Nacionalni CERT

Ransomware

Ransomware je naziv za skup malicioznih programa koji korisniku onemogućuju korištenje računala. Nakon zaraze ransomware može kriptirati datoteke ili onemogućiti korištenje na način da se pojavi početni ekran s određenom porukom koju nije moguće maknuti. Od korisnika čije je računalo zaraženo traži se otkupnina u zamjenu za daljnje normalno korištenje računala. U zadnje vrijeme sve je više slučajeva u kojem se pojavljuje prvi navedeni slučaj u kojem malver kriptira korisničke podatke i u zamjenu za njihovo dekriptiranje traži uplatu određenih novčanih sredstava (tzv. crypto ransomware). 

 

Prevencija

Kako bi poboljšali sigurnost svog računala, te istovremeno smanjili mogućnost zaraze nekom od verzija ransomwarea preporučamo sljedeće akcije:

  • redovno ažuriranje operacijskog sustava
  • redovno ažuriranje aplikacija instaliranih na računalu
  • ne otvarajte poveznice u mailu koje dobijete od sumnjivih izvora
  • instalacija antivirusnog alata i njegovo redovno ažuriranje
  • preventivna instalacija nekog od anti-ransomware alata (CryptoPrevent, CryptoMonitor)
  • ne otvarajte razne reklamne poruke na portalima (preporuka instalacije dodatka za preglednik koji onemogućava prikaz reklama, npr. AdBlock Plus)
  • periodičko kreiranje točke vraćanja (Restore point) 
  • periodičko kreiranje sigurnosne kopije (Backup) i njezina pohrana na eksterni disk ili server. U slučaju pohrane na eksterni disk odmah nakon pohrane potrebno je od spojiti disk s računala, jer u slučaju zaraze, većina ransomwarea kriptira sve detektirane diskove

Najučinkovitiji način obrane od ransomwarea je periodičko kreiranje sigurnosnih kopija datoteka (Backup). Upute za izradu istih se nalaze u drugom dijelu ovog teksta.

 

Spašavanje već kriptiranih datoteka

U slučaju da su vaši podatci već kriptirani, mala je vjerojatnost da će te dobiti vaše podatke nazad (ukoliko već nemate backup na posebnom disku).

Uspješnost vraćanja datoteka ovisi o dvije činjenice:

  1.  Je li na računalu bila omogućena „System Restore“ opcija prije zaraze

  2.  Verzija ransomwarea kojom je računalo zaraženo

Jedna od glavnih metoda na koju se možemo osloniti prilikom pokušaja vraćanja originalnih datoteka je vraćanje sigurnosnih kopija datoteka (Shadow Volume copy). U slučaju da je System Restore omogućen na računalu, prilikom svakog kreiranja točke vraćanja, automatski se napravi sigurnosna kopija datoteka. Iako većina novijih verzija ransomwarea briše i te kopije sa računala, postoji vjerojatnost da se taj proces nije izvršio te je moguć proces vraćanje datoteka na njihovu prethodnu ne kriptiranu verziju.

Vraćanje datoteka na njihovu prethodnu verziju je najlakše obaviti pomoću programa ShadowExplorer. Nakon instalacije i pokretanja programa dobije se sučelje u kojem je potrebno izabrati disk s kojeg želimo vratiti prethodnu verziju određene datoteke, datum i vrijeme sigurnosne kopije datoteke i naravno datoteku.

 

U slučaju uspješnog lociranja datoteke potrebno je desnim klikom na nju izabrati opciju „Export“ te je spremiti na lokaciju po izboru.

 

Vraćanje datoteka pomoću opcije „Previous Versions“

Potrebno je napomenuti da starije verzije Windowsa (npr. Windows XP) ne podržavaju program ShadowExplorer. U tom slučaju moguće je iskoristi mogućnost vraćanja pojedinih datoteka na starije verzije u svojstvima istih. Desnim klikom na konkretan file i odabirom opcije „Properties“ dobivamo postavke. Klikom na kraticu „Previous Versions“ moguće je vidjeti sve prethodne verzije datoteke. 

Prethodne verzije je moguće vidjeti u slučaju da je prije nego što je datoteka promijenjena, napravljena jedna ili više točki vraćanja sustava. Označavanjem verzije datoteke na koju želimo vratiti datoteku, te klikom na „Restore“ otvara se dodatni prozor koji zahtjeva potvrdu za akciju vraćanja. Nakon dodatne potvrde datoteka je vraćena na odabranu prethodnu verziju.

 

Vraćanje datoteka pomoću programa za vraćanje izbrisanih datoteka

Druga metoda na koju se možemo osloniti temelji se na činjenici da neki ransomwarei kriptiraju podatke, te potom pobrišu originalne ne kriptirane verzije. Pomoću programa za vraćanje pobrisanih datoteka moguće je vratiti originalne podatke. Ovu metodu vraćanja podataka preporučamo da obavite prvu od svih mogućih akcija iz razloga što svakim daljnjim radom na računalu (preuzimanjem i instalacijom programa) smanjujemo vjerojatnost uspješnog vraćanja pobrisanih datoteka.

Na primjeru programa Disk Drill demonstrirat ćemo metodu vraćanja pobrisanih datoteka.

Program je potrebno preuzeti i instalirati. Prilikom pokretanja dobiva se sučelje u kojem je potrebno izabrati disk/particiju s koje želimo pokušati vratiti, pokraj Recover opcije kliknuti na strijelicu prema dolje i izabrati opciju  „Quick Scan“ ili „Deep scan“. Za početak možete izabrati „Quick scan“ koji traje kraće, te u slučaju da ne uspijete naći traženu datoteku možete pokušati ponovo s „Deep Scan“.

Nakon uspješnog završetka skeniranja potrebno je pronaći datoteke koje želimo vratiti, označiti ih i kliknuti na „Recover“ koji se nalazi u gornjem desnom uglu. U gornjem lijevom uglu moguće je postaviti i lokaciju na koju želimo vratiti datoteke.

 

Ukoliko nijedna od opisanih metoda ne urodi plodom ostaje vam jedino opcija da detektirate s kojom verzijom ransomwarea ste zaraženi i pokušate pronaći odgovarajući program koji će dekriptirati datoteke na vašom računalu. Za neke starije verzije ransomwarea otkriveni su algoritmi (ključevi) za dekriptiranje podataka: CoinVault i Bitcryptor, CryptoDefense, TeslaCrypt i AlphaCrypt, FBIRansomware,  Locker, PCLock2, Operation Global 3, TorrentLocker.

Trend Micro je kreirao alat za dekriptiranje datoteka kriptiranih ransomwareom naziva Trend Micro Ransomware File Decryptor. Alat u sebi sadrži dosad poznate algoritme za dekripciju datoteka, a jedna od specijalnosti je i automatsko prepoznavanje algoritma enkripcije, odnosno ransomwarea s kojim ste zaraženi. Više informacija o alatu je moguće dobiti posjetom stranici.

Većina mogućih rješenja za novije verzije ransomwarea za koji nisu otkriveni načini dekripcije svodi na prethodno opisane metode. Bitno je napomenuti da i u slučaju plaćanja otkupnine nije sigurno da će te dobiti vaše podatke nazad. I za kraj, ako ni na jedan način ne uspijete doći do vaših podataka ostaje vam opcija kreiranja kopije diska i njezina pohrana u slučaju da se u skoroj budućnosti otkrije način za dekriptiranje datoteka. 

 

U slučaju da ste vaše računalo nije zaraženo ransomwareom preporučamo izradu sigurnosne kopije, jedinog rješenja koje vam u 100% slučajeva omogućuje vraćanje kriptiranih datoteka u slučaju zaraze. 

 

Kreiranje sigurnosne kopije datoteka – Backup

Na primjeru programa EaseUs Todo Backup Free objasnit ćemo kako se na brz i lak način možemo zaštiti od ove rastuće prijetnje. Za početak je potrebno preuzeti program klikom ovdje.

 

Izrada sigurnosne kopije određenog skupa datoteka

Program nudi nekoliko vrsta sigurnosnih kopija, od kojih ćemo za početak prikazati način izrade sigurnosne kopije određenog skupa datoteka. Možemo reći da je najoptimiziranija jer se ne radi backup cijelog sustava, čime se štedi vrijeme potrebno za izradu sigurnosne kopije, kao i prostor za njezinu pohranu. Prvi korak je definirati podatke koje je potrebno sačuvati. Na primjeru su izabrane sve datoteke s Desktopa. Klikom na „Proceed“ pokrećemo izradu sigurnosne kopije podataka. U polju „Destination“ je moguće postaviti lokaciju na koju želimo da se sigurnosna kopija spremi.

 

Nakon izvršenog procesa izrade sigurnosne kopije ista se sprema na lokaciji: C:\My Backups u odgovarajući direktorij.

Sljedeći korak je kopiranje izrađene sigurnosne kopije na vanjski server ili prijenosni medij.

BITNO!!! Nakon izrade i kopiranja sigurnosne kopije na vanjski medij, potrebno je isti od spojiti od računala jer u slučaju zaraze ransomware kriptira sve podatke na svim diskovima (uključujući i prijenosni).

 

Vraćanje datoteka iz sigurnosne kopije određenog skupa datoteka

U slučaju da je potrebno vratiti datoteke potrebno je priključiti prijenosni medij u računalo te  desnim klikom na sigurnosnu kopiju odabrati želimo li vratiti datoteke na njihovu originalnu lokaciju ili neku drugu.rans1

Izrada sigurnosne kopije sustava

Druga opcija kod izrade sigurnosnih kopija podataka je izrada sigurnosne kopije sustava koja uključuje sigurnosnu pohrana podataka sa svih particija potrebnih za ponovno pokretanje operacijskog sustava. U slučaju vraćanja podataka nije potrebno čišćenje računala od malvera i vraćanje osobnih podataka. Sigurnosna kopija u sebi sadrži čistu verziju operacijskog sustava skupa sa svim osobnim podatcima koji su se nalazili na sistemskim particijama u trenutku izrade sigurnosne kopije. Ova opcija je zahtjevnija, kako vremenski tako i po pitanju prostora potrebnog za njezinu pohranu. Za njezinu izradu potreban vam je eksterni disk s dovoljno slobodnog prostora (potrebno je spremiti cijeli operacijski sustav skupa s osobnim podatcima korisnika). Prvi korak pri izradi sigurnosne kopije sustava je izbor “System Backup” na početnom zaslonu programa, te odabir postavki (lokacija, stupanj kompresije, prioritet) na novo otvorenom zaslonu. Preporučamo da ostavite sve na pretpostavljenim vrijednostima I pokrenete proces izrade sigurnosne kopije klikom na “Proceed”.

  

Nakon izrade sigurnosne kopije ista se pohranjuje na lokaciju izabranu u prethodnom koraku, u našem slučaju je to: C:\My backups.  Kopiju je potrebno pohraniti na vanjski disk te disk odspojiti od računala.

 

Vraćanje sustava pomoću izrađene sigurnosne kopije

U slučaju zaraze ransomwareom moguće je vratiti sustav i sve podatke na njemu pomoću izrađene sigurnosne kopije.


Prvo je potrebno odabrati opciju „Browse to Recover“, a potom odabrati sigurnosnu kopiju koju želimo vratiti na sustav.

 

 

Program automatski prepozna koje se particije nalaze na sigurnosnoj kopiji, stoga je u ovom koraku samo potrebno kliknuti "Next". 

 

Sljedeći korak je odabir particija na koju želimo vratiti našu sigurnosnu kopiju, potrebno je izabrati cijeli Hard disk 0 u našem slučaju. Moguće je da vaše računalo ima više tvrdih diskova u sebi, ili više particija, u tom slučaju potrebno je izabrati particiju na kojoj se nalazi operacijski sustav te particiju rezerviranu od strane operacijskog sustava (System Reserved). Klikom na „Proceed“ otvara se novi prozor u kojem je moguće vidjeti proces izrade sigurnosne kopije. U jednom trenutku prikazat će se obavijest kako je potrebno ponovno pokrenuti vaše računalo. Potrebno je kliknuti na „Reboot“. Prilikom ponovnog paljenja računala ne pokreće se operacijski sustav. Umjesto njega dobije se zaslon programa za vraćanje. Naime nije moguće napraviti vraćanje operacijskog sustava dok je isti pokrenut. To i je i razlog zašto smo trebali napraviti ponovno pokretanje. Kako je napravljeno ponovno pokretanje sustava, program nije zapamtio prethodne odabire, stoga je potrebno ponoviti i zadnja tri koraka. Na ekranu se prikazuje novi zaslon koji prikazuje tijek vraćanja.

Nakon završetka procesa sustav je vraćen na stanje kao kad je napravljena sigurnosna kopija. Klikom na zatvaranje prozora ponovno se pokreće sustav sa svim našim podatcima i bez ransomwarea na njemu.