You are on page 1of 6

CENTRUL NAIONAL DE RSPUNS LA INCIDENTE DE SECURITATE

CIBERNETIC CERT-RO

GHID
privind combaterea amenint a rilor informatice
de tip ransomware

- Versiunea: 1.0 / Data: 15.03.2016 -

1/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro
1. Despre ransomware
Ransomware-ul este un malware (software maliios) ce mpiedic accesul la fiiere, sau chiar la ntregul
sistem informatic infectat, pn la plata unei recompense (ransom). Astfel, ransomware-ul este una dintre
cele mai suprtoare forme de malware, ntruct produce pagube financiare directe, iar de cele mai multe
ori fiierele criptate de malware nu pot fi decriptate.

Pentru a ngreuna procesul de recuperare a fiierelor, ransomware-urile blocheaz accesul la fiiere


(documente, fotografii, muzic, video etc.) prin criptarea asimetric a acestora.

Avnd n vedere evoluia acestui tip de ameninare, att prin prisma activitii CERT-RO, dar innd cont i
de cele mai recente studii ale companiilor de securitate cibernetic, ne putem atepta ca n anul 2016 tot
mai muli ceteni, instituii i companii s fie afectate de ransomware. Din acest motiv, singurul rspuns
adecvat acestei ameninri este prevenia.

n acest context, Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO recomand
utilizatorilor i organizaiilor din Romnia s respecte urmtorul set minim de msuri n scopul prevenirii
infectrii cu ransomware, dar i pentru diminuarea daunelor produse n eventualitatea infectrii.

2. Msuri de prevenie
CERT-RO v recomand implementarea urmtoarelor 10 msuri de prevenire a infeciilor cu diferite forme
de malware, n special ransomware:

1. Fii precaui
Aceast recomandare este general valabil pentru a spori securitatea sistemelor informatice pe care
le utilizai/administrai. Este deja bine-cunoscut faptul c utilizatorul reprezint veriga cea mai slab
din lanul ce formeaz securitatea cibernetic, fapt pentru care majoritatea atacurilor vizeaz
exploatarea componentei umane (social engineering, phishing, spear phishing, spam etc.). n
consecin, v recomandm s nu accesai link-urile sau ataamentele coninute de mesajele email
suspecte nainte de a verifica n prealabil sursa/legitimitatea acestora. De asemenea, o atenie sporit
trebuie acordat site-urilor web pe care le accesai i surselor online pe care le utilizai pentru
descrcarea sau actualizarea aplicaiilor.

2. Facei copii de siguran (backup) ale datelor


Cea mai eficient metod pentru combaterea ameninrii ransomware este realizarea periodic de
backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Astfel, chiar dac accesul
la date este blocat de ctre un ransomware, datele dumneavoastr vor putea fi restaurate rapid, iar
daunele provocate vor fi minime.
IMPORTANT! Pentru backup utilizai un mediu de stocare extern care nu este conectat n
permanen la sistem, altfel existnd riscul ca, n cazul infectrii cu ransomware, s fie criptate i
fiierele de pe respectivul mediu de stocare.

2/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro
3. Activai opiunile de tip System Restore
n cazul sistemelor de operare Windows, v recomandm activarea opiunii System Restore pentru
toate partiiile de stocare. n cazul infectrii sau cu malware sau compromiterii unor fiiere (chiar i
fiiere de sistem), datele ar putea fi rapid restaurate prin aducerea sistemului la o stare anterioar.
ATENIE! Nu v bazai exclusiv pe aceast facilitate deoarece unele versiuni recente de ransomware
terg datele din System Restore.

4. Implementai mecanisme de tip Application Whitelisting


Application Whitelisting presupune implementarea unui mecanism care s asigure faptul c n cadrul
unui sistem informatic ruleaz numai software autorizat/cunoscut. Conceptul n sine nu este nou,
reprezentnd practic o extindere a abordrii default deny (nu permite n mod implicit) utilizat de
mult timp de soluiile de securitate de tip firewall. n prezent, application whitelisting este considerat
una dintre cele mai importante strategii de combatere a ameninrii malware i exist deja o varietate
de soluii tehnice cu ajutorul crora poate fi implementat, inclusiv de ctre utilizatorii casnici, mai ales
n cadrul sistemelor de operare Windows unde implementarea se poate realiza utiliznd uneltele deja
coninute de sistemul de operare: SRP (Software Restriction Policies), AppLocker (unealta recomandat
ncepnd cu sistemul de operare Windows 7, avnd acelai scop ca i facilitatea SRP din Group Policy).

5. Dezactivai execuia programelor din directoare precum %AppData% i %Temp%


O soluie alternativ la mecanismul de tip Application Whitelisting (nu la fel de eficient, ns care
aduce un spor semnificativ de securitate) este blocarea execuiei programelor din directoare ca
%AppData% i %Temp%, prin intermediul politicii de securitate (GPO Group Policy Object) sau
utiliznd o soluie de tip IPS (Intrusion Prevention Software).

6. Afiai extensiile fiierelor


Unele tipuri de ransomware, precum Cryptolocker, sunt livrate sub forma unor fiiere cu extensie
cunoscut (.doc, .docx, .xls, .xlsx, .txt etc.) la care se adaug extensia .exe, caracteristic fiierelor
executabile, rezultnd extensii de forma .docx.exe, .txt.exe etc. Astfel, afiarea extensiilor
fiierelor poate facilita observarea fiierelor suspicioase/maliioase. Este recomandat s nu rulai
niciodat fiiere executabile venite prin email.

7. Actualizai n permanen sistemele de operare i aplicaiile


Actualizarea aplicaiilor/programelor utilizate reprezint o msur obligatorie pentru asigurarea unui
nivel de securitate ridicat al sistemul informatic. De cele mai multe ori, un software neactualizat este
echivalentul unei ui deschise (backdoor) pentru infractorii din mediul cibernetic. n general
productorii de software, precum Microsoft i Adobe, public n mod regulat actualizri (update-uri)
pentru sistemele de operare i aplicaii, utilizatorul avnd posibilitatea s configureze descrcarea i
instalarea automat a acestora. Astfel, v recomandm s activai opiunea pentru actualizri
automate acolo unde este posibil i s avei n vedere modalitatea cea mai eficient pentru
actualizarea celorlalte programe (verificarea periodic a versiunilor pe site-ul productorilor).
ATENIE! Deseori, programele maliioase au fost livrate sub forma unui update de software. Verificai
cu atenie sursele utilizate pt. descrcarea/actualizarea de software.

3/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro
8. Utilizai soluii de securitate eficiente i actualizate
O msur absolut necesar pentru prevenirea infeciilor cu diferite tipuri de malware o reprezint
utilizarea uneia sau mai multor soluii software de securitate eficiente i actualizate care s dispun
de faciliti/servicii de tip antivirus, antimalware, antispyware, antispam, firewall etc.

9. Utilizai instrumente software pentru monitorizarea fiierelor


Utilizarea de instrumente software pentru monitorizarea fiierelor (accesare, modificare, tergere
etc.) poate fi de ajutor pentru observarea rapid a unor comportamente suspicioase n cadrul
sistemelor informatice sau reelei.

10. Manifestai atenie sporit la accesarea reclamelor web


Unele dintre versiunile de ransomware investigate de CERT-RO n ultimul timp au fost livrate prin
intermediul unor reclame maliioase (malvertising) afiate pe site-uri web populare (tiri, magazine
online etc.). V recomandm s evitai pe ct posibil accesarea reclamelor i chiar utilizarea unor
instrumente software (de tip add block) care s blocheze automat ncrcarea/afiarea reclamelor.

3. Msuri de eradicare i limitare a efectelor


n eventualitatea infectrii cu ransomware, CERT-RO v recomand implementarea urmtoarelor 8 msuri
de eradicare i limitare a afectelor ransomware:

1. Deconectai mediile de stocare externe


Deconectai urgent toate mediile de stocare externe conectate la PC (memorie USB, card de
memorie, hard disk extern etc.), de-conectai cablul de reea i dezactivai orice alte conexiuni de
reea (WiFi, 3G etc.). Astfel se previne afectarea fiierelor stocate pe mediile de stocare externe sau
celor accesibile prin reea (network share, cloud storage etc.).

2. [Opional]. Realizai o captur de memorie (RAM)


n cazul n care se urmrete investigarea ulterioar a incidentului i eventual ncercarea de a
recupera cheile de criptare utilizate de ransomware din memorie, realizai ct mai rapid o captur de
memorie (RAM), nainte de oprirea PC-ului, utiliznd o unealt specializat.
ATENIE! Exist riscul ca pn la finalizarea procesului de realizare a unei capturi de memorie s fie
afectate (criptate) ct mai multe fiiere (sau chiar toate). Decizia de a opri imediat PC-ul sau de a
efectua mai nti o captur de memorie trebuie luat n funcie de prioriti (sunt mai importante
datele sau posibilitatea efecturii unei analize ulterioare?). Spre exemplu, dac exist un backup
pentru datele stocate pe PC-ul afectat, sau fiierele nu sunt considerate importante, se poate lua
decizia de a efectua o captur de memorie.

4/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro
3. Oprii PC-ul (Shutdown)
n cazul n care suspectai c un PC a fost infectat cu ransomware i decidei s nu realizai o captur
de memorie (conform pct. 2), v recomandm s-l oprii imediat pentru a limita ct mai mult numrul
fiierelor criptate.

4. [Opional] Realizai o copie (imagine) de HDD


n cazul n care se urmrete investigarea ulterioar a incidentului i eventual ncercarea de a
recupera o parte din fiiere cu ajutorul unor instrumente de tip Data Recovery, realizai o copie de
tip bit cu bit (imagine) a hard-disk-urilor afectate de ransomware, utiliznd o unealt specializat.

5. Realizai un back-up offline al fiierelor


Pornii PC-ul (boot) utiliznd un sistem de operare care se ncarc de pe un mediu de stocare extern
(CD, DVD, memorie USB etc.), majoritatea distribuiilor moderne de Linux oferind aceast facilitate.
Copiai pe un alt mediu de stocare toate fiierele de care avei nevoie, inclusiv pe cele care au fost
compromise (criptate).

6. Restaurai fiierele compromise


Cea mai simpl metod de recuperare a fiierelor afectate de ransomware este restaurarea acestora
din cadrul unor back-up-uri. n cazul n care astfel de back-up-uri nu sunt disponibile, v recomandm
s ncercai recuperarea fiierelor prin System Restore sau utiliznd instrumente software
specializate de recuperare date (de tip Data Recovery).
ATENIE! V recomandm s ncercai recuperarea datelor cu uneltele software de tip Data
Recovery numai de pe imaginile (copiille) de HDD (realizate conform pct. 4), altfel existnd riscul s
compromitei ansele de reuit ale unor proceduri mai complexe ce presupun recuperarea datelor
direct de pe mediile de stocare. Exist soluii pentru a ncerca recuperarea datelor direct de pe
mediile de stocare, ns acestea necesit un nivel ridicat de expertiz i dotri tehnice speciale.

7. Dezinfectai sistemele informatice afectate


Cea mai sigur metod prin care v putei asigura c sistemul informatic nu mai conine malware (sau
rmie de malware) este re-instalarea complet a sistemului de operare, prin formatarea tuturor
HDD-urilor/partiiilor n prealabil. n cazul n care acest lucru nu este posibil (spre exemplu n cazul n
care se intenioneaz recuperarea datelor direct de pe HDD-urile afectate), v recomandm s
utilizai una sau mai multe soluii de securitate de tip antivirus/antimalware /antispyware pentru
scanarea sistemului i dezinfectare acestuia.
ATENIE! n cazul n care intenionai s ncercai recuperarea de date de pe HDD-urile afectate,
conform indicaiilor de la pct. 6, v recomandm s nu ncercai dezinfectarea acestora i s utilizai
alte HDD-uri pentru re-instalarea sistemului de operare.

8. Raportai incidentul ctre CERT-RO


CERT-RO v recomand s raportai incidentele de securitate cibernetic, inclusiv infeciile cu
ransomware, la adresa de email alerts@cert.ro, beneficiind astfel de suport tehnic i indicaii de
rezolvare a incidentelor si/sau limitare a efectelor acestora.

5/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro
7. Bibliografie

[1]. https://www.us-cert.gov/ncas/alerts/TA14-295A ;
[2]. http://www.symantec.com/connect/blogs/ransomware-how-stay-safe ;
[3]. http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-
ransomware-including-cryptolocker/ ;
[4]. http://blog.doctoroz.com/dr-oz-blog/protecting-yourself-against-the-threat-of-ransomware ;
[5]. https://cert.ro/citeste/ransomware-ul-ctb-locker ;
[6]. https://cert.ro/citeste/teslacrypt-si-alte-campanii-ransomware-pentru-care-exista-solutii-de-
recuperare-a-fisierelor-criptate ;

6/6
Adres: Bd. Mareal Averescu nr. 8-10, Bucureti, sector 1, Cod Postal: 011455, Tel: +4031-6202187, E-mail: office@cert.ro,
Web: www.cert.ro

You might also like