Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Amerykańska policja zapłaciła okup twórcom CryptoLockera
Jak informują lokalne amerykańskie media, policjanci z niewielkiej miejscowości w południowo-wschodnim Massachusetts zapłacili komputerowym przestępcom haracz za dane znajdujące się na służbowych komputerach…
Jak donosi heraldnews.com, amerykańscy policjanci z miejscowości Swansea padli ofiarą słynnego już złośliwego programu typu ransomware. CryptoLocker zaszyfrował szereg dokumentów znajdujących się na służbowych komputerach, a następnie zażądał okupu w wysokości 2 bitmonet (obecnie jest to równowartość około 3500 zł).
Nie widząc innej możliwości odzyskania własnych danych, pomimo powszechnych ostrzeżeń przed przekazywaniem jakichkolwiek środków przestępcom, stróże prawa postanowili jednak odkupić swój klucz deszyfrujący.
Tym samym amerykańscy policjanci dali nam wszystkim zły przykład w co najmniej kilku kwestiach. Po pierwsze płacenie internetowym szantażystom nakręca rynek komputerowej przestępczości, co w tym wypadku jest oczywiście szczególnie nie na miejscu.
Po drugie, na podstawie powyższej informacji można wyciągnąć proste wnioski o braku dobrych praktyk w przypadku jednostki policyjnej w Swansea.
Do infekcji doszło 6. listopada, czyli w momencie, gdy znacząca większość programów antywirusowych bardzo dobrze radziła już sobie z wykryciem tego konkretnego zagrożenia.
Wygląda więc na to, że policyjne systemy nie dysponowały aktualną ochroną antywirusową, która mogła powstrzymać CryptoLockera jeszcze przed dokonaniem jakichkolwiek złośliwych akcji. Oczywiście widać również wyraźnie, że jednostka nie dysponowała kopiami zapasowymi wszystkich znaczących danych.
W taki oto sposób amerykańscy policjanci przyczynili się do pomnożenia dochodów internetowej mafii (poniższy materiał pochodzi z ciekawej akcji społecznej):
Kończąc przypominamy najlepsze metody ochrony przed zagrożeniami związanymi z oprogramowaniem wymuszającym okup za nasze dane.
Zawsze warto korzystać z aktualnej ochrony antywirusowej, chociaż oczywiście może nas to nie uchronić przed nieznanymi do tej pory zagrożeniami. Dodatkowo należy więc posiadać kopię zapasową (offline) wszystkich najważniejszych danych.
Na koniec kwestia najbardziej istotna, czyli świadomość zagrożeń oraz zachowanie szczególnej ostrożności w trakcie otwierania nieznanych załączników lub odnośników.
Jak mogliśmy się przekonać, tego wszystkiego zabrakło amerykańskim policjantom, miejmy jednak nadzieję, że stróże prawa wyciągną z tej lekcji jakieś wnioski, by nie musieli już przesyłać przestępcom kolejnego okupu…
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Zastanawiam się jak się obronić przed tego typu zagrożeniem?
1) Backup na dodatkowym dysku: malware może go po prostu zaszyfrować
2) Backup na pendrive: może zostać zaszyfrowany w chwili podmotowania
3) Backup zdalny: skoro proces backupujący może uzyskać dostęp do zdalnego repozytorium, może to również zrobić malware
Wyobrażam sobie, paranoiczne, rozwiązanie w postaci: robimy kopię zapasową na pendrive. Montujemy pendrive na innej maszynie, upewniamy się, że dane nie zostały uszkodzone i wówczas przerzucamy na dysk.
Widzicie inne, bardziej praktyczne, rozwiązania?
Z góry dziękuję.
trzebaby do innych posterunków w Stanach podesłać sofcik -szczepionkę na tego Cryptolockera ..no chyba,że NSA to zrobi po tej wpadce .Niezły cyrk ;-)
U nas pewnie też niejedna jednostka administracji to łyknęła ,i albo wyjdzie po czasie albo wcale.
:-)
http://www.majorgeeks.com/files/details/cryptoprevent.html
To słabiutko tam na posterunku odnośnie nowych technologii ;)
@dariusz: Weryfikacja danych po stronie tej innej maszyny – chociażby prosty listing zawartości albo wypakowanie całego archiwum (oczywiście bardziej czasochłonne). Jeśli proces się powiedzie, to znaczy że archiwum nie zostało zmodyfikowane/zaszyfrowane przez Cryptolockera.
Nie wiem czy się śmieć czy raczej smucić. Jak w ogóle można się zarazić takim tandetnym wirusem?
Z obserwacji widzę, że większość wirusów rozprzestrzenia się przez sex :-), strony porno wiodą tutaj prym. Jak usuwam u kogoś wirusa to z ciekawości spoglądam (za zgodą) w historię przeglądarki i potwierdza się źródło zarażenia. Do tego dochodzi korelacja z wystąpieniem pierwszych objawów zakażenia.
Wniosek jest jeden – policjanci w USA mają dosyć zdjęć osób poszukiwanych i muszą sobie pooglądać inne.
P.S. W Polsce Policja rozpowszechniłaby od razu wersję o „kontrolowanej prowokacji” w celu namierzenia przestępców.
Czyli wniosek jest następujący: strony porno z linuxa i tylko zaufane strony porno hahaha.
@dariusz
Backup najlepiej w wersji offline lub zrobiony odpowiednim softem np: Baculą. Wirus nie poradzi sobie z Baculą ponieważ szyfruje tylko zasoby udostępnione po SMB(tak mi się wydaje) oraz pewnie podłączone pendrive/dyski.
Kupujemy pendrive z przełącznikiem – tylko do odczytu :)
@Wojciech Smol
Wybacz ale Bitmonety?
Skoro tak Ci nie pasuje angielski to czemu CryptoLocker a nie KryptoSchowek?
wbielak,
No cóż, raczej chodzi tu o to, że w wielu polskich opracowaniach jest stosowana właśnie taka nazwa zamiennie z „bitcoin”.
@Wojciech Smol
Straszliwie mi się nie podoba ;)
patrzeć które strony się odwiedza, jaki software instaluje, pobiera…
a profilaktycznie wystarczy okresowo mieć backup na innym nośniku, który mamy read only, np płytka DVD czy napęd na USB z opcjąlock na read only, a bardziej pro mieć swój NAS/FTP w sieci i backupy odczytywać/kopiować kontem read only;
Mnie natomiast nazwa bitmonety się sposobała. :)