Ransomware

Sadržaj

  1. Uvod
  2. Identifikacija virusa
  3. Izvor virusa
  4. Brisanje virusa
  5. Povraćaj podataka
  6. Reinstalacija sistema
  7. Saveti
  8. Zaključak
  9. Zahvalnice

Uvod

Ulazeći dublje u oblast kao što je sajber bezbednost, nisam ni mogao zamisliti šta će me sve čekati, šta ću sve morati da učim i sa čime ću se sve susretati. U početku me je više zanimalo izučavanje same teorije sajber bezbednosti i širenja informacija i saveta za zaštitu, nego zalaženje dublje u tu oblast, učenje pentestinga (penetracijsko testiranje). Postoji mnogo različitih pretnji na Internetu, od spam poruka, virusa, trojanaca, phishing-a, ransomware-a, itd. Black hat hakeri su osobe koje vrše različite bezbednosne napade na tuđe sajtove, servere, kompjutere i druge uređaje sa ciljem da ukradu određene ili sve podatke hakovane osobe, iznude novac od nje, zaraze im uređaj virusom ili izvrše bilo kakvu sličnu ilegalnu radnju. Tako je i slučaj sa ransomware virusom za koji sam mislio da kao i većina stvari na ovom svetu zaobilazi ovu banana državu u svakom pogledu, međutim pogrešio sam. Međutim ispostavilo se da je situacija u Srbiji kada se radi o ransomware-u veoma kritična. Ukratko o ransomware-u, to je virus koji kada se ubaci na vaš računar, polako počinje da radi u pozadini, menjajući ekstenzije fajlova i zaključava ih. Kada završi sa svim fajlovima koje je pronašao, izbaciće vam na ekranu poruku kako su vaši fajlovani enkriptovani (zaključani) i ukoliko želite da ih dobijete nazad, morate platiti određenu sumu novca. Naravno niko vam ne garantuje da će vam zaista otključati podatke ukoliko im platite.

Više o ransomware virusu možete pročitati na sledećim linkovima

  1. Upoznajte zajebane viruse - Ransomware Malware
  2. Hakerski napad na domaću firmu virusom ransomware - prvi deo
  3. Hakerski napad na domaću firmu virusom ransomware - drugi deo

Ovaj tekst je moje prvo susretanje sa ovim virusom (na moju sreću nije moj laptop zaražen) te ću opisati sve kroz šta sam prošao sa ciljem da spasim podatke i očistim laptop od virusa. S obzirom da nisam detaljno upoznat sa tehnikama i nekim super alatima koje profesionalci koriste za skidanje virusa i bezbednost, ne zamerite mi ako je nešto moglo drugačije da se odradi, lakše, brže, bolje, pametnije, itd. Kako ne želim da otkrivam pravi identitet osobe čiji se laptop zarazio, zvaću je jednostavno Džon.

Identifikacija virusa

Identifikacija virusa može biti značajna stvar. Kako postoji mnogo vrsta, mogu se raspodeliti u određene grupe od kojih svaka grupa ima svoj način za njihovo brisanje. Kada se radi o ransomware-u, lako možete saznati da li ste zaraženi. Promeniće vam se pozadina ekrana sa tekstom u kojem će (u najčešćem slučaju) pisati ime ransomware-a, šta vam se dogodilo sa podacima, koliko morate platiti da biste ih otključali i slične informacije. Džon se zarazio CryptoLocker virusom, ili barem nekom njegovom novijom verzijom, s obzirom da je navodno originalni CryptoLocker “ugašen” i svi današnji koji se tako predstavljaju su samo njegove kopije sa dodatnim modifikacijama. Sve u svemu, Džon je u velikom problemu, pošto CryptoLocker spada u jedne od baš zeznutih ransomware-a.

Izvor virusa

Veoma je bitno otkriti odakle je sve počelo da se širi, šta je prouzrokovalo da dođe do ovoga. Postoji mnogo načina zaraziti se nekim virusom ali najčešći su skidanjem piratskog softvera sa neproverenih sajtova i od neproverenih članova, otvaranje spam dokumenta (phishing) i gledanje onlajn filmova i serija. Zašto je bitno saznati izvor virusa? Zato što nije svaki virus isti, i zato što neće svaki virus koji skinete da se automatski proširi po celom kompjuteru, a samim saznanjem izvora virusa, možete započeti skeniranje tog foldera ili tog zaraženog fajla antivirusom u nadi da ćete ga obrisati. Džon mi je rekao da je pokušavao da skine sa Interneta Adobe Photoshop te ga je pronašao na nekoliko različitih sajtova, ali mi je i rekao da jedan koji je pokušao pokrenuti nije radio, pa je samim tim Džon pretpostavljao da je izvor virusa upravo Photoshop. Džon je bio u pravu.

Džonu se slika sa objašnjenjem da su mu podaci zaključani pojavila samo par dana nakon instalacije Photoshop-a. Otvorio sam folder u kome se sačuvala preuzeta instalacija Photoshop-a i primetio da su skoro svi fajlovi u tom folderu bili modifikovani samo dan nakon instalacije. Virus je počeo da enkriptuje podatke u 23:29 i nakon samo 2 minuta, u 23:31, uspeo je da enkriptuje 77 različitih fajlova (tekst dokumenti, prezentacije, zip fajlovi…) koji zauzimaju oko 3,60 GB memorije. Ovo se sve desilo u samo jednom folderu, do drugih foldera je došao samo nekoliko minuta kasnije i nastavio da radi, tiho u pozadini dok na kraju nije sve podatke koje je mogao enkriptovao. Uspeo je čak i Dropbox da zarazi jer je najverovatnije bila uključena automatska sinhronizacija a tu su se nalazili najvažniji Džonovi fajlovi, u prevodu, Dropbox je bio Džonov backup.

Brisanje virusa

Čitajući razne članke i vesti po raznim forumima i sajtovima, shvatio sam da brisanje ransomware-a nije nimalo laka stvar, ali je moguća, dok sam za dekriptovanje podataka saznao da je gotovo nemoguće i retko ko je uspeo da povrati podatke, čak i oni koji su uspeli nisu povratili sve podatke koji su bili enkriptovani. Saznao sam za nekoliko alata koji se najčešće koriste za čišćenje CryptoLocker-a i povraćaj podataka te sam počeo više da ih istražujem.

Alati koje sam preuzeo sa Interneta su Malwarebytes Anti-Malware, HitmanPro, Shadow Explorel, Recuva i RannohDecryptor. Sa Malwarebytes i HitmanPro sam stavio da se skenira ceo laptop. Ostavio sam ih celu noć da rade jer i nakon prethodna skoro 2 sata skeniranja i dalje mi nije izgledalo kao da su blizu završetku. Ujutru je već bilo gotovo skeniranje i dočekali su me sa upozorenjima o pronađenim zaraženim fajlovima koje su stavili u karantin. Zanimljivo je da su različite zaražene fajlove našli (ili jednostavno rade na drugačije načine) a opet i pre nego što sam se dohvatio laptopa primetio sam da su HitmanPro i Malwarebytes već bili instalirani samo nije rađeno skeniranje celog sistema tako da je moguće da su već obrisali neke zaražene fajlove.

Malwarebytes je pronašao 13 zaraženih slika, dok je HitmanPro pronašao 9 raznih fajlova među kojima se nalazi i Adobe Photoshop od kojeg je i sve počelo najverovatnije, ali i Adobe Dreamweaver koji je preuzet sa Interneta nekoliko meseci ranije.

Malwarebytes rezultati

Malwarebytes rezultati

HitmanPro rezultati

HitmanPro rezultati

Kako mi je ovo prvi put da se susrećem sa ovakvom vrstom virusa nisam siguran da li je virus zaista obrisan, bez obzira na to što su podaci i dalje enkriptovani, te mi ostaje da “verujem na reč” prethodno korišćenim programima.

Povraćaj podataka

Pokušaj br. 1

Sad je na red došao gotovo nemogući zadatak, dekriptovanje podataka. Princip po kojem radi ransomware je taj da prvo napravi kopije podataka, zatim ih enkriptuje, a originale obriše. Windows sistem ima mogućnost da automatski ili manuelno čuva kopije podataka sakrivene “pod senkom” (eng. shadow copies) koje se nalaze negde u sistemu. Kada se ransomware aktivira on takođe traži te shadow kopije kako bi ih obrisao, međutim u nekim slučajevima ne uspeva sve da ih obriše. Tu dolazimo do programa Shadow Explorel. Ovaj program vam omogućava da pretražujete te sakrivene kopije i povratite ih korišćenjem metode sličnoj System Restore, odnosno izaberete datum iz kojeg želite da povratite podatke i sačuvate ih. Nažalost, u mom slučaju nisu postojali podaci od ranije, nisam imao nijedan datum ponuđen sem tadašnjeg, što može značiti da su te kopije obrisane.

Više o Shadow kopijama možete pročitati na https://en.wikipedia.org/wiki/Shadow_Copy

Pokušaj br. 2

Sledeći pokušaj je bio sa programom Recuva. Da budem iskren ovaj program mi je iz nekog razloga najviše davao nade da ću uspeti povratiti podatke. Recuva vam omogućava da skenirate bilo koju particiju uključujući i čitavu Shadow kopiju C particije a zatim će vam prikazati sve skenirane fajlove u skeniranoj partijici (ili folderu ukoliko neki izaberete) zajedno sa informacijama kao što su, datum poslednje modifikacije, put do fajla, veličina, status mogućeg povraćaja, itd.

Sve što treba da uradite jeste da izaberete koje fajlove želite da povratite, kliknete na dugme Recover, izaberete folder u kojem želite da vam se podaci vrate i to je sve. Zvuči tako jednostavno, ali sam i ovde (naravno) imao problem. Skeniranje određenih foldera, Shadow particije ili bilo čega drugog je prošlo uspešno ali povraćaj nije. Nakon povraćaja podataka, podaci su i dalje bili enrkiptovani. Slike se nisu prikazivale, tekstovi su prikazivali žvrljotine, MS fajlovi korumpirani. Pokušao sam još nekoliko puta da pomoću Recuva-e povratim podatke, jednom sam ciljao samo slike, drugi put samo tekstualne fajlove, treći put prezentacije ili nešto drugo, ali svaki put bi bilo bez uspeha. Podaci bi i dalje bili zaključani. Na kraju sam i odustao od Recuva-e i prešao na sledeći program.

Pokušaj br. 3

Pokušaj broj 3 je verovatno najkraće trajao. Koristio sam softver Kaspersky Lab-a, RannohDecryptor za koji neki kažu da je među nekoliko softvera koji zaista može da učini nešto kada se radi o ransomware virusu. Prateći uputstva, može se pretpostaviti da je proces prilično lak. Program radi tako što prvo izaberete zaraženi fajl, recimo sliku, a zatim morate izabrati i original sliku (setite se da sam napomenuo da su enkriptovani fajlovi kopije u stvari) i sačekate da program odradi svoje. Problem u mom slučaju je bio taj što nisam imao nikakve originale enkriptovanih fajlova i samim tim nisam uspeo bukvalno ništa da učinim.

Pokušaj br. 4

Četvrti pokušaj, ujedino i poslednji, jeste korišćenje Restore opcije na Dropbox-u, (za koju nisam ni znao jer ne koristim cloud servise). Ovo je Džon pokušao tek nakon potpunog brisanja hard diska i reinstalacije sistema opisane u daljem tekstu. Na sreću, većina podataka je uspešno povraćena (slike, prezentacije, dokumenta), a neki fajlovi nažalost nisu mogli biti povraćeni. Kako su Džonovi najbitniji podaci bili na njegovom Dropbox nalogu, može se reći da je ovaj pokušaj (delimično) uspešan.

Reinstalacija sistema

Ono što sam napomenuo Džonu pre nego što sam i počeo da radim na laptopu jeste da su velike šanse da ću morati uraditi potpuno brisanje sistema i reinstalirati ga ponovo, s obzirom na to koliko komplikovani mogu biti ovakvi virusi i zbog same činjenice da mi je ovo prvi slučaj (za koji sam se inače sam ponudio) sa ovakvim virusom i da nemam nekog iskustva sa njegovim brisanjem i povraćajem podataka, ali kao što ste i mogli zaključiti do sada, često u ovakvim situacijama iskustvo ništa ne znači ako se ne reaguje na vreme, pa čak ni tada, ako se radi o nekom veoma zeznutom tipu ransomware-a.

Da bih bio siguran da na hard disku neće ostati tragovavi virusa, bilo je potrebno obrisati u potpunosti hard disk a ne samo odraditi reinstalaciju. Pokušao sam prvo sa programom Darik’s Boot and Nuke da obrišem čitav hard disk, međutim laptop nije prepoznavao CD kao butabilan (moguće da ga nisam lepo narezao) pa sam prešao na drugu opciju. Ubacio sam USB sa Linux-om i pokrenuo instalaciju, obrisao sve particije i vratio se na početni meni i izabrao Erase Disk and install zajedno sa enkripcijom celog hard diksa (koji brišu bukvalno sve podatke). Nakon instalacije, odmah sam ubacio butabilan usb sa Windows 10, instalirao ga i to je bilo to. Ostalo je samo drajvere da sredim, ažuriram sistem i osnovne programe da instaliram.

Saveti za zaštitu

Postoji mnogo opasnih virusa na Internetu a i mnogo načina da se zarazite nekim od njih. Glavni problem kod većine ljudi je što nisu zainteresovani za privatnost i bezbednost na Internetu. Ovo ne znači da morate da učite sve o tome i da se bavite time, već da imate neko osnovno znanje o bezbednom korišćenju Interneta. Smatram da je od ključnog značaja da svaki korisnik Interneta mora da zna šta sme a šta ne sme da otvara dok pretražuje veb i čita email poruke.

Takođe još jedna od mnogih zabluda prosečnih korisnika je ta da ih antivirus uvek čuva. Grešite. Antivirus nikada ne garantuje potpunu sigurnost, niti će ikada garantovati. Česti su slučajevi gde ni ne primete neki virus koji vam polako uništava računar. To je najverovatnije zato što tog virusa još nema u bazi antivirusa ili jednostavno antivirus ima neke propuste koji se moraju “zakrpiti”. Naravno ovo ne znači da ga ne treba uopšte instalirati, ali bitno je da znate da korišćenje antivirus (naročito piratizovanog) nije dovoljno da vas zaštiti od virusa.

antivirus gif

Kada se radi o sigurnosti tokom pretraživanja veba, jedni od najvećih izvora virusa su reklame koje se pojavljuju na svakom drugom sajtu i to ne u nekoj normalnoj meri, već zatrpaju ceo sajt reklamama a sadržaj čini svega 10% cele stranice. Pravi primer takvog sajta je sajt Blic novina. Poslednji put kada sam ga otvorio bez uBlock-a, bilo je više reklama nego Srba koji slave Svetog Nikolu. Često se dešava da vas te reklame vode na lažne sajtove sa nagradnim igrama ili lažne Facebook/Gmail stranice gde vam traže da uneste lične podatke. Nikako to nemojte raditi. Izbegavajte da unosite bilo gde lične podatke ako vam je sajt nepoznat.

Dodatke koje vam preporučujem da instalirate i koji će vam poboljšati veb pretraživanje i učiniti ga bezbednijim su:

  • uBlock Origin - Najbolji dodatak za blokiranje dosadnih reklama, koji je lagan, open source i besplatan.
  • HTTPS Everywhere - Automatski vas prebacuje na HTTPS verziju sajta ukoliko postoji.
  • Privacy Badger - Blokira treća lica koja koriste reklame da vas prate i špijuniraju.
  • Ghostery - Ghostery blokira treća lica koja prate vaše aktivnosti i garantuje vam veću privatnost na Internetu.
  • No Script - Ovaj dodatak omogućava da skripte napisane u Java i Javascript programskim jezicima automatski startuju samo sa proverenih sajtova.

U slučaju da skidate piratizovane softvere (programe, igrice, filmove, itd.) sa raznih Torrent sajtova, obratite pažnju od koga skidate i da li je proveren korisnik koji je okačio taj torent. Recimo na sajtu Pirate Bay možete primetiti da neki korisnici imaju ljubičastu ili zelenu lobanju pored svog korisničkog imena. Ljubičasta lobanja predstavlja korisnika kome se veruje, a korisnici sa zelenom lobanjom su VIP. Izbegavajte da skidate fajlove od korisnika bez lobanja ili Anonymous korisnika bez obzira koliko želeli da skinete taj fajl i bez obzira da li ima 1, 10, 100 ili više komentara koji ga hvale.

pirate1

VIP korisik

pirate2

Trusted korisik

Ostali linkovi koje vam obavezno preporučujem da pogledate su:

Zaključak

Ransomware je verovatno najgora vrsta virusa koja može da vas zadesi (sem ako ima neka vrsta za koju još nisam čuo) i u takvim situacijama je najbolje da se obratite nekom IT profesionalcu ili nekom ko se bolje od vas razume u računare i bezbednost. Pazite šta klikćete i šta otvarate na Internetu, informišite se o sigurnom pretraživanju veba na vreme da ne biste došli u ovakvu situaciju kada šteta može biti daleko gora od gubitka slika sa mora i žurki, vaše omiljene mp3 kolekcije i sličnih stvari. Ako se pak odlučite da platite da vam vrate podatke, budite spremni na to da možda vam neće biti dekriptovani iako ste im platili.

Zahvalnice

Ovim putem bih hteo da se zahvalim organizaciji Digitalna Srbija na velikoj pomoći koju su mi pružili tokom čitavog procesa čišćenja laptopa od virusa, kao i Jovanu Šikanji na pomoći oko Dropbox-a (kao što sam napomenuo ne koristim ga i nisam ni znao da ima Restore opciju, te mi je Jovan poslao link ka više informacija o tome).