Izspiedējvīrusi (ransomware) — kas tas ir, piemēri un aizsardzība

Izspiedējvīrusi: uzzini, kā atpazīt, aizsargāties un rīkoties — reāli piemēri, praktiski padomi un preventīvi soļi jūsu datu drošībai.

Autors: Leandro Alegsa

Izpirkšanas programmatūra ir ļaunprātīgas programmatūras veids. Tā ierobežo piekļuvi inficētajai datorsistēmai vai tajā saglabātajiem datiem (bieži vien izmantojot šifrēšanas metodes) un pieprasa samaksāt izpirkuma maksu ļaunprogrammatūras radītājam(-iem), lai ierobežojums tiktu noņemts. Dažas izpirkuma maksu pieprasošas programmatūras formas šifrē sistēmas cietajā diskā esošos failus, kamēr citas vienkārši bloķē sistēmu un rādā krāpnieciskus ziņojumus, kuru mērķis ir pārliecināt lietotāju maksāt.

Īsa vēsture un nozīmīgākie uzbrukumi

Izspiedējvīrusi pirmo reizi kļuva plaši pamanāmi un izplatīti Krievijā, bet ātri izplatījās starptautiskā mērogā. Piemēram, McAfee 2013. gada jūnijā ziņoja, ka pirmajos 2013. gada trīs mēnešos tika savākti vairāk nekā 250 000 unikālu izpirkuma programmatūras paraugu — vairāk nekā divreiz vairāk nekā iepriekšējā gadā. CryptoLocker, izspiedējvīruss, kas parādījās 2013. gada nogalē, bija iekasējis aptuveni 3 miljonus ASV dolāru, pirms to likvidēja tiesībaizsardzības iestādes.

Vēl viens nozīmīgs piemērs ir 2017. gada maijā izplatītais WannaCry izspiedējvīruss, kas četras dienas laikā inficēja vairāk nekā 200 000 datoru 150 valstīs. Lai gan par izpirkuma maksu tika samaksāti aptuveni 130 000 ASV dolāru, uzbrukums radīja ievērojamus pārrāvumus pakalpojumos un uzņēmējdarbībā. Īpaši smagi cieta Apvienotās Karalistes Nacionālais veselības dienests, kurš izmantoja vecāku Windows XP versiju, ko Microsoft vairs neatbalstīja — tas nozīmēja, ka trūka nepieciešamo drošības atjauninājumu. Tāpat tika inficētas arī jaunākas sistēmas, kurās vienkārši nebija uzinstalēti jaunākie drošības plāksteri.

Kā izspiedējvīrusi izplatās?

  • Filiāļu (phishing) e‑pasta ziņojumi ar ļaunprātīgām pielikumu vai saitēm — biežākais izplatīšanas veids.
  • Ekspluatāciju komplekti un neaizsargotas tīmekļa serveru ievainojamības.
  • Inficētas reklāmas (malvertising) un viltus lejupielādes.
  • RDP (attālā darbvirsma) pakalpojumu nepareiza konfigurācija vai vāji paroli nodrošināti pieslēgumi.
  • Infekcija no ārējiem ierīcēm (USB) vai koplietojamiem tīkla diskiem.

Izspiedējvīrusu veidi

  • Failu šifrējošie izspiedējvīrusi — šifrē lietotāja failus un pieprasa samaksu par atšifrēšanu.
  • Sistēmu bloķētāji — bloķē piekļuvi operētājsistēmai un rāda izpirkuma paziņojumu (retāk mūsdienās).
  • “Datu noplūdes”/dubultā izspiešana — uzbrucēji ne tikai šifrē datus, bet arī izņem tos un draud publiskot, ja netiek samaksāts.

Kā pasargāties — labākās prakses

Profilakse ir efektīvākais veids, kā samazināt risku. Ieteicamie pasākumi:

  • Regulāri dublējiet datus un pārbaudiet atjaunošanas procedūras. Glabājiet dublējumkopijas ārpus tīkla vai izmantojiet versiju vadību, lai izvairītos no dublējumu šifrēšanas.
  • Instalējiet un uzturiet operētājsistēmu un programmatūras drošības atjauninājumus (patches) — neatliekami izplatītas ievainojamības bieži tiek izmantotas izspiedējvīrusu uzbrukumos.
  • Izmantojiet uzticamu pretvīrusu un galapunkta aizsardzību ar uzvedības novērošanu (EDR), un regulāri atjauniniet to signatūras.
  • Ieviesiet principu "vismazākā privilēģija" (least privilege) — lietotājiem nedodiet administratora tiesības, ja tas nav nepieciešams.
  • Segmentējiet tīklu — atdaliet svarīgus serverus un datu glabāšanas risinājumus no darbinieku darbstacijām.
  • Ieviesiet vairākfaktoru autentifikāciju (MFA) visiem attāliem piekļuves kanāliem.
  • Filtrējiet e‑pastu (antispam/antiphishing), bloķējiet bīstamas pielikumu formas un priekšskatiet saitēs izmantojamos domēnus.
  • Izslēdziet vai ierobežojiet SMBv1 un citas novecojušas tīkla protokolu versijas.
  • Izglītojiet darbiniekus — sociālās inženierijas paņēmieni (phishing) ir biežākais vektors.

Ko darīt, ja sistēma inficēta?

  • Pārtrauciet tīkla savienojumus — atvienojiet inficētās ierīces no lokālā tīkla un interneta, lai ierobežotu izplatīšanos.
  • Neadministrējiet maksājumus impulsīvi — maksāt izpirkumu nerada garantiju, ka dati tiks atgūti vai netiks publicēti.
  • Ziņojiet incidentu IT atbalstam vai iekšējai drošības komandai un iesaistiet ārējos drošības ekspertus, ja nepieciešams.
  • Ziņojiet par uzbrukumu attiecīgām valsts iestādēm vai tiesībaizsardzībai — tā palīdz cīnīties pret izplatītājiem.
  • Analizējiet un saglabājiet pierādījumus (logus, inficētās failu kopijas) — tas var palīdzēt incidenta izmeklēšanā.
  • Atjaunojiet datus no dublējumiem tikai pēc tam, kad esat drošs, ka vairs nav ļaunprogrammatūras skartas vietas.

Par izpirkuma maksāšanu

Maksāšana ir sarežģīts un riskants lēmums: nav garantijas, ka uzbrucēji atdos atšifrēšanas atslēgu vai ka viņi nepārdos vai nepublicēs jūsu datus. Maksāšana arī finanšu ziņā motivē uzbrucējus turpināt darbību. Bieži ieteikums ir vispirms mēģināt atjaunot datus no dublējumiem vai meklēt pieejamos atšifrēšanas rīkus no uzticamām avotiem, un konsultēties ar drošības speciālistiem un valsts iestādēm.

Kur meklēt palīdzību un papildu resursus

Ir vairāki drošības uzņēmumi, tiesībaizsardzības iestādes un bezpeļņas iniciatīvas, kas sniedz informāciju par zināmiem izspiedējvīrusu paraugiem un pieejamiem atšifrēšanas rīkiem. Ja jūsu organizācija ir skarta, sazinieties ar IT drošības speciālistiem vai incidentu reaģēšanas komandām, kā arī ziņojiet par uzbrukumu attiecīgajām valsts institūcijām.

Izspiedējvīrusu draudi turpina attīstīties — kombinācija no tehnisku aizsardzības pasākumu ieviešanas, regulārām dublēšanām, darbinieku izglītošanas un ātras reakcijas uz incidentiem būtiski samazina risku un iespējamos zaudējumus.

Jautājumi un atbildes

J: Kas ir izpirkuma maksa?


A: Izpirkšanas programmatūra ir ļaunprātīgas programmatūras veids, kas ierobežo piekļuvi datorsistēmai vai tās datiem, bieži vien izmantojot šifrēšanas metodes, un pieprasa, lai lietotājs samaksā izpirkuma maksu, lai ierobežojums tiktu noņemts.

J: Kā izpirkuma maksa kļuva populāra?


A.: Izpirkšanas programmatūra vispirms kļuva populāra Krievijā, bet kopš tā laika tās lietojums ir paplašinājies starptautiskā mērogā.

Jautājums: Cik daudz unikālu izpirkuma maksu programmatūras paraugu 2013. gadā savāca McAfee?


A: McAfee ziņoja, ka 2013. gada pirmajos trīs mēnešos ir savākti vairāk nekā 250 000 unikālu izspiedējvīrusu paraugu.

Jautājums: Kāda bija aptuvenā summa, ko iekasēja CryptoLocker, pirms tas tika noņemts?


A: Tiek ziņots, ka CryptoLocker bija iekasējis aptuveni 3 miljonus ASV dolāru, pirms iestādes to likvidēja.

J: Kas notika WannaCry uzbrukuma laikā 2017. gadā?


A: WannaCry uzbrukums izplatījās visā pasaulē un skāra vairāk nekā 200 000 datoru 150 valstīs. Tas ilga četras dienas, un izpirkuma maksa tika samaksāta tikai aptuveni 130 000 ASV dolāru. Īpaši smagi cieta Apvienotās Karalistes Nacionālais veselības dienests (NHS), jo tas izmantoja novecojušu Windows versiju, kuru Microsoft vairs neatbalstīja ar drošības atjauninājumiem.

Jautājums: Kāpēc dažas sistēmas joprojām bija skartas, lai gan tajās bija instalētas jaunākas Windows versijas?


A: Dažas sistēmas joprojām bija skartas, lai gan tajās bija instalētas jaunākas Windows versijas, jo to lietotāji vēl nebija instalējuši jaunākos drošības atjauninājumus.

J: Kāda ietekme WannaCry bija uz cilvēkiem un organizācijām visā pasaulē?


A:WannaCry vīrusa dēļ cilvēki un organizācijas visā pasaulē zaudēja daudz laika un naudas, parādot, cik neaizsargāti esam pret izspiedējvīrusu uzbrukumiem.


Meklēt
AlegsaOnline.com - 2020 / 2025 - License CC3