da isključite računar, izvadite hard disk, ubacite ga u drugi kompjuter i upotrebite njegov antivirus za dezinfekciju. Međutim, u stvarnom životu je teško ili čak nemoguće da korisnik otkrije infekciju; ransomware radi tiho sve do velikog otkrića: poruke o otkupu.
Da li je antivirus dovoljan da se izbegne infekcija?
Da, u većini slučajeva. Antivirusno rešenje koje koristite ipak znači. Prema nezavisnim testovima renomiranih laboratorija (koji su, zapravo, jedini testovi kojima treba verovati), proizvodi Kaspersky pružaju bolju zaštitu od konkurencije. Ipak, nijedan antivirus nije 100% efikasan.
U mnogim slučajevima automatska detekcija zavisi od toga koliko je malware nov. Ako njegovi potpisi nisu dodati u bazu podataka antivirusa, Trojanac može biti otkriven analizom ponašanja. Ako pokušava da nanese štetu, odmah se blokira.
Naš proizvod uključuje i modul koji se zove System Watcher; ako otkrije pokušaj masovne enkripcije fajlova, on blokira zlonamerni proces i vraća nazad sve promene. Molimo vas, nikada ne isključujte ovu komponentu.
Takođe, Kaspersky Total Security automatizuje proces backupa. Čak i ako nešto krene po zlu, možete vratiti sve ključne događaje iz rezervnih kopija.
Ako redovno pravim backup svojih fajlova, da li sam bezbedan?
Pravljenje rezervne kopije fajlova je, bez sumnje, od velike pomoći, ali to nije 100% garancija. Evo jednog slučaja: podesili ste automatski backup na računaru vašeg supružnika, na svaka tri dana. Kriptor se infiltrira u sistem, enkriptuje sve dokumente, fotografije, i tako dalje – ali on ne shvati odmah ozbiljnost situacije. I tako kada proverite nedelju dana kasnije, rezervne kopije su takođe enkriptovane. Backup je od vitalnog značaja, ali vaša odbrana mora da ide još dalje.
Da li postoje neka podešavanja koja mogu da prilagodim da bih pojačao odbranu?
a. Prvo, instalirajte antivirus. Ali to smo vam već rekli, zar ne?
b. Možete onemogućiti izvršavanje skripti u browserima, pošto su one omiljena alatka sajber lopova. Pogledajte naš blog da saznate kako to da uradite u Chrome-u i Firefoxu.
c. Podesite vidljivim ekstenzije u Windows Exploreru.
d. Neka Notepad bude vaša podrazumevana aplikacija za VBS i JS fajlove. Windows obično označava opasne VBS i JS skripte kao tekstualne fajlove, što može navesti manje iskusne korisnike da ih otvore.
e. Razmislite o uključivanju Trusted Applications Mode-a u rešenju Kaspersky Internet Security, čime se ograničava instalacija bilo kog proizvoda koji nije na dozvoljenoj listi. Ova opcija nije podrazumevana i zahteva malo podešavanja, ali je veoma korisna alatka, posebno za one koji nisu vešti sa računarom i mogu dozvoliti nekom skrivenom malware-u da se uvuče u sistem.
Preuzmite Kaspersky kako biste izbegli bilo koji ransomware napad u budućnosti
