Ransomware – Πως μπορείτε να τα αντιμετωπίσετε

1

ransomware αντιμετώπισηΤα Ransomware ίσως είναι η πιο επικίνδυνη μορφή ιού που κυκλοφορεί στις ηλεκτρονικές συσκευές. Σχεδόν όλοι θα έχετε κάποιο φίλο ή συγγενή που την έχει ήδη «πατήσει» με κάποιο Ransomaware.

Τι είναι τα Ransomware

ransomware-_2Τα Ransomware, για όσους από εσάς δεν γνωρίζουν, είναι μια πολύ επικίνδυνη μορφή ιού/malware του υπολογιστή.Αν και υπήρχαν εδώ και πάρα πολλά χρόνια, τα τελευταία χρόνια έχουν αυξηθεί δραματικά οι προσβολές (σε ένα μόνο χρόνο, πενταπλασιάστηκαν τα κρούσματα). Υπάρχουν δεκάδες διαφορετικά ήδη ransomware, και το καθένα έχει διαφορετικό τρόπο δράσης. Αλλά όλα έχουν ένα κοινό χαρακτηριστικό, τον εκβιασμό.

Τα Ransomware προσπαθούν να παραπλανήσουν ή και να εκβιάσουν ξεκάθαρα τον χρήστη να πληρώσει τους δημιουργούς του, για να τον απαλλάξουν από τις δυσάρεστες συνέπειες που έχει προκαλέσει στον υπολογιστή τους.

Κάποιες φορές μπορεί να προσποιούνται την κρατικούς φορείς όπως η Europol ή το Υπουργείο δικαιοσύνης των ΗΠΑ και να προσπαθούν να πληρώσετε άμεσα ένα πρόστιμο για κάτι παράνομο που κάνετε (πχ παράνομο κατέβασμα ταινίες σε torrent, σπασμένα windows…).  

Άλλες φορές θα ειδοποιούν απλά το χρήστη για την παρουσία του ransomware και τις συνέπειες που έχει στο σύστημά του και απλώς εκβιάζουν τον χρήστη να τους πληρώσει για να απαλλαχθεί από το πρόβλημα.

Τι μπορεί να κάνει λοιπόν και θα κάνει κάποιον να πληρώσει;

Τις περισσότερες φορές αυτό που κάνουν τα ransomware είναι να κρυπτογραφούν σημαντικά αρχεία στον υπολογιστή, όπως έγγραφα και φωτογραφίες. Αυτά τα αρχεία, αν και εξακολουθούν να υπάρχουν στον υπολογιστή, είναι κρυπτογραφημένα και αδύνατο για το χρήστη να τα χρησιμοποιήσει, χωρίς το κλειδί αποκρυπτογράφησης.

Άλλα ransomware, μπορεί να κρυπτογραφούν ακόμα και όλοκληρο δίσκο υπολογιστή αποκλείοντας την πρόσβαση σε αυτόν. Αλλά μπορεί να επιθετούν σε σέρβερ ιστοσελίδας ή ακόμα και σε κινητά.

Πως κολλάει κάποιος Ransomware

email με αρχείο σε επισύναψη
Κλασσικό email με attachment που περιλαμβάνει ransomware ιό

Τα περισσότερα Ransomware, κολλάνε όπως σχεδόν όλοι οι ιοί. Κάποιος σας έστειλε ένα αρχείο, και εσείς το ανοίξατε. Τις περισσότερες φορές ήταν κάποιος άγνωστος με κάποια γελοία δικαιολογία, αλλά μπορεί να ήταν και κάποιος φίλος σας ο οποίος είχε μολυνθεί και ο ίδιος με Ransomware.

ransomware-_3Γιαυτό, όπως έλεγε και το γνωστό ρητό στην τηλεοπτική σειρά X-Files «Trust No One». Δηλαδή σε απλά Ελληνικά μην εμπιστεύεστε κανένα. Ακόμα και τους ίδιους σας τους φίλους. Αν κάποιος σας έστειλε ένα email το οποίο έχει κάποιο αρχέιο σε επισύναψη, για το οποίο δεν υπήρχε λόγος ή δεν γνωρίζατε κάτι, μην το ανοίξετε πριν επικοινωνήσετε μαζί του.

Τι μπορείτε να κάνετε αν κολλήσετε Ransomware

Αν κάποια μέρα ξυπνήσετε και δείτε όλα τα έγγραφά σας κρυπτογραφημένα, τότε δυστυχώς είναι αργά. Έχετε κολλήσει κάποιο Ransomware και έχει ήδη κρυπτογραφήσει τα αρχεία σας.

Ποιες είναι οι επιλογές σας λοιπόν;

1. Πληρώνετε

Η πρώτη είναι μάλλον η πιο εύκολη αλλά και η χειρότερη επιλογή. Να πληρώσετε τους εκβιαστές ώστε να σας στείλουν το κλειδί που αποκρυπτογραφεί τα αρχεία σας.

Αυτή η επιλογή έχει δύο αρνητικά σημεία. Το πρώτο είναι ότι με αυτό τον τρόπο, ενθαρρύνετε ανάλογες συμπεριφορές. Με απλά λόγια, αν οι εκβιαστές πληρωθούν θα συνεχίσουν να το κάνουν και θα βρίσκουν όλο και πιο πολλούς μιμητές. Και θα πείτε εμένα τι με νοιάζει, δυστυχώς σας νοιάζει, γιατί είναι αρκετά πιθανό να ξανακολλήσετε στο μέλλον πάλι κάποιο ransomware. Και αν την πρώτη φορά κολλήσατε τυχαία, την επόμενη φορά ίσως δεν είναι και τόσο τυχαίο, αφού μπορεί να έχετε «ταυτοποιηθεί» σε κάποια μαύρη λίστα ως «καλό θύμα».

Το άλλο αρνητικό που έχει αυτή η επιλογή, είναι ότι πρακτικά κανείς δεν σας εγγυάται ότι οι εκβιαστές θα σας στείλουν το σωστό κλειδί ή ότι δεν θα σας εκβιάσουν ξανά για περισσότερα χρήματα. Τις περισσότερες φορές είναι η αλήθεια, αν πληρώσετε σας στέλνουν το κλειδί, απλώς σίγουρα δεν μπορεί να σας το εγγυηθεί κανείς.

2. Περασμένα ξεχασμένα

Η δεύτερη επιλογή είναι ίσως η πιο συνηθισμένη, ακόμα και αν δεν είστε φαν της Καίτης της Γαρμπή. Ξεχνάτε ότι είχατε στον δίσκο και κάνετε άμεσα ένα φορμάτ και ξεκινάτε πάλι από την αρχή.

Αν είχατε προνοήσει μάλιστα και κάνατε backup τα αρχεία σας σε κάποιο δίσκο ή σε cloud, τότε δεν θα πρέπει καν να σκεφτείτε κάτι άλλο.

Πιθανώς όμως ακόμα και αν δεν είχατε κάνει backup, αρκετά από τα πολύτιμά σας αρχέια να υπάρχουν κάπου και να μπορείτε να τα ξαναβρείτε. Έτσι αρχεία που σας είχαν στείλει με email, μπορεί να υπάρχουν ακόμα στον σέρβερ του email σας, φωτογραφίες μπορεί να υπάρχουν ακόμα στην sd κάρτα της ψηφιακής ή του κινητού, αρχέια που είχατε μεταφέρει με στικάκι μπορεί να υπάρχουν ακόμα μέσα σε στικάκι, ακόμα και αν τα είχατε σβήσει.

3. Εργαλεία αποκρυπτογράφησης

Η τρίτη επιλογή, άν και δυστυχώς δεν είναι αποτελεσματική πάντα, μπορεί πραγματικά να σας σώσει. Όπως είπαμε τα Ransomware είναι κάποιοι ιοί που κρυπτογραφούν τα αρχεία σας και έτσι δεν μπορείτε να έχετε πρόσβαση σε αυτά χωρίς το κλειδί αποκρυπτογράφησης.

Από τότε λοιπόν που άρχισαν να διαδίδονται τα ransomware, άρχισαν να κυκλοφορούν και εφαρμογές που μπορούν να αποκρυπτογραφήσουν τα αρχεία σας χωρίς να πληρώσετε τους εκβιαστές. Κάποιες από αυτές είναι premium εφαρμογές που πρέπει να τις αγοράσετε ενώ άλλες είναι δωρεάν.

nomoreransom project

Εδώ και λίγο καιρό έχει δημιουργηθεί ένα πολύ καλό project για την αντιμετώπιση αυτού του προβλήματος. Το project ονομάζεται nomoreransom και δημιουργοί του είναι η Europol, τα Karpesky Labs, Intel Securiry και το Politie. Εκτός από αυτούς, συνεργάζονται με οργανισμούς και Αστυνομικές αρχές από αρκετές μεγάλες χώρες.

selection_721Στην ιστοσελίδα του nomoreransom, θα βρείτε αρκετές πληροφορίες σχετικά με τα ransomware και τρόπους αντιμετώπισης. Το πιο σημαντικό είναι ότι παρέχουν ένα εργαλείο αναγνώρισης του είδους του ransomware αλλά και αρκετά εργαλεία αποκρυπτογράφησης για μερικά γνωστά ransomware.

Δυστυχώς οι δημιουργοί των ransomware πολλές φορές βρίσκονται ένα βήμα μπροστά, οπότε είναι αρκετά πιθανό την στιγμή που θα κολλήσετε να μην υπάρχει γνωστό κλειδί αποκρυπτογράφησης στο nomoreransom. Αλλά είναι αρκετά πιθανό να βρεθεί λίγο αργότερα.

Γιαυτό αν έχετε κρυπτογραφημένα αρχεία, τα οποία αν και είναι πολύτιμα για εσάς, να μην είναι απαραίτητη η άμεση πρόσβαση σε αυτά (πχ φωτογραφίες), μπορείτε πολύ απλά να αλλάξετε δίσκο και να περιμένετε μέχρι να βρεθεί κάποιο για το δικό σας ransomware. Αν είστε λίγο τυχεροί, θα βρεθεί κάποια λύση μέσα στους επόμενους μήνες, και θα ανεβεί στο nomoreransom.

Εκτός φυσικά από το project του nomoreransom, θα βρείτε αρκετά decryption εφαρμογές από τις πιο γνωστές εταιρίες με antivirus και antimalware (και όχι μόνο.).

Μερικά μόνο από αυτά που μπορείτε να δοκιμάσετε είναι :

4. Recovery

Η τελευταία μέθοδος, δυστυχώς δεν έχει πάντα αποτελέσματα και εξαρτάται αποκλειστικά από το πόσο καλοφτιαγμένο είναι το ransomware. Αλλά μπορεί σε κάποιες περιπτώσεις να σας σώσει.

Πως μπορεί να γίνει αυτό; Με την ανάκτηση των διαγραμμένων αρχείων από το δίσκο. Όπως είπαμε σχεδόν όλα τα ransomware κρυπτογραφούν σημαντικά αρχεία στον δίσκο. Αυτό σημαίνει ότι έχουν δημιουργήσει ένα νέο κρυπτογραφημένο αρχείο για κάθε παλιό ακρυπτογράφητο. Φυσικά με το που δημιουργούντ το κρυπτογραφημένο, διαγράφουν αυτόματα το κανονικό αρχείο (παλαιότερα ransomware απλώς το «έκρυβαν» κάπου στο δίσκο).

Τώρα, όταν διαγράφεται ένα αρχέιο από τον δίσκο, δεν σβήνονται κυριολεκτικά τα δεδομένα από αυτόν, απλώς σβήνεται η «αντιστοίχιση». Δηλαδή με απλά λόγια, όταν σβήνεται ένα αρχείο, ακόμα και από τον κάδο ανακύκλωσης, τα δεδομένα δεν διαγράφονται αυτόματα.

Απλώς δίνεται εντολή στον δίσκο, να διαθέσει το μέρος αυτού του δίσκου ως ελεύθερο χώρο. Για να χαθούν οριστικά τα δεδομένα, θα πρέπει να γίνει εγγραφή άλλων δεδομένων πάνω σε αυτό το μέρος του δίσκου.

Οπότε αν δεν έχει γίνει αυτό, μπορείτε με μια εφαρμογή που μπορεί να κάνει recovery αρχείων να ανακτήσετε κάποια από τα αρχικά δεδομένα, τα οποία είχαν διαγραφεί από το ransomware.

Βέβαια, όπως είπαμε, αυτό εξαρτάταει από το πόσο καλοφτιαγμένο ήταν το ransomware ή πόσο σύντομα το αντιληφθήκατε. Τα «καλά» ransomware κάνουν κενές ή πολλαπλές επαναγγραφές δεδομένων στον δίσκο, ώστε να χαθούν σίγουρα όλα τα προηγούμενα δεδομένα.


Τι μπορείτε να κάνετε για να έχετε το κεφάλι σας ήσυχο

1. Backup, και πάλι backup

Το backup είναι η πιο σίγουρη λύση για να έχετε το κεφάλι σας ήσυχο. Ειδικά σε πολύ σημαντικά αρχεία, είναι απολύτως απαραίτητο να κάνετε backup, και χωρίς τον φόβο των ransomware.

Backup μπορείτε να κάνετε τοπικά σε κάποιο ξεχωριστό δίσκο, αλλά μπορείτε και σε υπηρεσίες cloud. Φυσικά δεν είναι πρακτικό να κάνετε backup σε μεγάλα αρχεία όπως ταινίες ή αρχεία μουσικής, εκτός και αν πρόκειται για δική σας πρωτότυπη δημιουργία.

Το κάθε πότε πρέπει να κάνετε Backup εξαρτάται από το πόσο συχνά κάνετε σημαντικές αλλαγές στα αρχεία σας. Καλό είναι πάντως να γίνεται τουλάχιστον ανά μία εβδομάδα.

2. Καλό και ενημερωμένο antivirus

Ειδικά αν έχετε Windows λειτουργικό σύστημα, θα πρέπει να έχετε πάντα ένα καλό antivirus πρόγραμμα. Ένα καλό antivirus μπορεί να σας γλυτώσει από όλη αυτή την ταλαιπωρία.

Φυσικά όπως είπαμε, πολλές φορές οι ransomware δημιουργοί βρίσκονται ένα βήμα μπροστά. Έτσι είναι αρκετά πιθανό, ακόμα και το καλύτερο antivirus να μην «πιάσει» κάποιο πολύ καινούργιο ransomware και όταν γίνει αντιληπτό, να έχει γίνει ήδη η ζημιά.

Αλλά σίγουρα είναι μια πολύ καλή μέθοδος προφύλαξης

3. Επαγρύπνηση

Τα ransomware τις περισσότερες φορές κρυπτογραφούν χιλιάδες αρχεία που βρίσκονται στον υπολογιστή σας. Έτσι αν είστε προσεκτικοί και λίγο τυχεροί, μπορείτε να εντοπίσετε την προσβολή λίγο νωρίς και να γλυτώσετε ένα μεγάλο μέρος από τα αρχεία σας.

Πως μπορείτε να το κάνετε αυτό; Το πρώτο που θα πρέπει να κάνετε είναι να επιλέξετε να εμφανίζεται όλη η κατάληξη των αρχείων (πχ .exe, .jpg…) στον explorer.

Κάνοντας το αυτό θα μπορείτε να εντοπίσετε λίγο πιο εύκολα αν κάποια αρχεία έχουν αρχίσει και κρυπτογραφούνται, καθώς θα αλλάξει η κατάληξη τους (πχ σε .locker).

Αυτό θα σας βοηθήσει επίσης να εντοπίσετε πιο εύκολα «μεταμφιασμένα» αρχεία τα οποία ευθύνονται για την μετάδοση του ransomware. Έτσι πχ κάτι που ίσως φαίνεται σαν εικόνα με τίτλο foto.jpg ίσως είναι στην πραγματικότητα executable ιός με πραγματική κατάληξη foto.jpg.exe.

Ένα απλό «early warning system» είναι να βάλετε κάποια τυχαία αρχεία με σημαντικές καταλήξεις (όπως jpg, mp4, xls, doc…) στο desktop (επιφάνεια εργασίας) σας. Έτσι αν δείτε κάποιο από αυτά τα αρχεία να αλλάζει κατάληψη και δεν έχετε δει ακόμα το μύνημα του ransomware, ίσως μπορείτε να προλάβετε να σώσετε κάτι.

Με αυτό τον τρόπο ίσως προλάβετε να χρησιμοποιήσετε καλύτερα και κάποια άλλη μέθοδο (όπως πχ shadow explored ή recovery εφαρμογές)

Τι μπορείτε να κάνετε αν γίνει αυτό;

Το πρώτο θα είναι να κλέισετε αμέσως τον υπολογιστή (και όταν λέμε αμέσως εννοούμε αμέσως, όχι shutdown μεσω λειτουργικού) και να τον αποσυνδέσετε από το δίκτυο.

Στην συνέχεια αν είστε τυχεροί, μπορείτε να τραβήξετε τα αρχεία με κάποιο ασφαλές λειτουργικό (πχ live διανομή linux) και μετά να κάνετε format στο προηγούμενο λειτουργικό σας.

Σίγουρα αυτή δεν είναι η πιο αποτελεσματική μέθοδος και μπορεί ήδη να έχει γίνει αρκετή ζημιά, αλλά δεν χάνετε κάτι να δοκιμάσετε.


Τι δεν μπορείτε να κάνετε;

Brute Force

Αυτό που δεν μπορείτε να κάνετε σίγουρα είναι να προσπαθήσετε να αποκρυπτογραφήσετε τα αρχεία με κάποια μέθοδο (brute force, dictionary).

To brute force είναι μια μέθοδος hacking, στην οποία προσπαθείτε να μαντέψετε κάποιον κωδικό, δοιμάζοντας όλα τα πιθανά ενδεχόμενα ένα ένα. Αυτή η μέθοδος είναι αρκετά αποτελεσματική για γελοίους κωδικούς, αλλά παντελώς άχρηστη για μεθόδους κρυπτογράφησης όπως γίνεται στα ransomware. Τα περισσότερα ransomware χρησιμοποιούν μέθοδο κρυπτογράφησης RSΑ 2048, που ας πούμε είναι πρακτικά αδύνατο να σπάσει με brute force.

Να κινηθείτε νομικά περιμένοντας αποζημείωση

Αν και σίγουρα κάθε φορά που αντιμετωπίζετε κάποιο ransomware θα πρέπει να ειδοποιείτε τις επίσημες αρχές, το να κινηθείτε νομικά περιμένοντας κάτι, είναι κάτι μη πρακτικό.
Τις περισσότερες των περιπτώσεων όσοι βρίσκονται πίσω από τα ransomware είναι κάτοικοι ξένων χωρών, συνήθως από χώρες της Ασίας ή την Ρωσία.
Επίσης οι πληρωμές των «λύτρων» είναι σχεδόν πάντα σε bitcoins, ένα εικονικό νόμισμα το οποίο είναι σχεδόν αδύνατο να ελεχθεί.
Παρόλα αυτά, όπως είπαμε αν βρεθείτε αντιμέτωποι με κάποιο ransomware θα πρέπει να ενημερώσετε όλους τους υπευθύνους, ειδικά αν για κάποιο λόγο επιλέξετε να πληρώσετε τα «λύτρα». Υπάρχουν ήδη αρκετές συλλήψεις χάκερ διεθνώς για αυτόν ακριβώς τον λόγο. Απλώς όμως κρατάτε μικρό καλάθι και μην περιμένετε να πάρετε ποτέ τα λεφτά σας πίσω.
 

Αν θέλετε να συμμετέχετε στις συζητήσεις χωρίς να χρησιμοποιήσετε λογαριασμό του disqus ή κοινωνικών δικτύων, μπορείτε να επιλέξετε να σχολιάσετε ανώνυμα ως επισκέπτης. Απλώς συμπληρώστε ένα οποιοδήποτε όνομα και ένα αληθοφανές email (πχ kanenas@gmail.com) και επιλέξτε το κουτάκι «I'd rather post as a guest».
Τα ανώνυμα σχόλια και όσα περιέρχουν links, απαιτούν επαλήθευση από κάποιον διαχειριστή πριν δημοσιευθούν. Για περισσότερα σχετικά με την πολιτική σχολιασμού της ιστοσελίδας, μπορείτε να διαβάσετε εδώ.

  • Ανώνυμος

    Enas filos eixe kolisei kryptolocker kai telika ekane format to panta