Izsiljevalski virus

Izsiljevalski virus lahko močno ogrozi razpoložljivost naših podatkov. Zlonamerna koda, ko okuži naš računalnik, datoteke na našem disku, strežnikih, do katerih imamo dostop, oblačnih storitveh, itd., šifrira datoteke oziroma jih zaklene. To posledično pomeni, da kljub temu, da so datoteke še vedno na našem disku oziroma imamo do njih še vedno dostop, ne moremo prebrati njihove vsebine. Do vsebine datotek je mogoče dostopati le, če posedujemo digitalni ključ, ki te podatke odklene oziroma dešifrira. Ta ključ je v lasti napadalca, ki v zameno, da nam ga preda, zahteva plačilo odkupnine v obliki kriptovalute Bitcoin (v osnovi je to elektronski denar, katerega vrednost določa povpraševanje in ponudba na trgu). Omenjena kriptovaluta omogoča transparentno in anonimno plačevanje kar v praksi pomeni, da je praktično neizsledljiva za organe pregona. Višina odkupnine se razlikuje glede na število datotek, ki jih virus šifrira (več datotek, kot jih izsiljevalkski virus doseže, višja je odkupnina). Jasen znak, da smo našo napravo okužili z izsiljevalskim virusom so pojavna okna, ki se začnejo pojavljati, ko virus opravi svoje delo. Primer pojavnega okna:

Vsebina pojavnih oken je ne glede na to s katero različico izsiljevalskega virusa imamo opravka precej podobna. S pomočjo njih napadalci svojim žrtvam razložijo kaj se je zgodilo, s pomočjo katere tehnologije in opišejo način, kako lahko uporabniki pridejo nazaj do svojih datotek. Opisani način seveda vsebuje plačilo odkupnine v zameno za digitalni ključ s katerim odklenemo datoteke.

Ukrepanje v primeru izsiljevalskega virusa

Ko opazimo sumljiva pojavna okna na našem zaslonu je potrebna hitra reakcija. Od tega je lahko odvisno kako velika bo končna škoda in tudi koliko časa bo potrebno, da pridobimo naše datoteke nazaj. Ukrepanje lahko razdelimo v pet korakov. Prvi in peti korak sta v domeni vseh uporabnikov IKT⁵, drugi, tretji in četrti pa v domeni tehnične službe:

1. Odklopite vse povezave iz računalnika; Prvi korak je ključnega pomena, saj lahko s hitro reakcijo zelo omejite škodo, ki lahko nastane v organizacijskem okolju. Ko opazite nenavadna pojavna okna, nemudoma odklopite kabel za napajanje ali mrežni kabel iz računalnika. Če smo v tem koraku dovolj hitri, bomo pravočasno okuženo napravo ločili od preostalega omrežja organizacije in preprečili bistveno večjo škodo. Če se okužba zgodi na prenosniku v katerega niso priključeni nobeni kabli, je potrebno izključiti Wi-Fi⁶ dostopno točko, preko katere je računalnik povezan v omrežje organizacije.

2. Ugotavljanje obsega okužbe; Ugotavljanje nastale škode je pomembno tako iz finančnega vidika kot iz potrebnega časa za povrnitev v prvotno stanje pred incidentom. Izsiljevalski virusi so večinoma zasnovani tako, da iščejo vse povezave iz okužene naprave oziroma dostop do vseh podatkov, ki se ne nahajajo na trdem disku okužene naprave, kot so npr. povezani strežniki, oblačne storitve, datoteke v skupni rabi, itd. Okužijo lahko namreč tudi tovrstne datoteke, ki so dostikrat razpršene po celotnem sistemu organizacije.

3. Ugotavljanje tipa izsiljevalskega virusa; Preden začnemo nastalo situacije reševati, je potrebno ugotoviti s čim imamo opravka. Včasih imamo lahko nekaj sreče v nesreči in za našo težavo že obstaja brazplačna rešitev na spletu. Te rešitve so na voljo za tiste oblike izsiljevalskega virusa, kjer so strokovnjaki našli napako v programski kodi in jo uspeli izkoristiti za izdelavo rešitve. Le-te so na voljo brezplačno in jih uporabniki lahko najdejo na spletu⁷.

4. Povrnitev naših podatkov v prvotno stanje; V tem koraku imamo več možnosti:

1. Če imamo nekaj sreče in smo našli brezplačno rešitev na spletu, potem je to vsekakor priložnost, ki jo moramo izkoristiti.

2. Lahko sledimo navodilom napadalcev, plačamo odkupnino in najverjenteje dobimo digitalni ključ za dešifriranje naših podatkov. Verjetnost, da bomo ključ dejansko dobili je relativno visoka, saj gre pri izsiljevalskemu virusu za neke vrste poslovni model, kjer je glavni cilj napadalcev zaslužek. Če se oni ne držijo svojega dela »dogovora« potem poslovni model v praksi ne more delovati.

3. Povrnitev podatkov iz varnostnih kopij je najboljša opcija za večino situacij. Za uspešno izvedbo tovrstnega ukrepa seveda potrebujemo kvalitetne in ažurne varnostne kopijo, za katere mora poskrbeti organizacija.

5. Zaščita v prihodnje; Iz nastale situacije uporabnik največ odnese, če se pri tem tudi nauči, kako se v prihodnje tovrstnemu incidentu izogniti oziroma občutno zmanjšati tveganje, da se ponovi. V tem delu moramo biti pozorni predvsem na:

1. Posodabljanje operacijskega sistema in antivirusnega programa. Ta korak namreč precej pripomore k nižji stopnji tveganja, še vedno pa ne zagotavlja popolne varnosti.

2. Izdelavo varnostnih kopij. Brez njih težko rešujemo tovrstne in tudi druge težave, ki zadevajo razpoložljivost naših podatkov. Če v organizaciji za to ni poskrbljeno, poskrbite zaposleni sami. Prihranite si lahko ogromno težav, če pride do kakršnegakoli incidenta.

3. Izobraževanje nas samih. Ko v medijih zasledite pojav določene zlonamerne kode, goljufije ali povečanega tveganja za organizacijo nasploh, se s tem seznanite in širite svoje razumevanje tveganj, ki težijo uporabnike IKT.

Primer št. 7:

Kaj se je zgodilo: Napdalci so hotelski kompleks uspeli okužiti z izsiljevalskim virusom. Omenjena zadeva sama posebi nebi bila tako sporna, če nebi kompleks bil sodobne narave, z elektronsko vodenimi ključavnicami.

Posledice: Ker je izsiljevalski virus okužil tudi del sistema, ki je skrbel za pravilno delovanje elektronskih ključavnic, gostje hotela niso mogli v ali iz sobe. Hotelsko osebje oziroma pristojni so za rešitev problema potrebovali nekaj ur, kar pomeni, da je bivanje v hotelu za ta čas bilo precej moteno. Na koncu so plačali odkupnino, saj druge (hitre) rešitve ni bilo.

Primer št. 8:

Kaj se je zgodilo: Slovensko podjetje, ki deluje v avtomobilski industriji je bilo žrtev izsiljevalskega virusa. Do incidenta je prišlo tako, da je nekdo od zaposlenih odprl okuženo priponko v elektronski pošti.

Posledice: Virus je okužil večji del proizvodnje in jo tudi onemogočil za določen čas. Podjetje je sicer dobro organizirano in pripravljeno na incidente. Ker so imeli varnostne kopije so lahko vse podatke povrnili iz njih, težava pa je bila v tem, da za čas trajanja povrnitve podatkov iz varnostnih kopij, proizvodnja ni mogla delovati. Podjetje je utrpelo poslovno škodo, kljub uspešno rešenemu incidentu. Informatiki so v podjetju izvedli interno izobraževanje na temo izsiljevalskih virusov in nalinih preprečevanja okužbe oziroma pravilnega ravnanja v primeru, ko do okužbe pride.

Primer št. 9:

Kaj se je zgodilo: Organizacija, ki pripravlja strokovno revijo na svojem področju delovanja, je utrpela okužbo z izsiljevalskim virusom. Revija izhaja na nekaj mesecev. Zaradi okužbe z omenjeno zlonamerno programsko kodo, je bil, posledično, dostop do datotek za tisk onemogočen. Druge varnostne kopije ni bilo. Organizacija sicer ima urejono področje varnostnih kopij, omenjeni računalnik na katerem se je urejala revija, pa ni bil na prioritetni listi.

Posledice: Organizacija je utrpela škodo v smislu ugleda, saj so morali prekočiti izdajo revije. Finančne posledice niso bile velike, saj je organizacija odklonila plačilo odkupnine, ker je ta bila pravisoka. Konsistenčnost je dandanes lahko odločilen faktor v poslovnem svetu.

Primer št. 10:

Kaj se je zgodilo: Znan slovenski medij je utrpel okužbo z izsiljevalskim virusom. Krivec za okužbo je bil eden izmed vodij organizacije⁸. V tem primeru je šlo za spoofing elektronske pošte (način ko napadalci ponaredijo elektronski naslov nekoga in nam pošljejo elektronsko sporočilo), kjer so napadalci ponaredili elektronski naslov zaposlenega v organizaciji. Oseba, ki je sprožila okužbo je bila v odhajanju iz službe (konec delovnega časa) in je zadnji trenutek odprla priponko v elektronskem sporočilu. Ker je priponka delovala prazna, se je odločila, da bo naslednji dan reševala nastalo situacijo. Nevede, da gre za okužbo z izsiljevlskim virusom je zapustila delovno mesto in odšla domov.

Posledice: Naslednji dan na delovnem mestu so udotovili, da je virus zaklenil večino datotek na njihovih strežnikih. Večino so nato povrnili iz varnostnih kopij, določen odstotek pa je bil igubljen in so datoteke morali nadomestiti s ponovnim delom in komunikacijo z njihovimi naročniki.