SonicWall hoiatab: liigub ringi uus ohtlik ransomware (lunavara) viirus

Lunavara, nagu igasugune pahavara, ei tule masinasse niisama. Kõigepealt peab kasutaja ise midagi rumalat tegema, enamasti klikkima "valele" lingile kusagil torrentis, sotsiaalmeedias (näiteks FB-s), e-kirjas, suvalises midagi-tasuta-lubavas saidis või kahtlasest allikast saadud tarkvarakoopias.

Ingliskeelne originaaldokument hoiatuse kohta asub siin >

Uus kiirestileviv pahalane perekonnast GAV:Cryptolock.A kasutab levimisel detekteerimise vältimiseks legaalset Google Update Service'it. Ehk siis, kui kasutaja vajutab endameelest Google’i uuendust lubavale lingile, tekib desktopile 2 ikooni:

Järgmiseks kirjutab pahavara end n-ö õige (kui masinas juba on kasutusel Google’i teenused, millega on kaasa tulnud Google'i uuendamistarkvara) asemele. Ühtlasi kirjutab see end ka Windowsi registrisse, et käivituda järgmisel alglaadimisel.

Järgmiseks krüpteerib pahavara kasutaja failid tugeva RSA 2048 krüptoalgoritmiga ja kuvab teate, et kui oled lunaraha maksnud, võid võrgust alla laadida failide taasavamiseks vajaliku privaatvõtme; ühtlasi hoiatatakse, et võti hävib 72 tunni jooksul. Lunarahaks küsitakse 2,1 bitcoini (umbes 1000€); mõnikord lahtikrüpteerimine õnnestub, mõnikord mitte.

Kõiki tehnilisi detaile ei hakka siinkohal ära tooma – need on ülaltoodud lingil. Kaks äratoodud pilti on lihtsalt kõige olulisemad – kui sellised on viimastel päevadel arvutisse tekkinud ja sa oled sinna vajutanud, oled hädas. Siiski natuke probleemi olemusest ja mõned soovitused.

Mis üldse on ransomware?

Tegu on pahavaraga, mis takistab arvuti omanikul ligipääsu tema andmetele või teatud juhtudel ähvardab kasutaja andmed avalikustada. Ligipääs andmetele võib olla tegelikult äärmiselt raskeks (praktiliselt võimatuks) tehtud või on andmed reaalselt alles, ligipääs aga tavakasutajale raskelt taastatav. Eriti populaarne on lunavara Venemaal, üldiselt aga on selle levik viimastel aastatel tugevasti laienenud; aastal 2013 teatas turvatarkvaratootja McAfee, et neil on üle 250 000 erineva lunavara näidise. Aastal 2012 teeniti CryptoLockeriga (arvatavasti) 3 miljonit dollarit ja aastal 2015 CryptoWalliga 18 miljonit.

Jättes kõrvale kõik need viisid, kus näiteks kas takistatakse Windowsi käivitumast või teatatakse, et arvutis on lubamatut pornograafilist materjali vmt, on kõige ohtlikumad rünnakud, kus arvuti failid reaalselt krüpteeritakse.

Selline rünnak toimub kolmes etapis:

  1. Ründaja genereerib krüptovõtmete paari ja mõtleb välja viisi, kuidas pahavaraprogramm kasutaja arvutisse saada.
  2. Pahaaimamatu või lihtsalt rumal kasutaja hangib endale mingil viisil pahavara. See käivitub tema arvutis ja krüpteerib ta failid ning hävitab seejärel krüpteerimiseks kasutatud šifreerimisvõtme ja algsed failid. Seejärel käsib see saata ründajale raha ja nn ebasümmetrilise võtme (asymmetcic key).
  3. Kui raha käes, genereerib ründaja asümmeetrilise võtme ja enda krüptovõtmepoole abil sümmeetrilise võtme, mille siis saadab ohvrile. Sellest võtmest, muide, ei ole teistel ohvritel abi.

Kuidas end kaitsta?

  • Kõige lihtsam viis – ära kasuta Windowsi tarkvara :) Lihtne soovitada, kuid enamasti võimatu järgida, eriti ärikasutaja puhul. Loomulikult võib ka vaielda selle üle, kas Mac OS-il ja Linuxil oleks sama palju pahavara, kui need oleksid sama levinud, kuid tänast reaalsust see ei muuda – pahavara on Windowsi ja ainult Windowsi probleem.
  • Ära vajuta suvalisi linke! Ükski pahavara ei tee su arvutiga midagi ilma sind kõigepealt alt tõmbamata – maskeerimata end millekski ohutuks, vajalikuks või kasutoovaks, et üldse arvutisse pääseda. Mõtle alati järele, kas isegi (näiliselt) healt sõbralt tulnud suvaline link on midagi, mida ta sulle saadaks? Kasuta ainult tuntud usaldusväärsetelt saitidelt pärit tarkvara ja need, muide, uuendavad end sisemiste mehhanismide abi, ehk mitte kunagi ei tohi vajutada uuendust lubavat linki.
  • Hoia viirusetõrje ajakohane! Jah, see on täiendav tasu, mis liitub Windowsi kasutamisele, ja ilma selleta on Windowsi kasutamine paras cordless benji (köieta benji-hüpe). See muidugi ei päästa sind, kui levima on hakanud midagi uut, mille vastu viirusekaitse veel ei kaitse. Üldiselt reageerivad tuntud turvatarkvara tootjad kiiresti ja pahalased ei saa üle paari päeva karistamatult levida, aga kui sul on kombeks uuendada viirusekaitset kord aastas…
  • Vähegi suuremas asutuses-võrgus tuleks hoida ajakohane ka ettevõtte tulemüür, mis võtab suurema osa pahavarast maha juba enne kasutajani jõudmist. See muidugi ka alati ei aita – näiteks nagu antud juhul, kui pahalane maskeerub legitiimseks teenuseks ja seda ära tundev uuendus ei ole veel tulemüüri installeeritud.
  • Kasuta offline backup'i, ehk tee varukoopia kettale, mis ei ole kogu aeg arvuti taga (sest uuemad lunavarad krüpteerivad kõik, millele ligi pääsevad). Siis saad lihtsalt taastada viimase varukoopia seisu.