
Dosjet në kompjuterin tim janë enkriptuar, çka po ndodhë? Çka duhet të bëj?
Ransomueri mbetet edhe më tej kërcënimi më i madh sipas raportimeve të vitit 2017. Shtrirja e sulmeve të Ransomuerëve “WannaCry” dhe “NotPetya” – të mesit të vitit të kaluar – ka qenë e një shkalle të pa parë, duke afektuar përafërsisht 300,000 viktima në të gjithë Botën, të shpërndarë në më se 150 shtete të ndryshme. Vetëm WanaCry kishte shkaktuar dëme që vlerësohet të shkojnë deri në $4 miliard. Sektorët më të prekur ishin ata të shërbimeve shëndetësore, të telekomunikacionit, të transportit dhe ato të prodhimit. Më vonë gjatë të njëjtit vit, “Bad Rabbit”, kishte goditur Rusinë dhe pjesën lindore të Europës duke afektuar më shumë se 200 viktima, duke përfshirë Shërbimet shëndetësore, Transportin dhe sektorin financiar[1].
Ransomueri është një nga shkaqet kryesore që bizneset kanë filluar të investojnë në Sisteme të menaxhimit të sigurisë së informatave, në Analizë të rrezikut, në Infrastrukturë kritike dhe në Testime të sigurisë (depërtimeve).
Humbjet që u shkaktohen bizneseve shkojnë deri në $75 miliard.
‘Malware’-i më i sofistikuar mund të ketë deri në disa qindra ‘familje’ me nga disa qindra ‘fëmijë’. Ne do të përpiqemi t’i shqyrtojmë disa nga këto lloje, familjet e tyre dhe mënyrën e funksionimit.
HISTORIA E RANSOMUERËVE
Teknika e njëjtë e infektimit, ka zanafillën nga Joseph Popp i cili në vitin 1989 kishte krijuar një ‘malware’ për të fshehur kartotekat në diskun e kompjuterit të viktimës, i njohur si “Cyborg”[2] i kompjuterit, dhe i cili shpërndahej përmes disketave fleksibile (floppy disk) duke u kërkuar viktimave të paguanin një shumë prej $189 për t’ua kthyer shënimet në gjendjen e para-infektimit. Dekriptimi nuk ishte shumë sfidues, pasi çelësat për dekriptim ruheshin në të njëjtin vend me kartotekat e enkriptuara.
Ekzistojnë dy lloje të Ransomuerëve me logjikë të njëjtë, por me qasje të ndryshme.
Lloji i parë është “Locker Ransom”, i cili në vitin 2004 ishte bërë i njohur si Antivirus fals, i cili pasi i infektonte kompjuterët, i kyçte ata duke ua pamundësuar shfrytëzuesve qasjen derisa nuk paguhej shuma e kërkuar (rreth $200) e cila kërkohej të paguhej përmes Perfect Money apo Kartelave virtuale Visa – QIWI. Ndërsa pamjen e kishte sikur të ishte një softuer legjitim nga FBI dhe nga Policia. Ky Ransomuer, nuk i enkriptonte kartotekat, por vetëm ua pamundësonte shfrytëzuesve të përdorin kompjuterin e tyre, derisa nuk paguhej shuma e kërkuar.
Në vitin 2006, malueri “Seftad” kishte arritur të ndryshoi regjistrin kryesor të Diskut (Master Boot Record) duke pamundësuar kështu startimin e kompjuterit.
“CryZip” është një tjetër ransomuer, i cili përdorte librari komerciale të kompresimeve zip për të ruajtur të dhënat e shfrytëzuesit në arkiva zip të mbrojtura me fjalëkalim. Për t’u ekzekutuar, CryZip lidhej me kartotekat DLL te të gjitha proceseve aktive në kompjuter.
Lloji tjetër i Ransomuerit është “Crypto Locker”, i cili i enkriptonte të dhënat e shfrytëzuesve, duke kërkuar për prapashtesat më të mirënjohura të cilat mund të ruanin informata të rëndësishme për biznesin.
Në treg mund të gjenden ransomuerë për gati të gjitha llojet e kompjuterëve dhe pajisjeve mobile.
STATISTIKAT DHE DËMET
Sipas Datto, ransomuerët shkaktojnë dëme që kapin shifrën prej $75 miliard për çdo vit, ku 70% e kompanive të infektuara kanë paguar haraçin që t’u kthehen të dhënat. Pasi të infektohen, bizneset deklarojnë që humbjet e shkaktuara nga infektimi (downtime) kapin shumën prej $8,500 për çdo orë. Kriminelët kibernetikë kërkojnë shuma të ndryshme parash në secilin rast, varësisht nga institucioni që infektohet dhe nga gjendja kritike, duke startuar nga 40 bitcoin. Mirëpo, mesatarja e haraçit shkon nga $500 – $2,000. Një studim nga IBM thekson që një e katërta e drejtuesve të bizneseve, shprehin gatishmëri të paguajnë një shumë mes $20,000 dhe $50,000 për të rikthyer shënimet e enkriptuara nga ransomueri. Dhe po, për krijuesit e ransomuerëve, kjo është një veprimtari e leverdishme. Sipas Google, kriminelët kishin marrë rreth $25 miliard brenda dy viteve (2015-2016) përmes haraçit në këtë mënyrë.
Pas goditjes nga ransomueri SamSam në Mars të këtij viti, Atlanta e Gjeorgjisë (SHBA), kishte shpenzuar më shumë se $5 milion për rindërtimin e rrjetit kompjuterik.
SI FUNKSIONON RANSOMUERI
Vitin e kaluar, kam qenë i përfshirë në përgjigjen ndaj incidentit dhe analizën e maluerit për një numër të infektimeve me ransomuer. Versionet e fundit të ransomuerëve gjithnjë e më shumë po sillen si aplikacione legjitime, dhe si të tilla është gati e pamundur të detektohen gjatë aktivizimit të tij dhe gjatë procesit të enkriptimit.
Le t’i hedhim një sy procesit të veprimit të këtij ransomueri të publikuar nga “carbon” për të kuptuar se si funksionon në parim ky ransom.
Fillimisht, ransomueri shfrytëzon algoritmet për enkriptim (simetrik/asimetrik) të cilët me gjasë nuk kan ndonjë zbrazësi në operimin e tyre, pasi ata paraprakisht analizohen nga mijëra analist të kriptografisë dhe matematikanë.
Faza I – Infektimi: Mënyra më e zakonshme e infektimit të kompjuterëve është përmes Inxhinierisë Sociale (Social Engineering) të punonjësve të pavëmendshëm duke u dërguar atyre një e-mail dhe duke i nxitur ata të klikojnë në një link, të shkarkojnë një dokument të bashkangjitur .doc, .xml apo lloje të tjera, të shkarkojnë një torrent apo duke ua shfaqur atyre disa dritare (pop-up), gjatë shfletimit të tyre në ueb, me mesazhin ‘Kompjuteri juaj është i infektuar, Instaloje/ekzekutoje këtë anti-virus për ta eliminuar maluerin.’
Nëse kompania juaj përdorë ndonjë zgjidhje për anti-spam, hakerët duhet fillimisht të kalojnë atë. Kemi një shembull, ku disa muaj më parë ishte raportuar një exploit[3] i cili mundësonte shmangien e filtrave spam të Advanced Threat Protection (Mbrojta e Avancuar ndaj Kërcënimeve) i cili përdorët me të madhe në Office365, siç raporton The Hacker News.
Jo patjetër nevojitet veprimi i shfrytëzuesit për t’u infektuar një kompjuter. Para një jave, një nga shokët e mi më të mirë ka qenë viktimë e ransomuerit Dharma-CrySIS-Cesar, dhe gabimi i tij ka qenë konfigurimi i dobët. Ai kishte lidhur serverin e tij drejtpërdrejtë në Internet përmes një IP adrese publike dhe nuk kishte të instaluar ndonjë Antivirus apo ndonjë mur mbrojtës (firewall) dhe përveç kësaj, ai ishte duke shfrytëzuar shërbimet SQL, RDP dhe SMB. Rastet më të zakonshme janë RDP brute-force.
Faza II – Shfrytëzimi: Ransomueri gjithnjë pretendon të marrë privilegje sa më të larta në një sistem (NT Authority në Windows), ashtu që të ketë kontrollin e një kompjuteri dhe të mund të ndaloi shfrytëzuesit e tjerë të pengojnë apo të mbysin atë proces. Në hacking, kjo metodë e migrimit në proceset më të larta, njihet si ngritje e privilegjit (privilege escalation). Nëse një haker merr nën kontroll kompjuterin tuaj, ai së pari do të fshijë kopjet (shadow copies), ashtu që t’ua pamundësoi kthimin e të dhënave. Pas kësaj, ai do të shfuqizoi (disable) aplikacionet “cmd” dhe “power shell”, madje do t’ua bllokoi edhe funksionimin e miut. Në ndërkohë, në prapavijë, Ransomueri do të vazhdoi të enkriptoj të dhënat tuaja me një çelës privat i cili më vonë do të raportohet tek Qendra e Kontrollit të Ransomuerit. Kartotekat e juaja do të enkriptohen dhe do të ri-emërohen me një prapashtesë të cilën do t’ia caktoj ransomueri. Zakonisht, pasi të enkriptohet folderi, do të krijohet një kartotekë e shkruar me notepad e cila do të ketë të dhënat në lidhje me familjen e ransomuerit dhe të dhënat për pagesën. Për të bërë edhe më të vështirë gjetjen e gjurmëve, pagesa kërkohet të bëhet përmes kripto-valutave. Ashtu që ju të mund të merreni vesh për çmimin, ata ua dërgojnë disa e-mail adresa si: payransom@qq.com apo, divine@cock.lu apo do t’u japim instruksione që të instaloni shfletuesin tor ashtu që të mund t’i qaseni domenit .onin të dark-uebit që pastaj të merrni instruksionet e nevojshme për të bërë pagesën. Ka raste kur viktimat kanë paguar haraçin dhe kanë pranuar çelësat e dekriptimit. Mirëpo kjo NUK është një praktikë e mirë. E para, nuk ka kurrfarë garancie që ju të pranoni çelësat e dekriptimit pasi të paguani haraçin, dhe e dyta, duke paguar haraçin ju po stimuloni që kjo dukuri të mos ndalet por përkundrazi të vazhdohet dhe të avancohet.
Faza III – Fshehtësia dhe Përhapja: Nëse e hetoni ransomuerin në fazat e hershme derisa exploit është duke u ekzekutuar, me të ri-startuar të sistemit procesi do të humbet apo mbytet. Mirëpo, kriminelët e kanë menduar këtë skenar dhe për këtë ata kanë krijuar disa kopje të ransomuerit në C:\Users\%username%\AppData\Local\ransomware.exe, dhe e vendosin një kopje të aplikacionit në folderin startup duke i ndryshuar çelësat e regjistrit (registry keys) ashtu që aplikacioni të ekzekutohet edhe pas ri-startimit të kompjuterit. Ata lidhen me qendrën e kontrollit nga sistemi i komprometuar për të dërguar dhe pranuar instruksionet. Ju mund të kontrolloni, përmes Wireshark, nëse vëreni ndonjë lëvizje të dyshimtë apo nëse kompjuteri i juaj është lidhur me ndonjë server të panjohur. Nëse i kontrolloni çelësat e regjistrave, do të gjeni që aty janë krijuar disa regjistra të rinj. Nëse ransomueri është i dizajnuar të përhapet përmes Internetit, ata zakonisht e bëjnë këtë përmes shërbimeve SMB dhe RPC.
Ransomueri më i ri – Dharma-CrySIS, i njohur me prapashtesat e tij .audit, .adobe, .gamma etj., fillimisht i enkripton dosjet e sistemit, e pastaj i enkripton dokumentat, dhe pas kësaj i shfuqizon shumicën e funksioneve të Sistemit Operativ, bllokon funksionimin e miut, e shfuqizon Anti-virusin, murin mbrojtës (Firewall), i fshinë kopjet hije (shadow copies), i shfuqizon veçoritë e Windowsit, e shfuqizon funksionimin e tasteve Alt+Ctrl+Delete, përderisa në prapavijë vazhdon me enkriptimin e shënimeve. Ju nuk mund të kontrolloni memorien RAM të kompjuterit me këtë rast, që të shihni nëse po i mban çelësat privat të dekriptimit, pasi ju jeni komplet të bllokuar sa që nuk mund të lëvizni as treguesin e miut.
KUSH MUND T’I DEKRIPTOJ DOSJET E MIA?
Kurë kompanitë bien viktimë e ransomuerit, e para gjë që iu bie ndërmend është të thërrasin një Profesionist të Sigurisë të TI për të zgjidhë problemin e tyre. Edhe pse kjo nuk është ide e keqe, prapë se prapë ransomueri është malueri më i sofistikuar në treg dhe gjërat nuk jan më aq të thjeshta.
Nëse keni rënë viktimë e një sulmi të tillë, puna e parë që iu rekomandojmë të bëni është shkyçja e kompjuterit tuaj nga rrjeti, ashtu që të mos infektoni kompjuterët e tjerë. Pas kësaj, raportoni për rastin dhe kontaktoni specialistët e Sigurisë së TI-s për ndihmë.
Ransomueri përdorë exploit-in “zero-day” për të operuar. Mirëpo, gjatë zhvillimit të tyre mund të mbetet ndonjë dobësi, dhe pikërisht këtu mund të hyjnë në punë Hulumtuesit e Sigurisë, të cilët mund të përdorin këtë dobësi për të dekriptuar dosjet e enkriptuara.
McAffe, AVG, AVAST, Kaspersky, Emisoft dhe Bitdefender janë duke kryer hulumtime dhe analiza të ransomuerëve, mirëpo Policitë Federale në shumicën e rasteve janë duke ndikuar në rezultate për shkak të përgjimit të qendrave të komandës dhe kontrollit.
Me iniciativë të Europol-it dhe kompanive të cekura më lartë, është publikuar një ueb-sajt http://www.nomoreransom.org, i cili mban një bazë te të dhënave me çelësat për dekriptim të ransomuerëve, dhe e cila përditësohet rregullisht. MBANI NË MEND këtë adresë, pasi në situata të caktuara mund t’iu shpëtoj jetën.
Shumica e ransomuerëve dekriptohen me ndihmën e zhvilluesve të tyre, duke i publikuar çelësat për dekriptim në ueb apo në dark-ueb. Rasti i fundit ishte me zhvilluesit e GandCrab v5, të cilët i publikuan çelësat për dekriptim, pasi një baba sirian kishte shkruar në twitter duke thënë që i kishte humbur fotot e fundit të fëmijëve të tij të vrarë në luftë, pasi ato ishin enkriptuar nga GandCrab.
SI TË MBROHEMI NGA RANSOMUERËT
Nëse jeni aq me fat sa që nuk jeni prekur akoma nga ransomuerët, ju këshillojmë të kujdeseni për Infrastrukturën dhe Sigurinë e Kompjuterit tuaj:
- Rregullisht bëni back-up të shënimeve, dhe atë jo në disqe të jashtme të montuara në kompjuter/server, por në disqe të cilat i ndani dhe i ruani të ndara nga kompjuteri juaj. Apo në qendra te të dhënave apo në cloud si OneDrive, Google Drive, Adobe apo Amazon të cilët kanë filluar të ofrojnë shërbime në cloud për mbrojtje ndaj ransomuerëve. Në treg mund të gjeni softuerë për Backup të cilët ofrojnë mbrojtje nga ransomuerët, e cila mund të jetë një zgjidhje më pak e kushtueshme për periudha më të shkurtëra.
- MOS i kyçni serverët e juaj drejtpërdrejtë në Internet përmes një IP adrese publike. Përdorni NAT, Firewall apo ndonjë zgjidhje tjetër me anti-virus dhe përdorni vetëm shërbimet që iu nevojiten.
- Edukoni shfrytëzuesit në çështjet e sigurisë.
- Përditësoni sistemin dhe aplikacionet e sidomos Sistemin Operativ të Microsoft-it, Adobe Flash, Java dhe SQL Server. Po ashtu, përditësoni shfletuesin e uebit.
- Përdorni një zgjidhje Anti-spam. Microsoft-i ka publikuar ‘sandbox’ për shfrytëzuesit që pranojnë e-mail nga Office365, i cili pasi të klikoni në një link që pranoni me e-mail, së pari ai ridrejtohet tek sandbox, kontrollohet, validohet dhe nëse nuk vërehet diçka e dyshimtë do t’i pasohet shfrytëzuesit.
Siç edhe e pamë nga sa u tha më lartë, për mbrojtje nga Ransomuerët nuk ekziston një zgjidhje ‘kurdise dhe lëshoje’, dhe për këtë arsye ju duhet të ndërmerrni të gjithë hapat e nevojshëm të mbrojtjes, dhe atë sa më parë – para se të infektoheni.
Nëse keni diçka për të shtuar në lidhje me këtë artikull, apo keni qenë viktimë/dëshmitar i një infektimi nga Ransomueri, mund ta ndani përvojën tuaj me ne duke lënë ndonjë koment në faqen tonë në Facebook apo në LinkedIn.
Në fund, ju lusim që këtë artikull ta shpërndani me të tjerët, ashtu që të ndikoni në ngritjen e vetëdijes në lidhje me këtë rrezik.
[1] Internet Organized Crime Threat Assessment (IOCTA) 2018
[2] Cyborg – person hipotetik, aftësitë fizike e të cilit shtohen përtej aftësive të zakonshme, përmes elementeve mekanike të cilat i ndërtohen në trup.
[3] Exploit – vegël softuerike e projektuar për të përfituar nga mangësitë e një sistemi kompjuterik për të instaluar aty ndonjë maluer.
Tag:Bad Rabbit, Crypto Locker, CryZip, Cyborg, Locker Ransom, malware, NotPetya, Ransomware, SamSam, Seftad, WannaCry