Mida teha, kui lunavara on arvutis failid pantvangi võtnud ja neid enam kasutada ei saa

 (6)
Masenduses tudeng
Foto: Hendrik Osula

Eelmisel korral andsime nõu, kuidas lunavara ohvriks mitte sattuda. Täna vaatleme olukorda, kus inimene on juba lunavara ohvriks langenud ning tema arvutiekraanil laiutab väljapressimiskiri.

Hetkeks, mil säärane pilt ilmub ekraanile, on lunavara oma kuritöö juba lõpuni viinud. Kõige kehvemal juhul sai lunavara oma ohvri õigustes kätte ka mõne võrguketta (näiteks asutuse failiserveri), kirjutab RIA blogi.

Suure tõenäosusega on selleks hetkeks kokku krüpteeritud ka kõik konkreetse kasutaja õigustes ligipääsetavad võrgukettad. Kõige halvemal juhul on lisaks pilastatud üle võrgu nähtav varukoopia.

ekraanitõmmis

Kui väga veab, siis annab häiret mitte kasutaja ise, vaid hoopis võrguadministraator või itimees, sest failiserveri kasutusgraafikud tõusid lakke. Tavaliselt õnnestub sel juhul mõne võrgukaabli väljatõmbamise hinnaga hävitustöö katkestada.

Seotud lood:

Igatahes on just nüüd õige hetk juua tassike külma jääteed ning mõelda intsidendi ulatusele. Kas itimees teab? Kui ei, siis tuleks talle kohe teada anda.

Teine oluline küsimus – kust ma selle saasta külge sain? Võiks püüda meenutada oma tegemisi arvutis viimase paari tunni jooksul. Kas saabus mingi e-kiri? Kas külastasin mingit kahtlast veebisaiti?

Itimehe võiks varustada võimalikult täpse kirjeldusega sigaduse majjatuleku asjaoludest … olgu need asjaolud siis kuitahes piinlikud.

Võiks hoiatada kõiki teisi kontoritöötajaid. Eelkõige kogemuste jagamise mõttes, et nemad kunagi samasse lõksu ei langeks. Polegi just väga võimatu, et rünnak on pättide poolt keskmisest täpsemini sihitud ning et samasse kontorisse saabub nädala jooksul veel mitu pahavaramanusega e-kirja.

Juhul kui kannatada sai ka failiserver, siis on töötegemine selleks päevaks läbi. Tuleb arvutid rahulikult itimehele anda, kes siis murega jõudumööda edasi tegeleb.

Teavitamine

Eestis on kaks asutust, mis tunnevad elavat huvi CryptoLockeri iga juhtumi vastu.

Kõigepealt politsei. Kui kurivara tõttu on hävinud olulisi faile või põhjustatud kahju tööprotsessidele (kaasa arvatud taastamistöödeks kulunud aeg), siis tuleks kindlasti informeerida politseid, saates e-kirja aadressil cybercrime@politsei.ee. Ning mitte üksnes informeerida, vaid kirjutada kuriteoavaldus.

Kübermaailma teed on äraarvamatud, küll varem või hiljem mõne riigi politsei konfiskeerib mõne pätijõugu arvuti ning sealt leitud info alusel võib osutuda võimalikuks ka varasemate ohvrite tuvastamine.

Teine oluline CryptoLockeri-huviline asutus, õigemini küll asutuse (RIA) osakond, on CERT-EE (cert@cert.ee, telefon 663 0299).

CERT-EE informeerimine tasub ära mitmel põhjusel. Esiteks tekib siis koondpilt Eesti kübermaastikul toimuvast. Teiseks on pisike šanss, et kui nakatumine toimus CryptoLockeri mõne vanema versiooniga, oskavad eksperdid soovitada „ravimit“.

Riigiasutustel ja elutähtsaid teenuseid osutavatel firmadel – neil, kes alluvad ISKE nõuetele – on CERT-EE teavitamine lausa seadusejärgne kohustus.

Maksta või mitte maksta

Kõige kriitilisem küsimus lunavarajuhtumites on, kas maksta või mitte maksta. Kuna meil siin ikkagi on riigiasutuse blogi, eelistame käitumisviisi, et kuritegevust ei tohi finantseerida.

Paraku, kui inimesed on olnud hooletud, jätnud varukoopiad tegemata ning äranässerdatud andmed on sedavõrd vajalikud, võib juhtuda, et maksmisele alternatiivi polegi.

USA-s on olnud korduvalt juhtumeid, kus politsei on oma andmete tagasisaamise eest maksnud (!!!). Lunavara pole mööda läinud ka Eesti politseist, kuid meie kandis olid varukoopiad nii korralikud, et kaduma läks vaid tööaeg – failid õnnestus taastada. Kurjategijatele maksmise rasket eetikaküsimust ei püstitunudki.

Eri hinnangutel maksab küsitud lunaraha kurjategijatele ära 10–30% kannatanutest. Kui küsida ettevaatavalt, kas põhimõtteliselt oleksite nõus maksma, siis suisa 60+% küsitletutest arvab, et mingis olukorras kindlasti.

Kuidas kannatanu ka ei talitaks, on vaja tähele panna veel üht asjaolu. Pole mingit garantiid, et makstes oma failid ikka tõepoolest tagasi saab. On ka juhtunud, et raha maksti ära, kuid ravimit ei saadetud.

Kurjategijatel üldiselt siiski on kasulik ravim saata, muidu läheb kuulujutt liikvele ning nad kaotavad oma tuluallika. Kuidas ka poleks, need targutused kuuluvad psühholoogia, mitte infotehnoloogia valdkonda. Otsus jääb kannatanu enda teha.

Mitut sorti CryptoLockerid

Lunavarasid on tegelikult mitu perekonda ning kümneid eri nimetusi. Neist kõigist korraga rääkimiseks on tehnikud jäänud üldmõiste CryptoLocker juurde, kuigi tehniliselt on meil Eestis palju levinum hoopis TeslaCrypt või Locky.

Ühtsele kujundile on kaasa aidanud ka kurjategijad ise – neil on kasu(m)lik hoida legendaarselt tuttavat ekraanikujundust. „Ravim“ on aga on lunavaraperekonniti erinev (kui seda üldse on).

Pisut allpool räägime pahalaste eristamisest põhjalikumalt.

Esimestes lunavarapõlvkondades sisalduvate arvukate vigade tõttu õppisid tõelised küberturbe-spetsialistid sääraselt „kokkukrüpteeritud“ andmeid lahti muukima. Tänu sellele on päris mitmele vanemale lunavarale olemas avalikult kättesaadav „ravim“.

Ravimite ilmumise kiirus on mõnevõrra aeglustunud, kuid ei maksa lootust kaotada. Krüpteeritud failidega kõvaketas tuleks panna riiulisse ootele ning oma arvuti töövõime taastada uue kõvaketta abil.

Kui sobilik „ravim“ aasta või kahe jooksul luuakse, võib sedasi talitanud ohver aja möödudes kõik oma failid tagasi saada.

Intsidendist õppimine

Kõige ohutum on õppida võõrastest vigadest. Kui mainitu ei õnnestunud, siis tuleb õppida omaenda vigadest. Ilma kedagi otseselt süüdistamata tuleks arutada, et mis ja kus läks valesti.

Juhul kui CryptoLocker sisenes e-kirja kaudu, siis tuleb töötajaid treenida, et nad ohtlikke kirju paremini eristaksid. Kui kokku krüptiti ka failiserveri sisu, siis see on märk, et pingule tuleks tõmmata kasutajaõigused.

Kui varukoopiat ei leidunud või see osutus loetamatuks, siis juhtunust leiab itimees oma järgmise poole aasta ülesanded. Kui varukoopiast taastamine võttis aega kolm päeva, siis see osutab, et taasteprotseduure saab oluliselt parendada.

Tehniline osa

Võrguadministraator või itimees peaks esimese asjana tuvastama rünnakuks kasutatud lunavara täpse nimetuse.

Lunavaral on kombeks krüpteeritud failidele lisada eristavad laiendid nagu „*.locky”; „*.mp3”; „*.crypto”; „*.micro”; „*.xxx” jne. Faililaiendi liigitamisel võib kasutada Google’i abi.

Näiteks Locky sooritatud mõrv näeb failikaustas välja umbes sedasi:

ekraanitõmmis

On ebameeldivaid erandeid nagu TeslaCrypt 4.0, mis krüpteerib failid, kuid jätab nende nimed muutmata. Juhul, kui õnnestub oma õnnetuse seest leida faile krüpteeriv programm ise (võimalik vaid, kui krüptimistöö poole pealt katkes), tuleks see tuvastamiseks üles laadida veebiteenusesse VirusTotal.

Head inimesed on loonud lunavarade lahterdamiseks teenuse ID Ransomware – see võimaldab kasutajal üles laadida kas kausta tekkinud lunavaranõude või mõne oma krüpteeritud failidest (endiselt tasub säilitada terve mõistus, et mitte ärisaladusi ega privaatinfot netti paisata, sh neid välja tuua failinimedes).

Jääb üle loota, et ID Ransomware'i haldajatel jätkub jaksu seda kasulikku teenust jätkuvalt ajakohastada. Äratundmine võib õnnestuda või vahel (väga uue tüve puhul) ka mitte õnnestuda.

ekraanitõmmis (Näide õnnestunud äratundmisest)
ekraanitõmmis (Näide vedamisest – vanemale lunavarale leitigi ravim.)

Locky

2016. aasta veebruaris ilmunud lunavara Locky on jätkuvalt ohtlik, kuigi TeslaCrypt 4.0/4.1 perekond tõrjub seda järk-järgult välja.

Locky poolt krüpteeritud failidele pole seni „ravimit“ leitud, mistõttu varundamine on oluline tegevus.

Locky väljapressimiskirjad näevad välja umbes sedasi (kaks näidet):

ekraanitõmmis
ekraanitõmmis

NB! Pildid on vaid abivahend tuvastamisel. Kuivõrd lunavara pidevalt areneb, võib tegelik väljapressimiskiri siinsetest näidistest mõnevõrra erineda.

Locky suudab avastada ja krüpteerida nii „tähtketastelt“ (N:, S:, X:) kui ka kaardistamata võrguketastelt leitud failid. Locky tuvastamine on kerge just laiendi „*.locky” tõttu.

Tehnilisemat infot loe siit

Locky tuleb majja põhiliselt e-kirjade kaudu, kasutades umbes sääraste nimedega kirjamanuseid:

ekraanitõmmis

TeslaCrypt 4.0/4.1

TeslaCrypt 4.0 on tänavuse aprilli seisuga üks aktuaalsemaid lunavarasid. Tuvastamise muudab kasutajale raskeks asjaolu, et krüpteerimisel ei lisa TeslaCrypt 4.0 failidele laiendeid ning jätab ka failide nimed algseks.

ekraanitõmmis
ekraanitõmmis

Küll aga lisab TeslaCrypt kaustadesse maksejuhised:

ekraanitõmmis

TeslaCrypt 4.0 levib nii nii eksploidipakkidega – veebilinkide teel – kui (Eestis eelkõige) ka kirjamanustega.

Lisaks kasutajaarvuti failiruumile on TeslaCrypt 4.0 võimeline krüpteerima draivitabelist leitavad võrgukettad (N:, R: jt).

Tänaseks ei ole ühtegi lahendust, mis võimaldaks TeslaCrypt 4 poolt krüpteeritud faile sajaprotsendiliselt taastada, mistõttu õigeaegne varundamine kujuneb kaitsestrateegia võtmeküsimuseks.

Tehnilisemat infot loe siit.

Mõned näited manustest, mis kannavad TeslaCrypt 4.0 lunavara:

ekraanitõmmis

Lõpetuseks

Mõne nädala jooksul, mis on möödunud artikli esimese osa kirjutamisest, on e-postkasti sopsatanud tervelt kolmkümmend pahavaranäidist, sh mitu lunavara.

Olgu need näited eeskujuks ja abiks omaenda postkastist pahaduse ülesleidmisel. Kuupäevadest paistab silma, et nakatamised toimuvad endiselt kampaaniatena.

ekraanitõmmis

30. aprillil 2016 suutsid turvaspetsialistid lahti murda Alpha nimelise lunavara krüpteeringu (eks ikka samal põhjusel – oskamatult tehtud).

Alpha näol on tegemist uue naljaka lunavaraga, mis küsib BitCoini asemel hoopis Amazoni kinkekaarte. Alpha vastu aitav ravim ja muu täpsem info on saadaval siin.