Επιθέσεις Ransomware και πώς να τις αντιμετωπίσετε

Στις μέρες μας, γίνονται πολλές συζητήσεις για το ransomware – το λογισμικό εκβίασης για απόσπαση λύτρων. Είναι εκπληκτικό το πόσο λίγοι άνθρωποι ξέρουν τι σημαίνει και τι θα τους συμβεί αν δεχτούν επίθεση.

Εδώ σας παρουσιάζουμε μια συνοπτική περιγραφή των μέτρων που μπορείτε να πάρετε για να προστατευτείτε και τι θα πρέπει να κάνετε αν συμβεί το χειρότερο.

Τι είναι το Ransomware;

Το ransomware είναι μια κατηγορία κακόβουλου λογισμικού το οποίο χρησιμοποιείται για να προσπαθήσει να αποσπάσει χρήματα από τα θύματά του– εκβιάζοντάς τα για καταβολή λύτρων. Τα περισσότερα από αυτά τα κακόβουλα προγράμματα έχουν σχεδιαστεί για να κάθονται σιωπηλά στο σύστημά σας και σιγά σιγά να κρυπτογραφούν τα αρχεία σας. Μόνο αφού τελειώσουν την κρυπτογράφηση θα σας παρουσιάσουν μια θανατηφόρα ειδοποίηση- είτε πληρώνετε ή χάνετε τα αρχεία σας για πάντα.

Κανένα σύστημα ασφαλείας δεν είναι αλάνθαστο. Το κακόβουλο λογισμικό συνήθως βρίσκεται ένα βήμα μπροστά σ’ αυτό το παιχνίδι. Αν, ή όταν, σας χτυπήσει, καλό θα ήταν να έχετε μερικές χρήσιμες οδηγίες για να σας βοηθήσουν:

Βήμα 1: Ελαχιστοποιήστε τη ζημιά

Πρώτα, απομονώστε το σύστημα που έχει δεχτεί την επίθεση, ειδικά αν είναι συνδεδεμένο στο δίκτυό σας, έτσι ώστε να αποτρέψετε και άλλα συστήματα από το να μολυνθούν.

Αν είστε διαχειριστής Ηλεκτρονικών Συστημάτων και οι διακομιστές σας έχουν μολυνθεί, αποσυνδέστε όλα τα καλώδια του Ethernet.

Μην προσπαθήσετε να κάνετε αντίγραφα ασφαλείας σε κάποιον εξωτερικό δίσκο. Μπορεί να νομίζετε ότι είναι καλή ιδέα να αποθηκεύσετε τα αρχεία που δεν έχουν ακόμα κρυπτογραφηθεί, αλλά μπορείτε έτσι να προξενήσετε την εξάπλωση του κακόβουλου λογισμικού. Όταν εισάγετε έναν δίσκο ή ένα USB σε έναν μολυσμένο υπολογιστή, το κακόβουλο λογισμικό μπορεί να αντιγράψει τον εαυτό του στον δίσκο που μόλις είχατε εισάγει.

Όταν αυτή η μονάδα δίσκου/ USB τοποθετηθεί σε κάποιον άλλο υπολογιστή, το κακόβουλο λογισμικό μπορεί να μολύνει και αυτό το σύστημα. Ή ακόμα χειρότερα, θα μπορούσε να καταλήξει στο να μολύνει ξανά το δικό σας σύστημα μετά από τις τόσες προσπάθειες που καταβάλατε για να το καθαρίσετε. Έτσι, το καλύτερο που έχετε να κάνετε είναι να απομονώσετε τον υπολογιστή που έχει δεχτεί επίθεση.

Βήμα 2: Αναγνωρίστε τον τύπο του ransomware

Υπάρχουν διάφοροι τύποι ransomware. Ως εκ τούτου, κάποιοι είναι πιο επικίνδυνοι και πιο δύσκολοι στην αντιμετώπιση από άλλους. Μπορείτε να χρησιμοποιήσετε διαφορετικές στρατηγικές για να απαλλαγείτε από αυτούς ανάλογα με τον τύπο και τα χαρακτηριστικά της επίθεσης. Τα πιο συνηθισμένα είδη ransomware εμπίπτουν στις ακόλουθες κατηγορίες:

1. Scareware/Fake Antivirus

Το Scareware, το οποίο είναι επίσης γνωστό ως Fake Antivirus, είναι μια κατηγορία κακόβουλου λογισμικού που κάνει τους χρήστες να πιστεύουν ότι κάτι δεν πάει καλά με το σύστημά τους.
Στη συνέχεια, θα πρέπει να αγοράσουν κάποιο άλλο λογισμικό για να το καθαρίσουν. Φυσικά, δεν υπάρχει κανένα πρόβλημα στον υπολογιστή τους και τις περισσότερες φορές, η αγορά κάποιου λογισμικού μπορεί να έχει ως αποτέλεσμα την πραγματική μόλυνση του συστήματός τους.
Στις περισσότερες περιπτώσεις, λειτουργεί με την εμφάνιση ενός αναδυόμενου μηνύματος που ανακοινώνει τα προβλήματα, όπως, για παράδειγμα, ότι βρέθηκε κάποιος ιός, ότι το σύστημα γίνεται πιο αργό, ή προβλήματα με το μητρώο τα οποία θα πρέπει να επιλυθούν. Οι ανακοινώσεις αυτές εμφανίζονται με μεγάλα έντονα γράμματα στο κέντρο της οθόνης και μπορεί επίσης να περιέχουν clickbait το οποίο ανακατευθύνει τον χρήστη στον ιστότοπο του κακόβουλου λογισμικού, ακόμα κι’ αν το αναδυόμενο παράθυρο έχει κλείσει. Δείτε εδώ μια εικόνα με ένα τέτοιο παράδειγμα:

To Scareware είναι πιθανόν το κακόβουλο λογισμικό που είναι το πιο εύκολο στην αντιμετώπιση. Απλά κλείνετε την καρτέλα του περιηγητή σας και το αναδυόμενο παράθυρο θα εξαφανιστεί. Αν εμφανίζονται αναδυόμενες οθόνες στο λειτουργικό σας σύστημα, ίσως χρειαστεί να εντοπίσετε το ένοχο εκτελέσιμο αρχείο χρησιμοποιώντας τον Task Manager ή ένα προηγμένο πρόγραμμα διερεύνησης της διαδικασίας. Στη συνέχεια μπορείτε απλά να το διαγράψετε ή να το απεγκαταστήσετε. Αν συνεχίσετε να έχετε προβλήματα, κάντε σκανάρισμα με ένα πρόγραμμα antivirus ή με ένα πρόγραμμα καταπολέμησης κακόβουλου λογισμικού.

2. Ransomware που κλειδώνει την οθόνη

Αυτή η κατηγορία ransomware δεν σας επιτρέπει να λειτουργήσετε τον υπολογιστή σας αν δεν πληρώσετε λύτρα. Στις περισσότερες περιπτώσεις, εμφανίζεται ένα παράθυρο σε μέγεθος πλήρους οθόνης με μια προειδοποίηση. Μπορεί να ισχυρίζεται ότι είναι από το FBI και αφορά το παράνομο κατέβασμα περιεχομένου από το διαδίκτυο. Σε άλλες περιπτώσεις, μπορεί να υπάρχει ως φόντο μια πορνογραφική εικόνα η οποία δεν μπορεί να αλλάξει. Σ’ αυτή την περίπτωση, ο εκβιασμός έχει ως στόχο να φέρει το θύμα σε πολύ δύσκολη θέση ώστε να αναγκαστεί να πληρώσει τα λύτρα. Τα πιο προηγμένα προγράμματα παρακολουθούν τη δραστηριότητα των χρηστών για λίγες ημέρες και εμφανίζουν μια εξατομικευμένη ειδοποίηση που φαίνεται πιο πιστευτή και πιο εκφοβιστική. Δείτε ένα παράδειγμα:

Αν έχετε μολυνθεί από ένα τέτοιο κακόβουλο λογισμικό, κατ’ αρχάς προσπαθήστε να εντοπίσετε το εκτελέσιμο αρχείο που το προκάλεσε. Στις περισσότερες περιπτώσεις, αν απλά πατήσετε CTRL + ALT + DEL θα μεταβείτε αυτόματα στο Task Manager για να μπορέσετε να κλείσετε το πρόγραμμα.

Ακόμα κι’ αν έχετε διαγράψει το εκτελέσιμο αρχείο, μια καλή ιδέα είναι να κάνετε μια πλήρη ανίχνευση με antivirus για να αφαιρέσετε τα όποια τυχόν ίχνη έχουν απομείνει. Αν όλα αυτά δεν λύσουν το πρόβλημα, μπορεί να χρειαστεί να επαναφέρετε τα Windows στην κατάσταση που ήταν πριν εμφανιστεί το κακόβουλο λογισμικό ή όταν ήταν σε λανθάνουσα κατάσταση.

3. Ransomware που κρυπτογραφεί αρχεία

Στην τελευταία και πιο επικίνδυνη κατηγορία ανήκουν εκείνα τα προγράμματα που κρυπτογραφούν όλα σας τα αρχεία ώστε να μην μπορείτε να τα χρησιμοποιήσετε με κανένα τρόπο αν δεν πληρώσετε λύτρα στους εκβιαστές. Συνήθως, το κακόβουλο λογισμικό μπαίνει στο σύστημα του θύματος και χωρίς να γίνει αντιληπτό αρχίζει να κρυπτογραφεί όλα τα αρχεία με αποτέλεσμα να είναι αδύνατον να χρησιμοποιηθούν.
Όταν τελειώσει η κρυπτογράφηση, οι εκβιαστές θα απαιτήσουν πληρωμή για να τα αποκρυπτογραφήσουν. Σήμερα, τα κρυπτονομίσματα, όπως το bitcoin και η ανωνυμία που παρέχουν είναι ένας εξαιρετικός τρόπος για να λάβουν οι εκβιαστές τα λύτρα που απαιτούν. Αυτή είναι η εικόνα που είδαν οι χρήστες που δέχτηκαν την επίθεση του κακόβουλου λογισμικού Wannacry:

Επίσης, καλό είναι να ξέρετε πώς ακριβώς λειτουργεί η κρυπτογράφηση. Αυτό μπορεί να σας βοηθήσει να έχετε κάποιες στοιχεία για το πώς μπορείτε να αποκρυπτογραφήσετε και να επαναφέρετε τα αρχεία σας.
Τα περισσότερα προγράμματα χρησιμοποιούν ένα συνδυασμό συμμετρικής και ασύμμετρης κρυπτογράφησης κατά την εκτέλεσή τους (κάντε κλικ εδώ για περισσότερες πληροφορίες για τους τύπους κρυπτογράφησης). Η συμμετρική κρυπτογράφηση είναι χρήσιμη επειδή επιτρέπει σ’ αυτόν που κάνει την επίθεση να κρυπτογραφεί αρχεία πολύ πιο γρήγορα απ’ ό,τι με την ασύμμετρη κρυπτογράφηση. Ωστόσο, με την ασύμμετρη κρυπτογράφηση αυτοί που κάνουν την επίθεση πρέπει να προστατέψουν μόνο ένα ιδιωτικό κλειδί. Διαφορετικά, θα πρέπει να διατηρούν και να προστατεύουν συμμετρικά κλειδιά για όλα τα θύματά τους.

Οι διακομιστές εντολών και ελέγχου C+C (Command and Control) χρησιμοποιούνται γενικά για την επικοινωνία προγραμμάτων. Να πώς το ransomware κρυπτογράφησης αρχείων χρησιμοποιεί τόσο συμμετρική όσο και ασύμμετρη κρυπτογράφηση για να πραγματοποιήσει μια επίθεση:

• Ένα ιδιωτικό- δημόσιο κλειδί δημιουργείται στην πλευρά του επιτιθέμενου χρησιμοποιώντας οποιονδήποτε από τους πολλούς διαθέσιμους ασύμμετρους αλγόριθμους κρυπτογράφησης, όπως ο RSA-256.
• Τα ιδιωτικά κλειδιά προστατεύονται από τον επιτιθέμενο, ενώ τα δημόσια ενσωματώνονται στο πρόγραμμα του ransomware.
• Το σύστημα ενός καινούργιου θύματος μολύνεται από το ransomware. Στέλνει τις πληροφορίες παράλληλα με το μοναδικό σύστημα αναγνώρισης (ID) ή το αναγνωριστικό του θύματος στον διακομιστή C + CIt.
• Χρησιμοποιώντας έναν από τους συμμετρικούς αλγόριθμους κρυπτογράφησης (π.χ. τον AES), ο διακομιστής δημιουργεί και στέλνει το συμμετρικό κλειδί ειδικά για το σύστημα του θύματος. Μετά, το συμμετρικό κλειδί κρυπτογραφείται χρησιμοποιώντας το ιδιωτικό κλειδί.
• Το πρόγραμμα ransomware χρησιμοποιεί το ενσωματωμένο δημόσιο κλειδί για να αποκρυπτογραφεί το συμμετρικό – και έτσι ξεκινάει να αποκρυπτογραφεί όλα τα αρχεία.

Τώρα που ξέρετε πώς ακριβώς λειτουργεί το ransomware, ας ρίξουμε μια ματιά στις επιλογές που έχετε όταν το σύστημά σας μολυνθεί:

Βήμα 3: Αποφασίστε για τη στρατηγική σας

Πιο πάνω αναφέραμε μεθόδους για την αφαίρεση των δύο κατηγοριών ransomware σχετικά εύκολα.

Τα προγράμματα κρυπτογράφησης αρχείων είναι τα πιο δύσκολα να αποκλειστούν. Κατ’ αρχάς, θα πρέπει να αναγνωρίσετε τον τύπο του κακόβουλου λογισμικού το οποίο πρέπει να αντιμετωπίσετε. Οι πληροφορίες μπορεί να είναι δυσεύρετες για τα πιο πρόσφατα προγράμματα αφού γράφονται καινούργια κάθε μέρα. Αλλά στις περισσότερες περιπτώσεις, θα τα καταφέρετε να το αναγνωρίσετε με λίγη έρευνα.

Προσπαθήστε να πάρετε στιγμιότυπα οθόνης από το σημείωμα που σας ζητούσε λύτρα και μετά χρησιμοποιώντας την εικόνα κάνετε αντίστροφη αναζήτηση για να αναγνωρίσετε τον ακριβή τύπο του ransomware. Μπορείτε επίσης να αναζητήσετε τις φράσεις έτσι όπως αυτές είναι γραμμένες στο σημείωμα.

Αποφασίστε αν θέλετε ή όχι να πληρώσετε τα λύτρα. Αν και δεν είναι σωστό να πληρώσετε τους κακοποιούς του διαδικτύου, αφού έτσι τους ενθαρρύνετε να συνεχίσουν, μερικές φορές τα δεδομένα σας μπορεί να είναι τόσο ευαίσθητα ή τόσο σημαντικά που να μην θέλετε να τα χάσετε για κανένα λόγο. Χρησιμοποιήστε την κρίση σας και την λογική σας και μην πληρώσετε αν αυτό δεν είναι απολύτως απαραίτητο.

Φυσικά, στην χειρότερη περίπτωση, θα πρέπει να ξέρετε ότι δεν υπάρχει καμία εγγύηση ότι θα ανακτήσετε τα δεδομένα σας ακόμα κι’ αν πληρώσετε.

Βήμα 4: Αναλάβετε δράση

Αν τα καταφέρετε να αναγνωρίσετε τις λεπτομέρειες του ransomware που έχει μολύνει τον υπολογιστή σας, θα μπορέσετε με λίγη έρευνα στο διαδίκτυο να βρείτε τρόπους για να το αφαιρέσετε. Ο κώδικας του κακόβουλου λογισμικού είναι πάντα αναποτελεσματικός. Ο προγραμματιστής μπορεί να έχει ξεχάσει να διαγράψει το κλειδί της κρυπτογράφησης από το πρόγραμμα που το ανακτά και αποκρυπτογραφεί τα αρχεία.

Αν το ransomware είναι αρκετά γνωστό και έχει αρκετά “παραθυράκια”, θα μπορέσετε να βρείτε στο διαδίκτυο τρόπους και οδηγίες για το πώς να το αφαιρέσετε. Γι’ αυτό επισκεφθείτε ιστότοπους, όπως ο nomoreransom.org.

Επειδή πολλά προγράμματα ransomware απλά διαγράφουν τα αρχικά αρχεία μετά την κρυπτογράφηση του αντιγράφου τους, μπορεί να καταφέρετε να τα ανακτήσετε χρησιμοποιώντας κάποιο λογισμικό αποκατάστασης αρχείων. Όταν διαγράφετε ένα αρχείο, στην πραγματικότητα δεν το διαγράφετε πραγματικά από τον δίσκο, εκτός και αν έχει αντικατασταθεί από άλλο αρχείο. Επομένως, η ανάκτηση σημαντικών δεδομένων είναι πιθανή με τη χρήση ενός δωρεάν λογισμικού ανάκτησης.

Αν τίποτα απ’ όλα αυτά δεν αποδειχτεί επιτυχές, τότε πρέπει να πάρετε τη μεγάλη απόφαση. Να πληρώσετε τα λύτρα ή να χάσετε τα δεδομένα σας. Αλλά φυσικά, ακόμη κι’ αν πληρώσετε, τίποτα δεν σας εγγυάται για τα δεδομένα σας. Μόνο εσείς μπορείτε να αποφασίσετε αν θα βασιστείτε στην καλή πίστη όσων κρύβονται πίσω από την επίθεση του ransomware.

Επίσης, θα μπορούσατε να προσπαθήσετε να διαπραγματευτείτε με αυτούς που σας έκαναν την επίθεση χρησιμοποιώντας τη διεύθυνση του email που θα βρείτε στο σημείωμα για τα λύτρα. Θα εκπλαγείτε με το πόσο συχνά επιτυγχάνει αυτός ο τρόπος.

Αν πάλι αποφασίσετε να μην πληρώσετε τα λύτρα, το επόμενο βήμα είναι να καθαρίσετε τον υπολογιστή σας, αλλά ΘΑ ΧΑΣΕΤΕ όλα σας τα δεδομένα για πάντα. Αν έχετε κάνει κάποιο backup σε έναν εξωτερικό δίσκο, ΜΗΝ τον συνδέσετε με τον υπολογιστή σας πριν βεβαιωθείτε ότι έχετε κάνει πλήρες format στον δίσκο του.

Ο καλύτερος τρόπος να καθαρίσετε το ransomware είναι να κάνετε format το δίσκο και να ξαναπεράσετε το λειτουργικό εξ αρχής. Αν πάλι δεν θέλετε να λάβετε τόσο δραστικά μέτρα, σιγουρευτείτε ότι το ransomware δεν έχει επηρεάσει το boot sector. Θα βρείτε πληροφορίες γι’ αυτό στο διαδίκτυο.

Στη συνέχεια, ενημερώστε το antivirus που έχετε και κάνετε ένα πλήρες σκανάρισμα του συστήματός σας. Επίσης, είναι καλή ιδέα να συμπληρώσετε το antivirus με ένα πρόγραμμα anti-malware για πλήρη προστασία. Αυτό θα αφαιρέσει το ransomware δια παντός.

Βήμα 5: Συνοπτικά

Τώρα που έχετε απαλλαγεί από το ransomware, έχει έλθει η ώρα να εντοπίσετε κατ’ αρχάς το λόγο που δεχθήκατε αυτή την επίθεση. Όπως είχε πει κάποτε ένας σοφός: “η πρόληψη είναι καλύτερη από την θεραπεία” και αυτό ισχύει περισσότερο από οτιδήποτε άλλο για την ασφάλεια στο διαδίκτυο. Μια άμυνα μπορεί να είναι τόσο ισχυρή όσο και ο χρήστης που την εφαρμόζει επειδή όταν υπάρχει η κατάλληλη προστασία, είναι δύσκολο να σας επιτεθεί οποιοδήποτε κακόβουλο λογισμικό.

Να είστε πάντα σε εγρήγορση και να έχετε πάντα υπόψη σας τα εξής σημεία:

1. Να έχετε πάντα ενημερωμένο antivirus
2. Να ελέγχετε πάντα τη διεύθυνση URL του ιστότοπου που επισκέπτεστε.
3. Μην τρέχετε αναξιόπιστα προγράμματα στο σύστημά σας. Επίσης, πράγματα όπως σπασμένα προγράμματα, σειριακοί αριθμοί, patches κλπ. είναι οι πιο συνηθισμένες πηγές για κακόβουλο λογισμικό.
4. Μην επιτρέπετε σε αναξιόπιστους ιστότοπους να τρέξουν εκτελέσιμο περιεχόμενο στον περιηγητή σας.
5. Να έχετε πάντα ενημερωμένο το Λειτουργικό σας Σύστημα. Το κακόβουλο λογισμικό, συμπεριλαμβανομένου και του ransomware, συχνά εξαπλώνεται μέσα από μη διορθωμένα κενά ασφαλείας στα πιο παλιά λειτουργικά συστήματα. Ένα χακάρισμα, για παράδειγμα, μπορεί να εκμεταλλευτεί ένα σφάλμα στο λογισμικό RDP των Windows για να αποκτήσει πρόσβαση στο σύστημα που συνδέεται δημόσια στο διαδίκτυο ώστε να εκτελέσει κάποιο κακόβουλο λογισμικό.

Πηγή: el.vpnmentor.com