page_img

Jūsu faili ķīlā!

Kā strādā naudas izspiedēji, kuri uzlauzuši datoru vai mājaslapu?

Izspiedējprogrammas (angliski – ransomware) ir ļaunprātīgas programmatūras veids, kas šifrē upura failus, piemēram, mājaslapas datus un saturu. Pēc piekļūšanas datiem uzbrucējs pieprasa upurim izpirkuma maksu, lai pēc samaksas atjaunotu piekļuvi datiem. Izmaksas par atgūšanu var svārstīties no dažiem simtiem eiro līdz daudziem tūkstošiem, kas jāmaksā kibernoziedzniekiem Bitcoin vai kādā citā kriptovalūtā.

 

Šāda veida vīrusi Latvijā pēdējo divu gadu laikā bieži skāruši tieši mazos un vidējos uzņēmumus, kuriem trūkst informācijas un arī resursu kiberdraudu mazināšanai. Pie mums biežāk izplatītie ir tieši dharma saimes šifrējošie vīrusi, kas izplatās caur Microsoft Remote Desktop attālināto pieeju no publiskā interneta, ko aizsargā pārāk vāja parole.

Izspiedējvīrusu uzbrukumi pēdējā laikā kļūst arvien apjomīgāki un graujošāki, jo uzbrucēji lūkojas pēc lieliem mērķiem.


Kādā veidā izspiedēji uzlauž mājaslapas un piekļūst datiem?

Ir vairāki metodes, kā izspiedējprogrammas piekļūst datoram. Viena no izplatītākajām metodēm ir pikšķerēšanas surogātpasts – pielikumi, kas upurim nonāk e-pastā, maskējoties kā šķietami uzticams fails. Kad fails ir lejupielādēts un atvērts, tad uzbrucēji var iegūt kontroli pārņemt pār upura datoru. Dažas citas agresīvākas izspiedējprogrammu formas, piemēram, NotPetya, izmanto drošības caurumus, lai inficētu datorus, pat nemānot lietotājus.

 

Kādas iespējas rodas uzbrucējiem, kad izdevies uzlauzt datoru?


Visizplatītākā uzbrucēju darbība ir lietotāja failu šifrēšana jeb, vienkāršāk izsakoties, sabojāšana. Šifrētos failus vairs nevar atšifrēt bez matemātiskas atslēgas, kuru zina tikai uzbrucējs. Lietotājam pēc uzlaušanas tiek parādīts ziņojums, kurā paskaidrots, ka tagad viņa faili vairs nav pieejami un tiks atšifrēti tikai tad, ja upuris uzbrucējam nosūtīs neatsekojamu Bitcoin maksājumu.

Populārs uzbrucēju paņēmiens ir apgalvot, ka viņi pārstāv kādu tiesību aizsardzības aģentūru, kas cietēja datoru izslēdz pornogrāfijas vai pirātiskas programmatūras klātbūtnes dēļ un pieprasa samaksāt “naudas sodu”, iespējams, lai mazinātu cietušo nodomu  ziņot par uzbrukumu varas iestādēm.

Vēl viens populārs paņēmiem ir noplūdes programmatūras izmantošana (doxware), kad uzbrucējs draud publiskot slepenus datus upura cietajā diskā, ja vien netiek samaksāta izpirkuma maksa. Bet, tā kā šādas informācijas atrašana un iegūšana ir ļoti grūts uzdevums uzbrucējiem.


2. Kā izvairīties no izspiedējprogrammām, kas šifrē datus?

  1. Obligāti veidot datoru informācijas rezerves kopijas, glabāt tās atsevišķi no sistēmas, kas tiek kopēta. Tātad iesakām glabāt rezerves datus uz rezerves servera datu centrā (citā lokācijā), kā arī regulāri pārbaudīt, vai šīs kopijas ir izmantojamas;

  2. Paaugstināt servera drošības līmeni

  3. Pārskatīt tiesības rakstīt/dzēst koplietošanas mapēs (iekšējā tīkla mapes un ārējā interneta risinājuma tīkla mapes);

  4. Paaugstināt attālinātās piekļuves drošību datorsistēmā un administrēšanas rīkiem (piemēram, RDP un SSH). Taču ieteicams vispār nepubliskot RDP servisu internetā, atļaujot tam, piemēram, pieslēgties tikai caur korporatīvo VPN. Ja tehnisku iemeslu dēļ ir nepieciešams RDP serviss, kuram jābūt publiski pieejamam, labā prakse ir pasargāt lietotāju kontus ar viedkartēm (smartcards), nevis tikai parolēm, regulāri atjaunot RDP servisu, izmantot IPSEC (Network Level Authentication).

  5. Lejupielādēt savā datorā pretvīrusu programmu. Lejupielādējot un atjauninot pretvīrusu programmu, iespējams palīdzēt aizsargāt datoru pret lielāko daļu vīrusu. Pretvīrusu programmas meklē vīrusus, kas cenšas piekļūt e-pastam, operētājsistēmai vai failiem. Jauni vīrusi parādās katru dienu, tāpēc regulāri jāatjauno pretvīrusu programma. Dažas pretvīrusu programmas tiek pārdotas kā gada abonements, taču daudzas programmas ir pieejamas arī bez maksas;

  6. Neatvērt e-pasta ziņojumus no nepazīstamiem sūtītājiem vai nepazīstamus e-pasta pielikumus. Daudzi vīrusi ir pievienoti e-pasta ziņojumiem vai pielikumos un izplatās tiklīdz tiek atvērts e-pasta ziņojuma pielikums. Saņemot aizdomīga izskata, satura, valodas e-pastus, nekādā gadījumā nevajadzētu vērt vaļā tajos norādīto saiti vai pielikumu, bet gan pārliecināties par sūtītāja leģitimitāti. Der atcerēties, ka vīrusa sūtītājs ne vienmēr ir svešinieks. Piemēram, vīrusa “Emotet” gadījumā, tam nokļūstot upura iekārtā, vīruss mēģina pavairoties, izveidojot e-pasta adrešu sarakstu, ar ko inficētā datora lietotājs ir iepriekš sarakstījies, un izsūtot katram no šiem lietotājiem e-pastu ar inficētu pielikumu. Šādā veidā inficēto e-pastu saņēmēji redz e-pastu no kāda pazīstama cilvēka vai organizācijas, ar ko viņi tiešām iepriekš sarakstījušies, līdz ar to ir lielāka varbūtība, ka pielikums tiks atvērts.

  7. Dzēst sīkdatnes (cookies) un izvairīties no paroļu saglabāšanas/sinhronizēšanas, izmantojot publiskos datorus. Labā prakse ir neiet savā privātajā vai darba e-pastā no šādiem publiskajiem datoriem (t.sk. arī Dropbox un tamlīdzīgos servisos). Ja tomēr tas netiek ievērots, tad vajadzētu vismaz atcerēties iziet no minētajiem servisiem pēc sesijas beigām;

  8. Izmantot ugunsmūri.

IZMANTOTIE RISINĀJUMI