MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Од минатата недела WordPress веб-страници се цел на масивна кампања со brute-force напади. Во криптографијата, напад со брутална сила (brute-force attack) се состои од напаѓач кој се обидува да ја погоди точната лозинка преку проби со многу можни лозинки. Напаѓачот систематски ги проверува сите можни лозинки додека не се најде точната.

Напаѓачите со оваа кампања се обидуваат да остварат пристап до голем број веб-страници со цел да постават алатка за генерирање на крипто валута Monero.

Според објавеното на порталот BleepingComputer, овој нападот е сеуште актуелен.

Од WordFence – компанија која се бави со услуги за безбедност на WordPress веб-страници, наведуваат дека ова е до сега најголемиот напад. Бројот на напади во одреден момент достигнал скоро 14 милиони напади во еден час, иницирани од над 10 000 различни IP адреси и насочени кон повеќе од 190 000 WordPress веб-страници.

Откако напаѓачите ќе добијат пристап до администраторскиот дел на WordPress веб-страница, на истата поставуваат алатка за генерирање на крипто валута Monero  или ги користат овие компромитирани страници за извршување на понатамошни напади. Според досегашните сознанија, напаѓачите со овие напади заработиле најмалку 100 000 долари, а безбедносните експерти сметаат дека оваа кампања е продолжеток на тренд од претходни три кампањи: Zealot, Hexman и Loapi.

 

Извор: BleepingComputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Нов рансомвер нарешен BadRabbit масовно се шири низ неколку држави во источна Европа. Главни цели на нападите се јавниот и приватниот сектор, како на пример украински аеродром, системот на подземната железница, украинското Министерство за инфраструктура, три руски новински агенции и др. Брзината со која се шири овој штетен софтвер наликува на WannaCry и NotPetya.

Овој рансомвер ги напаѓа Windows оперативните системи, и тоа верзиите од XP до 10. BadRabbit користи неколку вектори за напад, а еден од нив е ранливост во SMB протоколот што беше искористувана и претходно кај WannaCry и NotPetya. Microsoft во март оваа година издаде закрпа за постарите верзии на Windows. Без разлика дали е инсталирана закрпата, ранливи можат да бидат и целосно навремено ажурирани оперативни системи.

Овој нов рансомвер врши шифрирање на податоците на корисникот и криминалците бараат откупнина од 0.05 биткоини (~ 285 USD) како предуслов за отклучување на документите.

Според известувањето од Kapsersky Lab, инсталацијата на овој штетен софтвер се иницира од страна на корисникот и истата е маскирана како Adobe Flash Installer.

Истражувачите од команијата ESET го детектираат овој рансовер како „ Win32/Diskcoder.D “ – нова верзија на раносомвер Petya, познат и како Petrwrap, NotPetya, exPetr и GoldenEye.

BadRabbit користи DiskCryptor софтвер од тип отворен код, со кој се врши целосно шифрирање на диск. Шифрирањето е со RSA 2048 клучеви.

Во ESET веруваат дека овој нов бран на напади не ја искористува EternalBlue ранливоста. Наместо тоа, овој штетен софтвер најпрво ја проверува и скенира локалната мрежа за отворени SMB конекции. Потоа се обидува да ја изврши инсталацијата преку најава со кориснички имиња и лозинки од листа. Исто така ја користи и алатката Mimikatz за активности по успешна инфекција, со цел екстракција на лозинките од инфицираниот систем.

Пораката за откупнина бара од жртвата да се најави на Tor onion веб-страница за да го направи плаќањето и при тоа одбројува 40 часа пред зголемување на цената за откуп.

Како да се заштитите од BadRabbit?

Kaspersky Lab предлагаат да се исклучи WMI сервисот, со цел да се спречи ширење на штетниот софтвер преку локалната компјутерска мрежа.

Повеќето форми на рансомвер се шират преку фишинг електронски пораки, малициозни реклами поставени на сомнителни веб-страници, и како додатоци на други апликации и софтвери.

Секогаш внимавајте при отворање на додатоци – документи добиени по електронска пошта кои се испратени од непознат испраќач или кои не сте ги побарале. Како превенција секогаш потврдете го изворот на испраќање на пораките пред да ги отворите додатоците.

Никогаш не преземајте апликации од непотврдени и извори или страници кои не се официјални канали за дистрибуција на софтвер.

Редовно снимајте backup копија од важните документи на надворешни дискови кои не се секогаш приклучени на вашиот компјутер.

Задолжително активирајте и навремено ажурирајте антивирусна и антиспам заштита на вашиот компјутер.

 

Извор: The Hacker News

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Рансомвер (ransomware) е назив за група малициозни апликации кои го спречуваат корисникот да го користи својот компјутер или уред. После заразата рансомвер-от може да ги шифрира (encrypt) датотеките или да го оневозможи користењето на компјутерот на тој начин што се појавува почетниот екран при вклучување на компјутерот со одредена порака која не може да се тргне. Од корисникот чиј компјутер е заразен се бара откупнина во замена за понатамошно нормално користење на компјутерот. Во последно време се почести се случаите кога штетниот софтвер со кој е заразен компјутерот ги шифрира податоците на корисникот и во замена за нивно дешифрирање бара плаќање на одредени парични средства (т.н. крипто рансомвер)

Превенција

За подобрување на безбедноста на компјутерот и за да се намали можноста за зараза со некој тип на рансомвер, се препорачуваат следните активности:

• Редовно ажурирање на оперативниот систем;
• Редовно ажурирање на апликациите и програмите кои корисникот ги инсталирал на компјутерот;
• Да не се отвораат линкови/врски во пораките добиени по електронска пошта кои се испратени од сомнителни извори или не е познат испраќачот;
• Инсталација на антивирусна алатка и нејзино редовно ажурирање;
• Превентивна инсталација на некоја анти-рансомвер алатка, како на пример CryptoPrevent, Malwarebytes Anti-Ransomware или други;
• Да не се отвораат разни рекламни пораки на порталите и веб-страниците на интернет кои ги посетувате. Препорака е да се инсталира додаток за прелистувачот кој се користи со што се спречува прикажување на реклами, како на пример AdBlock Plus;
• Периодично креирање на т.н. точка за реставрација/враќање (Restore Point);
• Периодично креирање на безбедносна копија (Backup) од важните документи и нивно складирање на надворешен диск или сервер. Во случај на складирање на надворешен диск, веднаш по снимањето потребно е надворешниот диск да се исклучи од компјутерот, бидејќи во случај на зараза со рансомвер, штетниот софтвер ќе ги шифрира сите детектирани дискови (внатрешни и надворешни)

Нај ефикасен начин за одбрана од рансомвер е периодично креирање на безбедносни копии од важните документи (Backup). Насоки за Backup ќе најдете подолу во овој текст.

Спасување на шифрирани датотеки

Во случај вашите податоци да се веќе шифрирани, мала е веројатноста дека ќе ги добиете вашите податоци назад (доколку немате претходно спремен backup на посебен диск).

Успешноста на враќањето на датотеките зависи од две работи:

1. Дали на компјутерот пред да се случи заразата била овозможена функцијата “System restore”, како и од
2. Типот и верзијата на рансомвер со кој е заразен компјутерот

Еден од главните методи што може да се користи при обид за враќање на оригиналните датотеки е враќање на безбедносна копија од датотеките (т.н. Shadow Volume copy). Во случај кога во оперативниот систем е вклучена опцијата System Restore, при секое креирање на точка за враќање, автоматски се прави и безбедносна копија на датотеките. Иако поголемиот број на понови верзии на рансомер како дел од штетните активности ги бришат од компјутерот и овие копии на податоците, сепак постои веројатност таа активност да не се извршила со што ќе биде можно враќање на датотеките на верзија пред да се случи шифрирањето.

Враќањето на датотеките на претходни верзии наједноставно се прави со помош на апликацијата ShadowExplorer. Откако ќе се инсталира оваа апликација и по нејзино активирање, се прикажува екран на кој треба да се избере дискот од кој сакаме да вратиме претходна верзија на одредена датотека, датум и време на безбедносната копија од датотеката и самата датотека.

Во случај успешно да ја лоцирате датотеката, потребно е со десен клик на истата од паѓачкото мени да се избере опцијата „Export“ и потоа да се сними на локација во избор.

Враќање на датотеки со помош на опција „Previous Versions“

Постарите верзии на Windows Оперативниот систем (на пр. Windows XP) немаат поддршка за користење на програмот ShadowExplorer. Во тој случај може да се искористи можноста за враќање на поединечни датотеки преку опциите на екранот за Својства на датотеката. Со десен клик на конкретната датотека и со избор на опцијата „Properties“ се прикажува нов екран со својства на датотеката. Со клик на јазичето „Previous Versions“ може да се видат сите претходни верзии на датотеката.

Претходна верзија може да се види во случај кога пред промената настаната заради зараза со рансомвер и шифрирањето на датотеката се направени една или повеќе точки за враќање (Restore points) на системот. Со обележување на верзијата на датотеката на која сакаме да ја вратиме датотеката, и потоа со клик на копчето „Restore“, се отвора дополнителен прозорец кој бара потврда на активноста за враќање. По дополнителната потврда датотеката се враќа на претходно избраната верзија.

Враќање на датотеки со помош на апликација за враќање на избришани датотеки

Втор метод кој може да се користи се базира на фактот што некои типови на рансомвер најпрво ги шифрираат податоците и датотеките, и потоа ги бришат оригиналните не шифрирани верзии. Со помош на апликација за враќање на избришани датотеки можно е да се вратат оригиналните податоци. Овој метод за враќање на датотеки се препорачува како прва активност во случај на успешна зараза со рансомвер, бидејќи со секоја следна активност  на компјутерот (преземање и инсталација на програми) се намалува веројатноста за успешно враќање на избришаните датотеки.

Користењето на овој метод ќе го прикажеме преку користење на апликацијата за враќање на избришани датотеки Disk Drill.

Оваа апликација е потребно да се преземе од интернет и да се инсталира на компјутерот. При активирање на апликацијата се прикажува кориснички интерфејс во кој е потребно да се избере диск/партиција од која ќе се проба враќање на избришани датотеки. Потоа до опцијата Recover со клик на стрелката на доле се избира опцијата „Quick Scan“ или „Deep Scan“. За почеток може да се избере „Quick Scan“ кој трае пократко, и во случај да не успеете да ја најдете избришаната датотека може повторно да се обидете со опцијата „Deep Scan“.

По успешно завршување на скенирањето потребно е да се најде датотеката која треба да се врати, истата се обележува и се кликнува на копчето „Recover“ кое се наоѓа во горниот десен агол од екранот. Во горниот лев агол може да се избере локацијата на која ќе се врати датотеката.

Доколку ниту еден од горен наведените методи не вроди со плод како единствена опција останува детекција или откривање на типот и верзијата на рансомвер со кој е заразен компјутерот, и потоа да се проба да се најде соодветен програм кој ќе ги дешифрира датотеките на компјутерот. Алатки за дешифрирање на датотеките можете да најдете на веб страната https://www.nomoreransom.org/en/decryption-tools.html.

Компанијата TrendMicro има направено алатка за дешифрирање на шифрирани датотеки која се вика Trend Micro Ransomware File Decryptor. Оваа алатка ги содржи алгоритмите за дешифрирање кои се до сега познати, а нејзина специјалност е и автоматско препознавање на типот и верзијата на алгоритамот кој е користен за шифрирање од страна на рансомвер-от со кој е заразен компјутерот. Повеќе информации за оваа алатка ќе најдете на следната врска.

Повеќето можни решенија за поновите верзии на рансомвер за кои не се откриени начини за дешифрирање се сведуваат на претходно опишаните методи. Важно е да е напомене дека во случај на плаќање на откупнина не е сигурно дека ќе ги добиете назад отклучени вашите податоци. Доколку на ниту еден начин не успеете да дојдете до вашите податоци ви останува опцијата за креирање на копија од шифрираниот диск и нејзино складирање во случај подоцна да се открие начин за дешифрирање на датотеките.

Во случај кога вашиот компјутер не е заразен со рансомвер се препорачува изработка на безбедносна копија како единствено решение кое во 100% од случаите ќе ви овозможи враќање на шифрираните датотеки во случај на идна зараза.

Креирање на безбедносна копија од датотеките – Backup

Преку примерот за програмот EaseUs Todo Backup ќе објасниме како брзо и едноставно можете да се заштитите од рансомвер. За почеток е потребно да го преземете програмот од следниот линк:

http://www.todo-backup.com/products/home/download.htm

Креирање на безбедносна копија на група датотеки

Програмот нуди изработка на неколку видови безбедносни копии, од кои за почеток ќе го прикажеме начинот на изработка на безбедносна копија на група датотеки.

Овој вид на бекап е најоптимален бидејќи не се прави бекап на целиот диск или оперативен систем, со што се заштедува на време кое е потребно да се изработи копијата, како и на просторот за негово складирање/чување. Прв чекор е да се дефинираат податоците кои е потребно да се сочуваат . На прикажаниот пример се избрани сите датотеки на локација Desktop. Со клик на “Proceed” се отпочнува креирањето на безбедносната копија на податоците. Во полето „Destination“ може да се наведе локацијата на која ќе се запише безбедносната копија.

На сликата е прикажано дека по завршување на процесот безбедносната копија од избраните датотеки ќе биде снимена на локација: C:\My Backups.

Следен чекор е копирање на изработената безбедносна копија на надворешен сервер или на преносен медиум.

ВАЖНО!!! По изработката и копирањето на безбедносната копија на надворешен медиум, потребно е истиот да се исклучи од компјутерот чии податоци ги обезбедуваме бидејќи во случај на зараза со рансомвер се шифрираат сите податоци на сите дискови (вклучувајќи ги и преносните медиуми кои во моментот на зараза се приклучени на заразениот компјутер).

Враќање на датотеки од безбедносна копија

Во случај кога е потребно да се вратат датотеките потребно е да се приклучи преносниот медиум на компјутерот и со десен клик на безбедносната копија да се избере дали враќањето на датотеките да се направи на нивната оригинална или на некоја нова локација.

Изработка на безбедносна копија на систем

Втора опција при изработка на безбедносна копија на податоци е изработка на безбедносна копија на системот што вклучува безбедно складирање и чување на податоците од сите партиции кои се потребни за повторно подигнување на оперативниот систем. Во случај кога е потребно да се враќаат податоците од ваква безбедносна копија, не е потребно чистење на компјутерот од малвер и враќање на лични податоци. Безбедносната копија во себе содржи чиста верзија од оперативниот систем заедно со сите лични податоци кои се наоѓале на системските партиции во моментот на изработка на безбедносната копија. Овој вид  на безбедносна копија побарува повеќе ресурси, пред се време потребно за изработка како и простор. За нејзина изработка потребен е надворешен диск со доволно слободен простор (бидејќи на него треба да се запише копија од целиот оперативен систем заедно со личните податоци на корисникот). Прв чекор во изработка на безбедносната копија е избор на опцијата „System Backup“ од почетниот екран. Потоа се избираат поставките (локација, степен на компресија, приоритет на процесот …). Се препорачува да се остават сите поставки на оригиналните предложени вредности. Потоа со клик на „Proceed“ отпочнува изработката на безбедносната копија.

По изработката, безбедносната копија се запишува на локација што е избрана во претходниот чекор, во случајот прикажан на сликата на локација C:\My Backups. Копијата треба да се сочува на надворешен диск и потоа тој диск да се исклучи од компјутерот.

Враќање на систем со помош на креирана безбедносна копија

Во случај на зараза со рансомвер можно е да се врати системот и сите податоци во него, со помош на претходно креираната безбедносна копија.

Најпрво е потребно да се избере опцијата „Browse to Recover“, а потоа да се избере безбедносната  копија што сакаме да ја вратиме на системот.

Програмот автоматски препознава кои партиции се наоѓаат во безбедносната копија. Затоа потребно е само да се кликне на „Next“.

Следен чекор е избор на партиција на која сакаме да ја вратиме нашата безбедносна копија. Во случајот прикажан на сликата е избран целиот диск Hard disk 0. Можно е вашиот компјутер да има повеќе хард дискови, или повеќе партиции. Во тој случај треба да се избере партицијата на која се наоѓа оперативниот систем, како и партицијата која е резервирана од оперативниот систем  (System Reserved). Со клик на „Proceed“ се отвора нов прозорец во кој може да се види процесот на изработка на безбедносна копија. Потоа ќе се прикаже известување дека е потребно повторно да се стартува компјутерот. Треба да се кликне на „Reboot“. При повторното вклучување на компјутерот не се подига оперативниот систем. Наместо него, на екранот се прикажува програмот за враќање на безбедносна копија. Причина за ова е што не е можно враќање на оперативен систем во случај кога тој е активен на компјутерот. Од таа причина е потребно и рестартирање на компјутерот. На екранот се прикажува текот на враќањето на податоците и оперативниот систем.

По завршување на овој процес системот е вратен во состојбата кога е направена безбедносната копија. Со клик на затворање на прозорецот повторно се вчитува оперативниот систем со сите податоци и без рансомвер на него. По завршување на оваа активност задолжително треба да се инсталира и ажурира антивирусната заштита на компјутерот, со цел да не дојде до повторно заразување на компјутерот со истиот тип на рансомвер.