CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

Spis treści:

1. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

2. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Skąd?

3. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Czym się bronić?

4. CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Jak się bronić?


Ostatnimi czasy obserwuje się natężenie ataków złośliwego oprogramowania typu CryptoLocker czyli programów, które szyfrują dane dostępne dla użytkownika i oczekują zapłaty za ich rozszyfrowanie. Temat dosyć przykry, bo praktycznie zawsze powoduje utratę danych (czasami jest to strata liczona w minutach pracy, czasami w godzinach, dniach czy nawet miesiącach…).

Po każdej takiej infekcji i negatywnym wpływie udanego ataku na organizację rodzi się pytanie – czy ataku można było uniknąć? Czy skutki mogły być mniejsze, mniej dotkliwe? Co zrobić aby w przyszłości sytuacja się nie powtórzyła?

Temat jest bardzo złożony i wieloaspektowy. Jeśli ktoś spłyca go do aktualnego antywirusa na stacji roboczej + backupów to gratuluję… 🙂 Można żyć i w takim przeświadczeniu aż przyjdzie przysłowiowy 0-day i „pozamiata”.

Cały problem zasadniczo sprowadzić można do zadania 4 podstawowych pytań (z 4 kategorii):

1. Zdarzenia – „Co?” (Co nas zaatakowało? Co nam „uszkodziło”? Co zrobiliśmy żeby uniknąć ataku? Co zawiodło? Co się działo podczas infekcji?)

2. Miejsca – „Gdzie?/Skąd?” (Gdzie/Skąd nas zaatakowało? Gdzie znajdowały się uszkodzone dane? Gdzie się bronić?)

3. Narzędzia – „Czym?” (Czym się bronić?)

4. Sposoby – „Jak?” (Jak wykryć atak? Jak się skutecznie bronić? Jak przywrócić dane? Jak działają Crypto*?)

 

Rozbijmy więc dywagacje na kilka części starając się udzielić odpowiedzi na zadane wyżej pytania. Zaczynamy od pytania „Co?”

Jak widać w samym tytule wyróżnić można kilka grup szyfrującego złośliwego oprogramowania: CryptoLocker’y, CryptoWall’e i Ransomeware’y. Każde z nich w efekcie robi to samo, czyli szyfruje dane, do których ma dostęp użytkownik – sobie tylko znanym kluczem, zmuszając użytkownika do zapłaty określonej kwoty za otrzymanie tegoż klucza celem odzyskania zaszyfrowanych danych.

Z punktu widzenia użytkownika końcowego odpowiedź na pytanie „co nas zaatakowało” jest mało istotna, bo właśnie stracił dostęp do swoich danych… Z punktu widzenia administratora jest za to (a przynajmniej być powinna) bardzo istotna. Ponieważ znając atakującego możemy opracować plan obrony – oczywiście najlepiej przy silnym wsparciu „bezpieczników” zaangażowanych a w analizę zachowania wroga.

Idziemy do kolejnego pytania z grupy „co” – tym razem odpowiedzmy na pytanie – co zostało uszkodzone? Jakie pliki? Wszystkie, czy tylko wybrane rozszerzenia? Same pliki? Czy również katalogi? Lokalne, czy również zdalne itd. No i pytanie – co jesteśmy w stanie „przeboleć” i poświęcić, a co z utraconych danych jest dla nas absolutnie krytyczne.

Na kolejne pytania z obecnej grupy będzie ciężko odpowiedzieć bez pełnej analizy – natomiast koniecznie trzeba je zadać i spróbować znaleźć odpowiedzi. Powyższa lista nie jest oczywiście listą obowiązkowych pytań i w żadnym wypadku nie stanowi wytyczonej kolejności – chodzi tylko o pokazanie schematu działań.

Więc pytamy dalej – co zrobiliśmy dotychczas/wcześniej żeby uniknąć ataku? Czy wiedzieliśmy wcześniej o istnieniu zagrożenia i je zignorowaliśmy uznając, że nas nie dotyczy? Czy próbowaliśmy wzmacniać naszą ochronę? Jeśli tak to co konkretnie zawiodło? Co nie zadziałało zgodnie z założeniami… a także pytanie bardziej proceduralne – co się działo podczas samej infekcji? Czy ktokolwiek wiedział o jej wystąpieniu? Czy użytkownik zauważył, że dzieje się coś złego? Czy poinformował o tym administratorów/bezpieczeństwo? Czy był to proces niezauważalny lub zignorowany przez użytkownika końcowego?

Znając odpowiedzi (lub chociaż mając ogólny zarys) jesteśmy coraz bliżej kompleksowej analizy przypadku i wypracowania mechanizmów ochrony w przyszłości.

Więc pytajmy, pytajmy i jeszcze raz pytajmy… ale nie pozostawiajmy pytań bez odpowiedzi! 🙂

3 thoughts on “CryptoLocker, CryptoWall, Ransomeware… – Skuteczna ochrona? – Intro

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *