F-Secure hoiatab: Eestis on krüptovara võtmas epideemia mõõtmeid! :: Hinnavaatluse Foorumid

Tanel · HV Guru liitunud: 01.10.2001

PRESSITEADE - F-Secure tugikeskus hoiatab leviva krüptovara eest arvutikasutajaid ja ettevõtteid. Tegemist on „freespeechmail“ nime kandva pahavaraga, mis nakatab kasutaja arvuti ning krüpteerib esmalt kõikide selle arvutiga seotud võrgukettad ning seejärel arvutis endas olevad failid. Pärast krüpeerimise lõetamist edastatakse kasutaja ekraanile teade, kus palutakse kasutajal krüptovara tootjatega kontakteeruda. Seejärel teatatakse kasutajale summa, mille tasumisel lubatakse failide taastamiseks saata vastavad vahendid ning juhised. Failide taastamine/dekrüpteerimine mistahes muul meetodil ei ole võimalik.

„Krüptovara kasutab arvutisse sisenemisel ära arvutikasutaja hooletust. Kasutajale saadetakse e-post, milles sisaldub link viitab pahavarale või milles sisalduv manus on juba nakatatud“. Sõnas F-Secure tugikeskuse juht Raido Orumets.“ Antud juhul on tegemist tõeliselt vastiku pahavaraga, millest lahti ei ole võimalik saada – tegelikuses polegi ju tegemist viirusega või nakatunud failidega, vaid failid on krüpteeritud. Ilma võtit teadmata pole võimalik faile taastada. Failide taastamine on võimalik vaid varundamise või lunaraha maksmise teel.“ lisas ta.

Tööjaamapõhine viirusetõrje on vaid üks paljudest kihtidest, mis püüab kasutajat kaitsta, kuid ei tee seda lõpuni. Seetõttu on alati omal kohal soovitused omada backup’i, hoida oma arvuti programmid uuendatuna ning kasutada Internetti „vastutustundlikult“. Lisaks soovitab Orumets vaadata üle oma viirusetõrjetarkvara seaded. Kindlasti tasuks sisselülitada täiendavad kaitsemoodulid, mis tihtipeale ressursi kokkuhoiu mõttes võivad olla vaikimisi väljas.

Üks levinumaid sotsiaalse manipulatsiooni viise, kuidas küberkurjategijad oma ohvreid leiavad, on petukirja abil sundida kasutajat klikkima lingile, mis siis juba omakorda laeb arvutisse pahavara või suunab kasutaja nakkust levitavale veebilehele. 10 erinevat omadust, mis viitavad petukirjale ning mis peavad arvutikasutaja muutma eriti valvsaks on:

1. Saatja emaili aadress tundub küll tuttav, kuid tegelikult ettevõttet ei eksisteeri.
2. Saatja emaili aadress ja nimi ei kattu omavahel
3. Kiri on saadetud üldaadressile või aadressile, mida ei kasutata, kuid tekst viitab nagu teataks täpselt kellele kiri suunatud on.
4. Kirja pealkirjas kutsutakse kiirele tegutsemisele.
5. „Tõlkes kaotsi läinud“ – nimed ja pöördumised on ebakorrektsed.
6. „Tõlkes kaotsi läinud“ – kirja sisus esineb tõlke- või kirjavigu.
7. E-kirjas olev link viitab mujale kui lingi pealkiri seda ütleb.
8. Kirja manus on parooliga kaitstud – seda kasutavad kurjategijad tihtipeale meilisüsteemi kaitsetest läbi murdmiseks.
9. Kirjas kutsutakse kiirele tegutsemisele
10. Kiri sisaldab manust

Lisaks:

• Hoia arvutit kasutades lähedal kaine mõistus ning skeptilisus
• Kui midagi tundub liiga hea, et olla tõsi, siis see on nii
• Ära usu kiiret rikastumist lubavatesse skeemidesse
• Ära usu reklaame, mis kinnitavad, et sinu arvutis on juba pahavara või mis lubavad kiiremat internetti või rohkem mälu.
• Kontrolli e-kirja, pakkumise vms õigsust, kasutades muid vahendeid nagu telefon või otsekontakt.
• Enne mõtle ja siis kliki!

Allikas: www.bcs.ee

laurx · HV Guru liitunud: 25.03.2004

keegi oma kogemustest ka sellega kirjutada julgeb?

warwas · HV Guru liitunud: 06.07.2003

Ühe tuttava arvuti sai sellega mingi nädal või paar tagasi pihta.
Tookord ta saamislugu kommenteerida ei osanud. E-maili variandi peale ma siis ei tulnudki.

Freezedude · HV vaatleja liitunud: 26.12.2002

Tuleb ta võlts e-mailide kaudu, piraati mängides, lisaks internetis nakatatud lehtedele end googeldades (häkitud ja pahavara täis süstitud koduleht, nakatatud reklaamid + turvaauguga brauser või sellega seotud pluginad - flash, java jms.). Need putukad on mutateeruvad ning suurem enamusest antiviirused neil natist kinni ei saa. Virustotal.com saidil olen vast 10 erinevat versiooni skänneerinud, ja päris tihti on tulemus 0 või 1/60st antiviirusest. Käivitamiseks administratiiv õigusi pole tal vaja, krüptib kõike kuhu kasutaja konto alt hetkel ligi pääseb.

Lahendusteks on inimeste harimine antud teemal, tarkvarade uuendamine, süstemaatiline varundamine ning rakenduste whitelistimine (kõik, mis pole lubatud on keelatud). Osad putukate variatsioonid suudavad isegi Shadow copy ära rikkuda ning siis pole ka "restore previous versions" valikust tolku, näitab küll, et saab taastada, kuid taastatakse tühjad kataloogid.

degreal · HV veteran liitunud: 07.01.2002

Tänapäeva inimesel pole masinas ketastki. Failid on pilves, kuhu on varundamise funktsioon sisse ehitatud.

Amdfan · HV Guru liitunud: 23.06.2002

Ma küll ei ole uudistest tähele pannud, aga selle krüptoviiruse erinevad variatsioonid on ennemgi Eestis pahandust teinud.
Konkreetse „freespeechmail“ variandi kätt sai isegi ühes failiserveris tunda, aga õnneks jah, ShadowCopy´t see ei puutunud, seega Previous version abil sai asjad taastatud väga lihtsalt.

Xloaded · külaline

Tean ka paari asutust ja julgen väita, et 99% tehakse puhas install ja andemete taastamine kuna mitte üks turul olevatest "viirusetõrjetest" ei suuda seda jura leida ja eemaldada.'
Ainus mida viirusetõrjed leiavad ja kustutavad on juhised kuhu raha kanda, et failid tagasi saada - seega suht mõttetu tegevus.

Asutused on vait kuna ei taha rääkida misjuhtus.
Viirusetõrje firmad on vait kuna nad ei saa jagu.

Ausalt ei mäletagi millal viiamati nii massiline jura oli mis on juba KUID kui mitte AASTA levinud, ilma, et viirusetõrjed seda eemaldaks.

Tanel · HV Guru liitunud: 01.10.2001

mahno · HV kasutaja liitunud: 25.07.2007

Koolitada. Korduvalt. Meelde tuletada. Nõrkemiseni.

Dirty Harry · HV Guru liitunud: 05.09.2002

Ma ei suuda kusagilt uudisest tuvastada, mis operatsioonisüsteemid on ohustatud. Kiirelt googeldades jäi silma, et see viirus on vist win-only?

tiirP · HV Guru liitunud: 07.01.2005

DeTHiCa. · HV Guru liitunud: 13.01.2006

isegi näinud kuidas ühe raamatupidaja kogu töö selle nahka läks et krüptoviirus sees. õnneks raamatupidamisproge tegi regulaarselt backupe serverisse.

rocki · Kreisi kasutaja liitunud: 15.01.2003

Valts17 · HV vaatleja liitunud: 27.02.2006

Väline kõvaketas mis on arvutiga ühenduses selle ta krüpteerib ära aga kui on tegemist NAS'iga?

sooty · HV veteran liitunud: 12.06.2004

Sain lugedes aru, et laseb kõik kättesaadavad võrgukettad ka üle.

Xloaded · külaline

Helseth · HV kasutaja liitunud: 05.01.2012

tiu · HV vaatleja liitunud: 19.10.2015

Windowsi puhul on hea võimalus hoida e-posti tarkvara ja veebilehitseja sandboxis e. turvakastis/liivakastis:
http://www.sandboxie.com/

mahno · HV kasutaja liitunud: 25.07.2007

Ei ole asi sugugi mitte win-only:

Linux: http://techcrunch.com/2015/11/06/linux-ransomware-is-now-attacking-webmasters/

Samas ma põhimõtteliselt ei näe ühtegi põhjust, miks sama süsteemi Maci peal ei saaks kasutada - rumalad kasutajad on olemas, turvaaugud on olemas....

Üldiselt kui on masinal põhjendatud viirusekahtlus, eriti crypto* taolise destruktiivse viiruse kahtlus, siis ainus viis masina usaldusväärsust taastada on clean install usaldusväärselt meedialt. Jah, ebamugav, jah töömahukas...aga ühtegi teist kindlat viisi pole. Ülejäänu on loterii-allegrii, iga pilet ei võida.

pppd · Kreisi kasutaja liitunud: 21.06.2004

Piinlik küll F-Secure nimelisse teemasse seda linki postitada, aga Kaspersky'l on olemas tööriist vähemalt ühe viimasel ajal siinmail levinud lunavara (freespeechmail) tagajärgede kõrvaldamiseks.

ufo56 · HV Guru liitunud: 18.11.2004

http://www.securityweek.com/file-encrypting-ransomware-targets-linux-users

pppd · Kreisi kasutaja liitunud: 21.06.2004

ka Linux.Encoder.1 vastu on rohi leitud - http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/

mahno · HV kasutaja liitunud: 25.07.2007

Tõesti on kehvasti implementeeritud krüpto. Sama oli ju cryptolockeri esimese versiooniga. Küll nad ennast parandavad, kui raha haistavad.