6/9/19

Όλα όσα πρέπει να ξέρετε για τους Ransomware

Κολλήσατε Ransomware ή Ιό Κρυπτογράφησης ;

13 ερωτήσεις - Απαντήσεις για να μπορείτε να τους αποφύγετε και να μην κρυπτογραφηθούν τα δεδομένα σας.

Ας ξεκινήσουμε από τα βασικά, στο παρακάτω άρθρο σας δίνουμε 13 απαντήσεις για το τι είναι Ransomware.

Οι Ransomware είναι κακόβουλα λογισμικά τα οποία επιτίθενται και κρυπτογραφούν τα δεδομένα του θύματός τους, ενώ στη συνέχεια ζητούν την πληρωμή λύτρων με μορφή Bitcoin για την αποκρυπτογράφηση.

Tι είναι Ransomware ; 13 απλές απαντήσεις
Με την έξαρση που παρουσιάζουν οι επιμολύνσεις από τους Ransomware τα τελευταία χρόνια, ακόμα και οι πιο έμπειροι χρήστες μπορεί να την πατήσουν, πόσο μάλλον οι λιγότερο εξοικειωμένοι.

Στη Northwind Data Recoveryχρησιμοποιούμε όλες τις διαθέσιμες τεχνικές για να μπορέσουμε να αποκρυπτογραφήσουμε τα δεδομένα που έχουν επιμολυνθεί, όμως κάποιες φορές ερχόμαστε στη δυσάρεστη θέση να ενημερώσουμε τους πελάτες μας ότι ούτε κι εμείς πλέον μπορούμε να κάνουμε κάτι για να τους βοηθήσουμε.

Τι κάνουν οι ιοί Ransomware ;


Για να μην βρισκόμαστε συχνά σε αυτή τη δυσάρεστη θέση, ετοιμάσαμε έναν οδηγό για να βοηθήσουμε – ενημερώσουμε όλους τους ενδιαφερόμενους για τον τρόπο με τον οποίο μπορούν να αποφύγουν τις επιθέσεις των Ransomware στο καλύτερο τoυλάχιστον δυνατό ποσοστό.

Ακολουθώντας αυτά τα βήματα, θα μπορείτε να θωρακίσετε τον Η/Υ σας και κατ'επέκταση τον εαυτό σας, τα δεδομένα σας, τη δουλειά σας και τους αγαπημένους σας από δυσάρεστα γεγονότα.

Σας προτείνουμε να ακολουθήσετε πιστά αυτόν τον οδηγό. Αν σας φαίνεται μεγάλος ή πολύπλοκος, ζητήστε από κάποιον με περισσότερη εμπειρία να σας βοηθήσει σε αυτά τα πρώτα βήματα.

Πως λειτουργούν οι Ransomware ; Βίντεο !

Στο παρακάτω βίντεο μπορείτε να δείτε αναλυτικά πως λειτουργεί ο Ransomware Petya και να καταλάβετε τι δεν πρέπει να κάνετε ή τι να αναγνωρίσετε αν κάτι τέτοιο συμβεί στον υπολογιστή σας.



      
         Παρακάτω σας αναφέρουμε όλα όσα πρέπει να κάνετε για να μην κινδυνεύετε...
από τους ιούς κρυπτογράφησης καθώς και σας αναλύουμε όλα τα βήματα για να προστατέψετε και τους υπολογιστές του γραφείου σας ώστε να μην χρειαστεί να πληρώσετε τα λύτρα που σας ζητάει ο Ransomware ιός σε bitcoin.


Πως μπορεί να μολυνθεί ο υπολογιστής από Ransomware ; 


Σας αναφέρουμε αναλυτικά 13 απλές απαντήσει για το πως μπορεί να μολυνθεί ο υπολογιστής σας.

1) ΚΑΝΟΝΑΣ ΠΡΩΤΟΣ:

> Έχετε Backup ;


Δεν χρειάζεται να πούμε πολλά εδώ, είναι ο βασικότερος κανόνας τον οποίο θα πρέπει να ακολουθείτε ανεξαρτήτως αν κινδυνεύετε να επιμολυνθείτε από Ransomware ή όχι. Στην περίπτωση που έχετε πρόσφατο backup και επιμολυνθείτε από Ransomware, το μόνο που έχετε να κάνετε είναι να απομακρύνετε την επιμόλυνση και να επαναφέρετε τα δεδομένα σας από το backup.

Δυστυχώς η απλή προσθήκη ενός σκληρού δίσκου στον Η/Υ σας και τήρηση των backup εκεί κάθε τόσο, δεν είναι αρκετή. Ο λόγος είναι ότι τα Ransomware θα στοχεύσουν σε όλους τους τοπικούς δίσκους του Η/Υ και σε όλους τους δικτυακούς δίσκους (πολλές φορές και σε αυτούς που δεν έχουν γίνει map). Αυτό σημαίνει ότι τα backup σε τοπικά και απομακρυσμένα μέσα θα κρυπτογραφηθούν επίσης.
Aurora Ransomware λύση back Up

Οι λύσεις σε αυτήν την περίπτωση είναι δύο: 
α) Τήρηση του 
backup σε Cloud με ό,τι αυτό συνεπάγεται (κόστος, πρόβλημα με την εχεμύθεια, αργή πρόσβαση)
β) Τήρηση του backup σε έναν δίσκο ο οποίος δεν είναι στο δίκτυο και αποσυνδέεται μετά την ολοκλήρωση του backup από τον Η/Υ.


2) ΚΑΝΟΝΑΣ ΔΕΥΤΕΡΟΣ:

> Έχετε καλό λογισμικό προστασίας ;


Σιγουρευτείτε ότι ο Η/Υ σας προστατεύεται από αξιόπιστο λογισμικό προστασίας. Προτείνουμε να εγκατασταθούν λογισμικά antivirus, anti-ransomware και anti-exploit τα οποία να έχουν τη δυνατότητα ανάλυσης της συμπεριφοράς του υπολογιστή και να σας ενημερώνουν αν εντοπίσουν μόλυνση από Ransomware, ακόμα και αν αυτοί είναι νέοι (zero day tolerance).
GandCrab anti ransomware λογισμικό προσταστίας λύση


3) ΚΑΝΟΝΑΣ ΤΡΙΤΟΣ:


> Έχετε τις ενημερώσεις του λειτουργικού συστήματος στην ώρα τους


Οι πιο πολλοί Ransomware εγκαθίστανται μέσω scripts τα οποία ονομάζονται exploit kits. Αυτά στοχεύουν σε αδυναμίες και τρύπες ασφαλείας του λειτουργικού συστήματος του Η/Υ (πχ. των Windows). Αν λαμβάνετε ειδοποίηση από τα Windows ότι υπάρχουν ενημερώσεις, εγκαταστήστε τις. Πολλές από αυτές τις ενημερώσεις αφορούν την ασφάλεια και σας προστατεύουν από κενά ασφαλείας, τα οποία θα προστατεύσουν τον Η/Υ από το να εκτελεί εντολές του επιτιθέμενου.

Ransomware ενημερώσεις Microsoft λειτουργικού συστήματος
Η Microsoft δημοσιεύει ενημερώσεις στο Patch Tuesday, το οποίο είναι κάθε δεύτερη Τρίτη κάθε μήνα, οπότε να είστε έτοιμοι να κάνετε αυτές τις ενημερώσεις και να επανεκκινήσετε τον Η/Υ σας εκείνη τη στιγμή για να ισχύσουν άμεσα οι αλλαγές.

Τα υπόλοιπα λειτουργικά συστήματα, όπως τις 
Apple ή οι διανομές Linux δημοσιεύουν ενημερώσεις όποτε αυτές είναι απαραίτητες. Να είστε προετοιμασμένοι να τις εγκαταστήσετε μόλις δημοσιευτούν για να εκμηδενίσετε τις πιθανότητες επιμόλυνσης.


4) ΚΑΝΟΝΑΣ ΤΕΤΑΡΤΟΣ:

> Διατηρείτε τα εγκατεστημένα προγράμματα ενημερωμένα ;


Ακριβώς όπως με τα λειτουργικά συστήματα, τα exploit kits στοχεύουν σε κενά ασφαλείας σε κοινώς χρησιμοποιούμενα λογισμικά και προγράμματα του Η/Υ, όπως η Java, ο Adobe Flash Player, o Adobe Reader και άλλα.

Ransom Note - Εγκατεστημένα προγράμαμτα ενημερωμέναΕπομένως είναι απολύτως αναγκαίο να τηρείτε τα εγκατεστημένα προγράμματα ενημερωμένα.

Για Windowsπροτείνουμε το Flexera Personal Software Inspectorτο οποίο θα κάνει έλεγχο των εγκατεστημένων προγραμμάτων και λογισμικών και θα σας ενημερώνει όταν υπάρχουν ανανεώσεις.
UPDATE: Μιας και το Flexera πλέον δεν είναι διαθέσιμο, προτείνουμε το FileHippo App Manager το οποίο είναι δωρεάν. 

Για Macπροτείνουμε το MacUpdate Desktop, το οποίο όμως δεν είναι δωρεάν.


5) ΚΑΝΟΝΑΣ ΠΕΜΠΤΟΣ:

> Τα φίλτρα SPAM σας είναι λειτουργικά ;


Ίσως η πιο διαδεδομένη μέθοδος διασποράς Ransomware είναι μέσω SPAM emails τα οποία παριστάνουν πως είναι δελτία αποστολής, τιμολόγια, βιογραφικά σημειώματα κλπ. 


Spam email Ελληνικό Λειτουργικά φίλτρα
Αν χρησιμοποιείτε web mail παρόχους όπως η Gmail, η Yahoo και η Hotmail, τότε τα περισσότερα από αυτά τα email φιλτράρονται πριν φτάσουν στο Inbox σας.

Δυστυχώς αν έχετε δικό σας domain και η υπηρεσία του SPAM filtering δεν λειτουργεί σωστά, πολλά από αυτά τα email θα καταλήξουν στα εισερχόμενά σας.


6) ΚΑΝΟΝΑΣ EKTOΣ:


> Ενεργοποιήσατε την προβολή των επεκτάσεων των αρχείων ;


Ransomware προστασία, ενεργοποίηση προβολής επεκτάσεωνΩς προεπιλογή, τα Windows και τα MacOS δεν δείχνουν την επέκταση των αρχείων όταν περιηγείστε σε έναν φάκελο. Αυτό βοηθάει τους επιτιθέμενους στο να ξεγελάσουν τον χρήστη κάνοντας τον να νομίζει ότι ένα εκτελέσιμο αρχείο είναι στην πραγματικότητα ένα πιο οικείο αρχείο όπως ένα αρχείο Word, Excel ή PDF. Το θύμα θα ανοίξει το αρχείο περιμένοντας να δει περιεχόμενο, όμως στην πραγματικότητα αυτό που κάνει είναι να εκτελεί το αρχείο που θα εγκαταστήσει το Ransomware.


Στην παραπάνω εικόνα φαίνεται ένα παράδειγμα όπου ένα κακόβουλο εκτελέσιμο αρχείο (.exe) παριστάνει ότι είναι .pdf. Με την ενεργοποίηση της προβολής των επεκτάσεων βλέπουμε την πραγματική του ταυτότητα (.pdf.exe).


7) ΚΑΝΟΝΑΣ ΕΒΔΟΜΟΣ:

> Ανοίξατε επισυναπτόμενα αρχεία που δεν γνωρίζετε την προέλευσή τους ;


Ransomware σε επισυναπτόμενο αρχείο excelΜε την επιμόλυνση από Ransomware μέσω SPAM email, είτε η ίδια η επιμόλυνση είτε ο downloader μέσω του οποίου κατεβαίνει η επιμόλυνση στον Η/Υ σας, βρίσκεται στα επισυναπτόμενα.

Αν λάβετε ένα email που περιέχει επισυναπτόμενο και δεν γνωρίζετε είτε γιατί το έστειλαν σε εσάς, είτε τον αποστολέα, μην το ανοίξετε.

Ransomware ιός σε excel
Στην παρακάτω εικόνα φαίνεται ένα email με επισυναπτόμενο το οποίο περιέχει τον Locky Ransomware. Όπως βλέπουμε, έχει ένα .xls επισυναπτόμενο (άρα φαινομενικά αθώο) και μας παρακινεί να το ανοίξουμε για να δούμε το τιμολόγιο που μας αποστέλλει κάποιος.
Αν κάνετε το λάθος και ανοίξετε το επισυναπτόμενο και δείτε μία προτροπή να ενεργοποιήσετε τις μακροεντολές ή το περιεχόμενο (Enable Macros ή enable Content), μην το κάνετε, γιατί αυτό θα κατεβάσει τον Ransomware στον
Η/Υ σας και θα ξεκινήσει την επιμόλυνση.



8) ΚΑΝΟΝΑΣ ΟΓΔΟΟΣ:


> Προσέχετε τι κατεβάζετε και από που ;


Τα δωρεάν downloads από το Internet, από Torrents και από P2P συνδέσεις μπορεί να ακούγονται δελεαστικά, όμως συχνά κρύβουν δυσάρεστες Ransomware εκπλήξεις.
Να προσέχετε πάντα να κατεβάζετε από ιστοσελίδες που εμπιστεύεστε και να προσέχετε που πατάτε ΟΚ.


9) ΚΑΝΟΝΑΣ ΕΝΑΤΟΣ:

> Μετονομάσατε το vssadmin στα Windows ;


Nemty Ransomware vssadmin WindowsΤα Shadow Copies χρησιμοποιούνται από τα Windows για να αποθηκεύουν αυτόματα Backup ή προηγούμενες εκδόσεις των αρχείων. Αυτά τα backup βοηθάνε στο να ανακτώνται δεδομένα που έχουν μεταβληθεί ή αλλοιωθεί.
Δυστυχώς οι δημιουργοί των Ransomware είναι αρκετά καλοί γνώστες αυτής της λειτουργίας, με αποτέλεσμα μία από τις πρώτες ενέργειες που κάνουν μόλις ξεκινήσει η επιμόλυνση είναι η διαγραφή όλων εκδόσεων των shadow copies εκτελώντας την εντολή vssadmin.exe.




Αν δεν έχετε λογισμικά που βασίζονται στο vssadmin προτείνουμε να το μετονομάσετε.

Για να μετονομάσετε το vssadmin θα πρέπει να “τρέξετε” το παρακάτω script:

@echo off
REM We are redirecting the output of the commands and any errors to NUL.
REM If you would like to see the output, then remove the 2>NUL from the end of the commands.


REM Check if vssadmin.exe exists. If not, abort the script


if NOT exist %WinDir%\system32\vssadmin.exe (
echo.
echo.%WinDir%\system32\vssadmin.exe does not exist!
echo.
echo Script Aborting!
echo.
PAUSE
goto:eof
)


REM Check if the script was started with Administrator privileges.
REM Method from http://stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights


net session >nul 2>&1


if %errorLevel% NEQ 0 (
echo.
echo You do not have the required Administrator privileges.
echo.
echo Please run the script again as an Administrator.
echo.
echo Script Aborting!
echo.
PAUSE
goto:eof
)


REM We need to give the Administrators ownership before we can change permissions on the file
takeown /F %WinDir%\system32\vssadmin.exe /A >nul 2>&1


REM Give Administrators the Change permissions for the file
CACLS %WinDir%\system32\vssadmin.exe /E /G "Administrators":C >nul 2>&1


REM Generate the name we are going to use when rename vssadmin.exe
REM This filename will be based off of the date and time.
REM http://blogs.msdn.com/b/myocom/archive/2005/06/03/so-what-the-heck-just-happened-there.aspx


for /f "delims=/ tokens=1-3" %%a in ("%DATE:~4%") do (
for /f "delims=:. tokens=1-4" %%m in ("%TIME: =0%") do (
set RenFile=vssadmin.exe-%%c-%%b-%%a-%%m%%n%%o%%p
)
)


REM Rename vssadmin.exe to the filename in the RenFile variable


ren %WinDir%\system32\vssadmin.exe %RenFile% >nul 2>&1


REM Check if the task was completed successfully


if exist %WinDir%\system32\%RenFile% (
echo.
echo vssadmin.exe has been successfully renamed
echo to %WinDir%\system32\%RenFile%.
pause
) else (
echo.
echo There was a problem renaming vssadmin.exe
echo to %WinDir%\system32\%RenFile%.
echo.
pause
)


:END




10) ΚΑΝΟΝΑΣ ΔΕΚΑΤΟΣ:

> Απενεργοποιήσατε το Windows Script Host ;

Windows Script Host απενεργοποίηση Ransomware

Πολλές Ransomware επιμολύνσεις εγκαθίστανται μέσω επισυναπτόμενων τα οποία είναι script γραμμένα σε JS ή VBS.
  • Αν γνωρίζετε τι είναι αυτά, έχει καλώς.
  • Αν όχι, προτείνουμε να απενεργοποιήσετε τη δυνατότητα εκτέλεσης τέτοιων αρχείων στα Windows. 
    Για να το κάνετε αυτό, ακολουθήστε τις οδηγίες της Microsoft από εδώ:
    https://technet.microsoft.com/en-us/library/ee198684.aspx

    Οδηγίες απενεργοποίησης Windows Script Host


    Αν το κάνετε αυτό και προσπαθήσει να εκτελεστεί script τέτοιου τύπου, θα λάβετε αυτήν την ειδοποίηση:

    11) ΚΑΝΟΝΑΣ ΕΝΔΕΚΑΤΟΣ:

    > Απενεργοποιήσατε το Windows Powershell ;


    Απενεργοποιήση Windows Powershell αποφυγή Ransomware


    Ομοίως με προηγουμένως, το PowerShell χρησιμοποιείται από τους επιτιθέμενους με σκοπό την εγκατάσταση των Ransomware ή ακόμα και την κρυπτογράφηση αρχείων.







    Αν δεν το χρησιμοποιείτε, απενεργοποιήστε το.

    Για να το κάνετε αυτό, πηγαίνετε Έναρξη> Γράψτε CMD> Enter
    και δώστε την ακόλουθη εντολή στο Command Prompt

    powershell Set-ExecutionPolicy -ExecutionPolicy Restricted
    Αν θέλετε να το ενεργοποιήσετε και πάλι,
    μπορείτε να αλλάξτε από την παραπάνω εντολή το 
    Restricted σε Unrestricted.




    12) ΚΑΝΟΝΑΣ ΔΩΔΕΚΑΤΟΣ:


    > Χρησιμοποιείτε πολύπλοκους κωδικούς ασφαλείας ;

    Πάντα να χρησιμοποιείτε πολύπλοκους, δύσκολους κωδικούς.
    Ξεχάστε τα 12345, 0000, 15101969 κ.ο.κ.
    Αντ'αυτών, χρησιμοποιείτε κωδικούς όπως 1@4t6Υ!&87kM-=^

    13) ΚΑΝΟΝΑΣ ΔΕΚΑΤΟΣ ΤΡΙΤΟΣ:


    > Απενεργοποιήσατε το Remote Desktop των Windows ;

    > Αλλάξατε την προεπιλεγμένη θύρα του ;

    Απενεργοποιήση Remote Desktop Windows αποφυγή RansomwareΑν δεν χρησιμοποιείτε το Remote Desktop, απενεργοποίηστε το. Είναι ένας από τους πιο διαδεδομένους τρόπους εισβολής στον Η/Υ σας.
    Αν το χρησιμοποιείτε και το χρειάζεστε, αλλάξτε την θύρα που χρησιμοποιεί για την επικοινωνία με τον έξω κόσμο.
    Για να το κάνετε αυτό:
    Έναρξη > Γράψτε 
    REGEDIT > Enter
    Στο παράθυρο που θα ανοίξει πηγαίνετε στο:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp και βρείτε την εγγραφή PortNumber στην δεξιά πλευρά του παραθύρου.
    Με διπλό κλικ επιλέξτε το, και στο παράθυρο που θα σας ανοίξει επιλέξτε 
    Decimalαλλάξτε το Value Data από 3389 σε ό,τι θέλετε εσείς.

    ΣΥΝΟΨΗ Tι είναι Ransomware ; 13 απλές απαντήσεις

    Ακολουθώντας αυτές μας τις οδηγίες θα έχετε θωρακίσει τον Η/Υ σας σε τεράστιο βαθμό.
    Στατιστικά 2019 Ransomware - Τι είναι Ransomware




    Στην δυσάρεστη περίπτωση που έχετε μολυνθεί από Ransomware,


    ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ ΑΜΕΣΑ!

    Αν θέλετε να κατεβάσετε τον οδηγό επιβίωσης 

    πατήστε εδώ...