[Tanel]

PRESSITEADE - E-Posti, veebilinkide ja piraattarkvara kaudu levivad andmeid krüpteerivad pahavarad tekitavad endiselt ettevõtetes märkimisväärseid kahjusid. Petukirjad muutuvad üha sarnasemaks õigete kasutajate poolt saadetud kirjadega ning pahavara avastamine nõuab varasemast veelgi tähelepanelikumat pilku ning ettevaatlikust.

Tihti tekib küsimus, miks pahavara üldse arvutikasutaja kätte satub. „Enamasti satub pahavara ettevõtte infosüsteemi hooletust arvutikasutamisest. Statistikast näeme, et enam kui 70% arvutitest puuduvad ajakohased tarkvaravärskendused, mis loob soodsa pinnase kurjategijatele toimetamiseks. Lisaks on süsteemiadministraatorite ja ka kasutajate poolt seadistatud viirusetõrjetarkvara selliselt, et see koormaks arvutit vähem, mis omakorda vähendab viirustõrjetarkvara tõhusust ning arvutikasutajate teadlikkus pole piisavalt kõrge, et ohtlikke kirju ja linke turvalistest eristada. „ sõnas F-Secure Tugikeskuse juht Raido Orumets.

Kuidas võidelda pahavaraga ja kindlustada turvaline töökeskkond?

Enneta
Kas sinu ettevõtte töötajad on teadlikud internetist tulenevatest ohtudest? Kas nad tunnevad ära petukirjad ja petusaidid?
Kaitse
Kas sul on kasutusel viirusetõrje, tulemüür ja rämpsposti kaitse?
Avasta
Kas kasutad IT süsteemide monitooringulahendust? Kas näed, keda, millal ja kus rünnati?
Reageeri
Kas töötajad teavad, kuidas kahtluse korral reageerida, kuhu pöörduda?
Taasta
Kas sul on töötav varunduslahendus?

„On ülimalt oluline, et ettevõtted hakkaksid väga tõsiselt mõtlema töötajate infoturbeteadlikkuse tõstmisele. Mistahes tehniline abinõu võib küll vähendada ohvriks sattumise riski, kuid praktikas näeme, et see alati ei toimi. Koolitage oma töötajaid“! Lisas Orumets.

Allikas: F-Secure Tugikeskus
Aia tn 7, Tallinn
6806888

[Skyrim]

Tervitus,
saadi pihta krüptoviirusega. failid muutuseid suht hetkega kõik sellistks. failinimi.[amanda_soft@india.com].wallet . Täpselt ei tea aga kahtlustatakse, et mingi kirja avamisega tuli.
Tuulasin netis ringi ja rohtu selle vastu ei leidnud. Kui backupitud asjad, siis oled pääsenud. Paljud muidugi saatsid bitcoine, sest neile oli tulnud vastavasisuline teade. Aga faile lahti ei saanud ikka. Minu juhutumi puhul pole bitcoini nõuet tulnud. Kuna korraliku bacupi polnud, ilmselt asjades ilma. Või on mingi võimalus?

[laurx]

uus ketas sisse, vana ketas kappi seisma, kui tekib võti, avad sellega hiljem.

[elukaz]

Kui hetkega muutusid siis võib failide sisu krüpteerimata olla, see võtab ikka aega. Kui kõik isegi alles siis taastamine ikka hambaharjatöö kui kõik failid ümber on nimetatud.

[tahanteada]

[laurx]

ma pean silmas seda kui tõrjuja mingi dekrüpteri konkreetse käkerdise vastu välja nuputab.

[RaidoR]

Eile sai tegeletud ettevõttega, mis sai pihta FenixLockeriga.
Failidest said xxx.thedon78@mail.com!! failid.

[Tanel]

Paistab, et teema tuleb toppi panna. Liiga palju on ettevõtteid, mille töötajad eksivad elementaarsete ennetusmeetmete vastu.

[twm]

Nii nagu helkuri kandmist on vaja iga hooaeg meelde tuletada, siis on täiesti tavaline et ka viirusetõrjet tuleb regulaarselt propageerida.
Väldime üleliigseid emotsioone.

[sooty]

Täna hommikul üheksa ajal oli paari minutiga kümmekond kirja tulnud. Muidu iga päev ikka paar tükki postkasti kohta.
5 tk millegi Valyria nimelise asja variatsioonid ja trobikond generic heuristic hitte

Spoiler

[tramburai]

Viirusetõrje ei pruugi olla võluvits, mis päästab krüptoviirusest. Olen kokku puutunud selliste krüptoviirustega mida ükski vähegi asjalikum viirusetõrje ei tunne. Lihtsalt niivõrd värske asjaga on tegu. Läheb 12-24h mööda on olukord teine aga siis võib juba hilja olla. Pigem peab aina rohkem ja rohkem harima inimesi, regulaarselt meelde tuletama, õpetama kuidas ära tunda kahtlast e-kirja, manust, aadressi, linki. Et kui ikka tuleb e-kiri suvaliselt inimeselt suvalise aadressiga mittemidagiütleva manusega, siis ei ava seda. Ehk et väga paljudel juhtudel on probleem arvuti ja tooli vahel, sest ikka inimene on see kes avab-käivitab kahtlase faili...

[elukaz]

Ma ei kipu ka mittekahtlase meili pealt tulnud manuseid avama. Kui on variant siis võtan "open as web page". Vast on siis väiksem võimalus mingit koodi käima lasta.

Mis on üldse tuntumatest laienditest koodivõimelised? Mida suudab pdf, docx, xls, jpg?

[mahno]

Office macrod suudavad enam-vähem kõike. Tüüpiline käitumine on see, et macro läheb käima > tirib veebist paha kohale ja paneb selle käima. Edasi sünnib see, mis sündima peab.

Kaitsevahenditest - viirusetõrje võiks olla, tulemüür võiks olla, windowsi masinal UAC võiks peal olla, kasutajaprofiilist käivitamine võiks keelatud olla, kasutajal endal admin õigused puududa jne.
Kui macrosid reaalselt vaja pole, siis tuimalt kinni keerata office seadetest. Kui vaja on kindlasti, siis keerata käivitumist küsima ja kui office on 2013 või uuem, siis võiks see block macros in files downloaded from internet võiks peal olla. Ei anna lollkasutaja eest küll kaitset, aga kogemata sa enam macrot käima ei pane.

[degreal]

Viirusetõrje ei aita, kuna iga päev tuleb uus mutatsioon, mida viirusetõrje ei tunna.
Kahtlaste manuste mitteavamine ka ei aita, kuna keegi ei keela viirust mittekahtlasesse kirja lisada. Eriti hea näide on sellest püramiidskeem-krüptoviirus "nakata kaks sõpra, siis saad omad failid tasuta tagasi".
Aitab varundamine.

[kaabakas]

Kui teie ettevõttel varundamine üle oskuste käib, võtke ühendust

[time123]

Kas see selgitab, miks regionaalhaigla oma arvutites hiljuti metsiku koguse veebilehti blokeeris, mh ka HV foorumi?

Spoiler

[Tanel]

time123, pigem vaadati, et haigla IT-adminnid veedavad siin liiga palju aega

[ufo56]

Kunagi suvel sai ka üks minu hallatav ettevõte pihta mingi asjaga. Taastasin tunniga kõik backupist alles siis googeldasin ja selgus et ravi oli olemas.

Siin just eelmine nädal üks Võru ettevõte sai ka millegagi pihta, kõik arvutid ja synology crüpti alla. Ravi pole.

[LKits]

Viirusetõrje ei päästa krüptoviirusest juba ainuüksi sellepärast, et programm, millel on failide lugemise ja kirjutamise õigused ei ole üldse pahavara ja võib olla täiesti legaalne. Ning sinna juurde panna asümmeetriline krüpteering - lihtne ning pärast veel ära ka "obfuskeerida" ja/või krüpteerida... Ei vaja isegi adminni õiguseid, et käivituda. Ning saab veel startuppi ka panna ehk jätkab, kui arvuti uuesti käima läheb.

Backup, backup, backup.

[indu]

Krt tekib paranoia juba ning mine või võta veel lisaks 2 ketast juurde ja pane või pikema shedule peale koopia tegema ...

[twm]

Kõik kellel vererõhk nüüd tõusis, palun lugeda enda tervise nimel:
http://www.arvutikaitse.ee/arvutikaitse-algtoed/lunavara/

[LKits]

Write-only backup peaks olema mugav lahendus. Mida ei saa lugeda, seda ei saa krüpteerida. Aga see muidugi ei taga seda, et tagavarakoopia õnnestuks, sest checksum jääb tegemata.

[kaabakas]

Ega see nüüd nii keeruline ka korralikke backupe teha pole. Tõepoolest, kellel on õigus kirjutada on õigus ka jamaga üle kirjutada. Mis teha? Alustada tuleb sellest, et ühtegi arvutit ei panda tegema backupe iseendast. Edasi võiks asi juba hargnema hakata...

[LKits]

kaabakas, üle kirjutada küll, aga mida üle kirjutada, kui ei tea, mida üle kirjutada.
Aga jah, pole tõepoolest keeruline teha tagavarakoopiat. Kahjuks ei saa paljud sellest aru, et kui toimub tagavarakoopia sellisesse keskkonda, kuhu on ligipääs selsamusel arvutil ja lugemise/kirjutamise õigus, siis saab ka sealses keskkonnas kõik tagavarakoopiad krüptoviirustada.

[mikk36]

Time-machine stiilis backup on hea lahendus kaitseks selle vastu.
Krüpteerib ära, siis krüpteerib. Võtad eilse (või misiganes aja tagant snapshotib ja mil ok veel on) seisu ja on andmed tagasi.
Endal andmed ZFS'ga ketta peal, kus olenevalt andmelaole eri tihedusega teeb snapshote, mida siis täies mahus annab taastada.

[tahanteada]

[LKits]

No kurat, algtasandil vähegi "suurem" ettevõte suudab NAS-i ikka paigaldada. Ja kui ei soovi, siis ei hooli piisavalt andmetest.
Ja iga arvuti tagavarakoopia eraldi ligipääsuga ning enamus krüptoviiruseid ei saa ligi, sest ei suuda kusagilt konfi failist ligipääsuinfot välja lugeda.
Pole just ulmesuur kuluartikkel omada alla 500€ NAS-i, kus mitmeterane andmesalvesti ning sealt saab ju omakorda liigutada kõik vajaliku majast välja.

[mikk36]

[Tanel]

http://geenius.ee/uudis/avastati-uus-kruptolunavara-nimega-kaandsona-kas-see-eestis-tehtud-viirus

[H_K]

Ma kogu selle jutu peale võtsin nädalavahetusel kätte ja tegin olulisematest töö ja kodu asjadest seisma jäänud 2TB kettale koopiad, pakkisin ketta antistaatilisse kotti, ja see pakk kuuri hermeetiliselt suletava metallkonteineri sisse. Ei viitsinud kivivillast vooderdust kasti sisse teha, sel juhul omaks ka kerget tulekindlust
Krüptoviiruste ohus ei ole ju ainult tööfailid, vaid paljudel on kogunenud ka kodu foto- ja videoarhiiv, mis mahult on juba omajagu, ning mina ei ole viitsinud enam aastaid selle arhiivi DVD-le kribamisega majandada, juba siis kui 6-7 DVD peale veel mahtus, tekkis selle tegevuse vastu tõrge
Muidu pooleli olevad tööasjad on mul Onedrive kataloogis, kus siis koopia arvuti SSD-l ja Microsofti pilves, lisaks on see kataloog sünkroniseeritud oma Synology NAS-i, valmis tööasjade arhiiv ja kodused filmi ja fotoarhiivid on NAS-is 2 kettaga SHR raidis, mis vist ühe ketta riknemise korral suudab teiselt kettalt loodetavasti andmekaduteta taastada.
Aga NAS-ssi dubleerimise õnnetus see ongi, et kui faili ära krüptib siis see krüptitud fail dubleeritakse ka NAS-i ja pole sel juhul kuskilt taastada.
Ikkagi mingi ajalise tsükliga koopiad, internetist eraldatud kettale, ketas fooliumi või metallkasti sisse, et välistada igasugused maised ja kosmilised kiirgused

[montez]

Kas Windowsist erineva op. süsteemi kasutamine käiks krüptovarale üle mõistuse?
Suurim probleem on ikkagi kasutaja, kes avab saastunud faili. Ise kasutan veebipõhist postkasti lugemist, sest seal on laiendid ja suurus ilusti näha ning isegi siis kui doc või pdf on veel mingi erineva laiendiga. Samuti pean vähetõenäoliseks, et krüptovara loojad levitaksid seda eesti keeles, järelikult puudub selgitus, miks nende kirjast tuleks fail avada. Samuti lingid, mis on e-mailides, peaks tegema juba varasemast ettevaatlikumaks.
Nii kaasapandud failide kui linkide kaudu on ka varem arvuteid nakatatud ja ainus uuendus on kasutaja failide pantvangi võtmine.
Lisaks muidugi asjaolu, et internetis käimiseks või e-maili lugemiseks ei pea arvutis olema administraatori õigustega. Palju lihtsam on õigusi kärpida kui hakata arvutitõrje tarkvarale maksma või varundamise süsteemi looma.

[LKits]

Minu arust kõige lihtsam on ikkagi kuhugi NAS peale teha koopia ning tagavarakoopiaid tegev programm pääseb ligi kasvõi tavalise login õigusega. Ning kuna krüptovaral paroole pole, siis ei saa ka ligi.

[ufo56]

Mul on ühes kohas tehtud win serveri backupiks peidetud iscsi ketas kuhu win teeb backupi ja iscsi on ühendatud synoga.

[Klm_on]

Proovisin ühte krüptoviirust virtuaalmasinas ja testisin ESET antiviiruse võimekust. (tuli meiliga ühele kasutajale, kes oli nii tark, et ei käivitanud seda vaid andis mulle ennem ülevaatamiseks, sest sai eelmine nädal pihta sarnase kirjaga).
Tuli wordi dokumendina. Dokumendis oli kirjas mingi sigrimigri ja punaselt üleval esimene rida stiilis" sul on tekstikodeering vale. palun vajuta enable editing, et tekst ilusaks muuta". Vajutasin siis enable ja seejärel küsis kas lubame makrod ka? Lubasin. Koheselt ESET antiviirus ütles, et lubamatu powershell käivitus ning pöördumine kuskile netti. Blokeeris ära. Keerasin ESETi kinni ja proovisin uuesti. Vaikus majas, kuid dokument endiselt ilusaks ei muutunud. Arvuti hakkas ainult veits ragistama. Panin eseti käima ning sekundiga leidis torrentlockeri nimelise krüptoviiruse ja killis ära.

[sooty]

Kui värske kiri see oli?

[Klm_on]

[montez]

Ma leidsin nüüd ka ühe, varasemaid "arveid" ja "trahve" pole hakanud virustotal.com abil analüüsima. Seekord tuli kiri Received: from smtp01-smtp-4.daemonmail.net ([216.104.162.134]:38530)
---------------------------- Original Message ----------------------------
Subject: CONFIRM BANK ACCOUNT AND MAKE CORRECTION
From: rameshpkp ät petronemirates.com
Date: Mon, February 27, 2017 6:32 am
To: undisclosed-recipients:;
--------------------------------------------------------------------------

Good day

Up till this moment we have not confirmed this invoice, why new
banking details does not bear your Company's usual Bank details as
normal, should i remit to this account in this invoice?

Ja tekst läks edasi. Lõpus oli fail inv-order.ace (pakitud), mille avastamise kuupäevaks andis virustotal.com 27.02.2017 ja nimedeks File name: 3fa3cb20f987c92c423ccb0fffd72d92 W32/VBInject.HO3.gen!Eldorado, ESET-NOD32 a variant of Win32/GenKryptik.WCV, F-Prot W32/VBInject.HO3.gen!Eldorado.
PS. õpetage oma kasutajaid, et petise kirjad tulevad "listist" ehk undisclosed-recipients, 2) need on inglise keeles(võõrkeeles) 3) selle teise osapoolega pole te kunagi varem kokkupuudet omanud 4) ning soovitakse mingil lingil klikkimist või faili avamist.
Isikliku kokkupuute järel ütlen, et tõmmake paanikat maha ja õpetage inimestele e-maili hügieeni ehk ettevaatust võõraste kirjade linkide ja failide suhtes.