Zaščita pred virusi

 

Aljaž Potočnik – Dnevnik, 1. december 2015

 

Slovenske računalnike je zajel val okužb z izsiljevalskim virusom TeslaCrypt 2.0. Zlonamerna koda se širi po elektronski pošti, in sicer če odprete priloženo priponko z imenom love.zip.

Zlonamerna elektronska pošta s tem virusom, ki je nikar ne odpirajte, je prepoznavna po tem, da ima v zadevi sporočila datum v ameriškem zapisu (recimo 12/02/2015 8:22:58 AM). Kot je pojasnil Tadej Hren iz Nacionalnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT, so izsiljevalci tokrat izbrali zanimivo strategijo. Sporna datoteka love.zip namreč ne vsebuje samega virusa, temveč le kodo, ki s spleta povleče pravi virus. Ta imetniku računalnika nato zašifrira datoteke, s čimer postanejo nedostopne. Od uporabnika nato zahteva plačilo 500 ameriških dolarjev v digitalni valuti bitcoin v zameno za ključ, s katerim lahko ponovno odklenete dokumente. SI-CERT običajno zabeleži eno ali dve prijavi izsiljevalskega virusa na teden, tokrat pa je v le nekaj dneh na njihov naslov prišlo že okoli 30 prijav. Število okužb je verjetno še večje. Zakaj je do tako velikega števila okužb prišlo prav ta konec tedna, na SI-CERT ne vedo.

 

»Izsiljevalski virusi niso novost,« je dejal Hren. »V preteklosti so bili sicer malce drugačni. Vsaj od leta 2014 pa se pojavljajo različice, ki zašifrirajo datoteke. Na začetku so bili napadi osredotočeni predvsem na poslovne uporabnike, letos pa so se začeli izrazito širiti tudi na domače računalnike. Takšnih napadov je čedalje več. Če danes dobiš virus, je zelo velika verjetnost, da je izsiljevalski.«

 

Še pred nekaj leti je veljalo, da je elektronska pošta postala varna, v zadnjem času pa se je trend obrnil. Hren uporabnikom svetuje, da so previdni. Predvsem ko prejmejo sporočila od neznancev in ta vsebujejo priponke. Prav te najpogosteje vsebujejo zlonamerno kodo, ki je ne odpirajte, dokler se ne pozanimate pri pošiljatelju, kaj vam je poslal. Če ste v dvomu, se lahko obrnete na strokovnjake na SI-CERT (01/ 479 88 22 ali cert@cert.si).

 

Izvor tokratnega napada še ni znan, a pri SI-CERT sumijo, da gre za kriminalne združbe iz vzhodne Evrope. Pri odkrivanju nepridipravov policijo ovira tudi način plačila z digitalno valuto bitcoin. Ta je tudi sicer priljubljena med spletnimi izsiljevalci, saj omogoča anonimnost prejemnika plačila. Ker ni mogoče slediti denarnemu toku, policiji doslej še ni uspelo izslediti nobene takšne izsiljevalske združbe. Pred časom je španski policiji uspelo zasačiti skupino, ki je uporabnike poskušala prelisičiti, da bi plačali lažno policijsko globo. Po ocenah oblasti so izsiljevalci z virusom Reveton takrat zaslužili milijon evrov na leto, dobili pa so jih tudi zato, ker so uporabljali drug, bolj sledljiv plačilni sistem. V primeru virusa TeslaCrypt 2.0 so izsiljevalci za še večjo varnost pred izsleditvijo spletno stran z navodili, kako plačati, postavili na omrežju tor, ki je del temnega spleta.

 

»Predvsem je treba biti pozoren, da do okužbe ne pride,« je še enkrat opozoril Hren. »Poleg tega uporabniki nimajo težav, če imajo varnostne kopije svojih pomembnejših dokumentov. Problem nastane pri tistih, ki jih nimajo, a nujno potrebujejo ugrabljene datoteke. Predvsem izsiljevalcem nikakor ne plačajte, saj s tem le spodbujate nadaljnje napade in podpirate kriminalno podzemlje. Tisti, ki so izsiljevalcem plačali, so SI-CERT sicer sporočili, da so prejeli program za odšifriranje zaklenjenih datotek.

Okužbo je dokaj preprosto odpraviti. Odstrani jo lahko že protivirusni program, a to ne reši samega problema. Datoteke namreč kljub odstranitvi virusa ostanejo šifrirane. Najboljša rešitev za odpravljanje virusnih okužb, kadar na glavnem trdem disku nimamo nepogrešljivih datotek, je, da ponovno naložimo operacijski sistem. S tem izgubite vse podatke na disku, a ste vsaj prepričani, da na njem ni virusov.