Забележка:
Нашите мнения

vpnMentor съдържа написани от рецензенти от нашата общност отзиви, които са базирани на направеното от последните независимo и професионалнo проучване на продуктите/услугите.

• Собственост

vpnMentor е собственост на Kape Technologies PLC, която притежава следните продукти: CyberGhost, ZenMate, Private Internet Access и Intego, отзиви за които могат да бъдат публикувани на този уебсайт.

• Партньорски комисиони

Докато vpnMentor може да получава комисионни, при покупка през някоя от нашите връзки, това не оказва влияние върху съдържанието на прегледите или върху рецензираните продукти/услуги. Предоставяме директни връзки за закупуване на продукти, които са част от партньорски програми.

• Насоки за прегледите

Отзивите, публикувани на vpnMentor, са написани от експерти, които проучват продуктите съгласно строгите ни стандарти за преглед. Тези стандарти гарантират, че всеки преглед се основава на независимия, професионален и честен преглед на рецензента и отчита техническите възможности и качества на продукта, заедно с търговската му стойност за потребителите, което може също да повлияе на класирането на продукта на уебсайта.

Ransomware атаки и как да се справяме с тях

Съдържание

Ransomware често се споменава в новините днес. Изненадващо е колко малко хора знаят какво означава това и какво ги очаква, ако бъдат атакувани.

Тук можете да разгледате мерките, които можете да предприемете, за да се предпазите и какво да направите, ако се случи най-лошото.

Какво е Ransomware?

Ransomware е категория зловреден софтуер, използвана с цел измъкване на пари от жертвите му – като ги принуждава да плащат откуп. Повечето програми от този тип са предназначени да се загнездят тихо във вашата система и бавно да криптират файловете ви. Само че след като приключат с криптирането, те извеждат стряскащо предупреждение пред очите ви – или да платите или да загубите файловете си завинаги.

Никоя система за сигурност не е непогрешима. Зловредният софтуер е винаги една крачка напред в играта. Ако и когато попаднете в капана му, ето някои полезни насоки, които ще ви помогнат:

Стъпка 1: Минимизирайте пораженията

Първо, изолирайте засегнатата система, особено ако е свързана към вашата мрежа, за да предотвратите заразяването на други системи.

Ако сте IT администратор и сървърите ви са заразени, разкачете всички Ethernet кабели.

Не се опитвайте да архивирате, като копирате файлове на външен диск. Може да мислите, че е добра идея да запазите файлове, които все още не са криптирани, но така може да разпространите зловредния софтуер. Когато поставите диск/USB в заразения компютър, зловредният софтуер може да се копира отново на новоинсталираното устройство.

Когато този диск/USB се свърже към друг компютър, зловредният софтуер може да зарази и него. Или най-лошото – може да се окажете с повторно заразяване на собствената си система, след като сте положили всички усилия да я изчистите. Така че, най-добре е просто да поставите засегнатия компютър под карантина.

Стъпка 2: Определете типа ransomware

Има различни видове ransomware, някои по-опасни и трудни за справяне с тях от други. Можете да използвате различни стратегии, за да се отървете от тях в зависимост от вида и характеристиките на атаката. Най-често срещаните видове попадат в следните категории:

  1. Scareware/фалшив антивирус
    Scareware, известен също като фалшив антивирус, е категория злонамерен софтуер, който подвежда потребителите да вярват, че има нещо нередно в тяхната система.
    След това те трябва да закупят друг софтуер, за да го изчистят. Разбира се, всичко е наред с компютъра и в повечето случаи, това приключва със закупуване на допълнителен софтуер, отколкото с истинска инфекция.
    Най-често фалшивата антивирусна програма действа, като показва изскачащо съобщение с удебелен черен шрифт в средата на екрана, обявявайки наличен проблем, който може да е засечен вирус, забавяне на системата или проблем с регистрите. То може също така да съдържа подканящи към клик връзки, които пренасочват потребителя към уеб сайта на зловредния софтуер, дори и когато изскачащият прозорец е затворен. Ето едно изображение на такова съобщение:

    Scareware е може би най-лесната от всички злонамерени програми, с които можете да се справите. Просто затворете съответния таб на браузъра си и изскачащото меню ще изчезне. Ако получавате изскачащи екрани в операционната си система, може да се наложи да идентифицирате пакостния изпълним файл, като използвате Task Manager или разширен мениджър на процесите. След това просто го изтрийте или деинсталирайте. Ако все още имате проблеми, сканирайте с антивирусна програма или програма за откриване и премахване на зловреден софтуер.
  2. Ransomware, който заключва екрана
    Тази категория ransomware не ви позволява да стартирате компютъра си, докато не платите искания откуп. В повечето случаи на цял екран се появява прозорец с предупредително известие. То може да твърди, че е изпратено от ФБР, предвид незаконно изтегляне на съдържание онлайн. В други случаи, като тапет на екрана се поставя порнографска снимка, която не може да бъде подменена. В този случай се разчита на това, че от страх да не бъде дискредитирана, жертвата ще е готова да плати. По-напредналите програми проследяват потребителската активност в продължение на няколко дни и показват персонализирано известие, което го прави по-правдоподобно и смущаващо. Ето един пример:
    Ако сте заразени с някой от тези ransomware, опитайте се да откриете изпълнимия файл, който първоначално го е задействал. В повечето случаи, с помощта на клавишната комбинация CTRL + ALT + DEL, която ще ви отведе до диспечера на задачите, програмата може да бъде затворена.
    Дори и след като изтриете изпълнимия файл, е добре да направите пълно антивирусно сканиране, за да премахнете всички останали следи. Ако тези варианти не сработят, може да се наложи да върнете Windows към по-стара дата, до състояние, в което зловредният софтуер не е бил там или е бил в латентно състояние.
  3. Ransomware, който криптира файлове
    Последната и най-опасната категория са тези програми, които криптират всичките ви файлове и ги правят неизползваеми, освен ако не платите откуп на изнудвачите. Обикновено те ще влязат в системата на жертвата и тихо ще започнат да криптират всички файлове, правейки ги напълно неизползваеми.
    След като приключат, ще поискат плащане, за да ги декриптират. В днешно време криптовалутите като bitcoin и анонимността, която те предоставят, са чудесен начин за нападателите да получат плащане. Това е изображението, което са видели потребителите атакувани от Wannacry:

    Може би също така си струва да разберете точно как функционира криптирането. Това може да ви помогне да се досетите как можете да декриптирате файловете си обратно.
    Повечето програми използват комбинация от симетрично и асиметрично криптиране, когато се изпълняват (кликнете тук за повече информация относно типовете криптиране). Симетричното криптиране е полезно, защото позволява на атакуващия да криптира файлове по-бързо от асиметричното. Асиметричното криптиране обаче означава, че нападателите трябва да защитават само един частен ключ. В противен случай те ще трябва да поддържат и защитават симетрични ключове за всички жертви.

Сървърите за управление и контрол (C&C) обикновено се използват за програмна комуникация. Ето как криптиращия файлове ransomware използва симетрично и асиметрично криптиране за провеждане на атака:    

  • От страната на атакуващия се генерира частен-публичен ключ, с помощта на който и да е от многото налични асиметрични алгоритми за криптиране, като например RSA-256.
  • Частните ключове са защитени от нападателя, докато публичните такива са вградени в програмата ransomware.
  • Новата система на жертвата се инфектира с ransomware. Той изпраща информацията заедно с уникалния идентификационен номер на системата или самоличността на жертвата към C&C сървъра.
  • Използвайки един от симетричните алгоритми за шифроване (например AES), сървърът генерира и изпраща симетричния ключ, специално за системата на конкретната жертва. След което симетричният ключ се криптира с помощта на частния ключ.
  • Ransomware програмата използва вградения публичен ключ, за да дешифрира симетричния – след това започва да криптира всички файлове.

Сега, след като знаете как точно функционира ransomware, нека разгледаме какви възможности имате, ако вашата система бъде заразена.

Стъпка 3: D Изберете стратегия

По-горе обсъдихме относително лесни методи за премахване на първите две категории ransomware.

Програмите за криптиране на файлове са по-трудни за изключване. Първо, ще трябва да определите типа на зловредния софтуер, с който си имате работа. Информацията за най-новите програми може да е оскъдна, тъй като такива се пишат всеки ден. Но в повечето случаи би трябвало да можете да я идентифицирате, след кратко проучване.

Опитайте се да направите екранни снимки на бележката за откуп и след това направете обратно търсене на изображенията, за да определите точния тип ransomware. Можете също така да търсите фразите, използвани в текста на бележката.

Решете дали искате да платите откупа. Въпреки че не се препоръчва да плащате на изнудвачите, тъй като това само ги насърчава допълнително, понякога вашите данни са твърде важни, за да можете да си позволите да ги загубите. Използвайте преценката си и не плащайте, освен ако не е абсолютно необходимо.

В най-лошият възможен случай, разбира се, трябва да имате предвид, че няма гаранция, че ще получите обратно данните си, дори след като сте платили.

Стъпка 4: Предприемете конкретни действия

Ако можете да идентифицирате подробности за ransomware, който е заразил компютъра ви, потърсете начини да го премахнете с търсене в мрежата. Кодът на зловредния софтуер във всички случаи е нескопосно написан. Възможно е разработчикът да е забравил да изтрие криптиращия ключ от програмата, която го извлича и декриптира файловете.

Ако конкретната ransomware програма е достатъчно известна и има някои вратички, би трябвало да успеете да намерите уроци и ръководства онлайн как да я премахнете, на сайтове като nomoreransom.org.

Тъй като много ransomware програми просто изтриват оригиналните файлове след като криптират своето копие, възможно е да ги възстановите, като използвате софтуер за възстановяване на данни. Когато изтриете файл, той всъщност не се изтрива физически от диска, освен ако не е презаписан/препокрит от друг. Поради това трябва да е възможно да се възстановят важни данни, като се използва безплатен софтуер за възстановяване.

Ако никой от тези методи не е успешен, трябва да се вземе решение. Да платите откупа или да загубите данните си. Разбира се, дори и да платите, възстановяването на данните ви не е гарантирано. Това е само призив за преценка, при която разчитате изцяло на думата на нападателите.

Също така можете да се опитате да преговаряте с нападателите, като използвате имейл адреса, посочен в бележката за откуп. Ще останете изненадани колко често това работи.

Ако все пак решите да не плащате откупа, следващата стъпка е да изчистите компютъра си, но с ясното съзнание, че ще загубите данните си завинаги. Ако имате резервно копие на външен носител, НЕ свързвайте последния с компютъра си, преди да форматирате докрай дисковете му.

Най-сигурният начин за изчистване на ransomware е да форматирате твърдия си диск, на който е операционната ви система. Ако не искате да предприемете такава драстична стъпка, уверете се, че ransomware не е заразил зареждащия сектор. Ще намерите информация за това в Интернет.

След това обновете антивирусната си програма и извършете пълно дълбоко сканиране на системата си. Също така е добра идея да окомплектовате антивирусната си програма с приложение за откриване и деактивиране на зловреден софтуер, за пълна защита. Това би трябвало да премахне ransomware завинаги.

Стъпка 5: Разследвайте

Сега, след като вече сте се отървали от ransomware, е време да разберете защо изобщо сте станали жертва на атака. Както е казал един мъдрец: „Превенцията е по-добра от лечението“ и това се отнася за онлайн сигурността повече от всичко друго. Защитата е толкова надеждна, колкото е надежден потребителят, и с подходящите защитни средства, за един зловреден софтуер ще е много трудно да атакува.

Бъдете бдителни и следвайте тези насоки:

  1. Винаги поддържайте антивирусната си програма обновена до последната ѝ версия.
  2. Винаги проверявайте URL адреса на уеб сайта, който посещавате.
  3. Не изпълнявайте ненадеждни програми на компютъра си. Неща като пукнатини, серийни номера, кръпки и т.н. са най-често срещаните източници на зловреден софтуер.
  4. Не допускайте ненадеждни сайтове да задействат изпълнимо съдържание в браузъра ви.
  5. Поддържайте операционната си система обновена. Зловредният софтуер, включително ransomware, често се разпространява през незакърпени дупки в сигурността в по-старите версии на операционните системи. Един хак например, може да използва грешка в софтуера на Windows RDP, за да получи достъп до системата, свързана публично към интернет и да изпълни зловредния софтуер.

За автора

Харш Мория е ентусиаст на тема технологии, който е допринесъл за общественото благо с множество безплатни и с отворен код инструменти. В свободното си време той обича също да разпространява информация за мрежовата сигурност и е автор на книгата "Как да се защитите от хакване".

Хареса ли ви тази статия? Оценете я!
Не ми хареса Не ми хареса особено Става Добра е! Страхотна!
Оценена от потребителя
Благодарим Ви за обратната връзка.
Коментар Коментарът трябва да е с дължина от 5 до 2500 знака.