<font 12pt/Calibri,sans-serif;;inherit;;inherit>Ransomware je software koji na različite načine neopaženo ulazi na korisnička računala. Ransomware ima za glavni zadatak kriptirati sve ili što više različitih datoteka na korisničkom računalu kako bi onemogućio korištenje tog računala. Korisnici najčešće nisu ni svjesni da su pod napadom ransomware programa, naime program u pozadini dokle god je računalo upaljeno troši procesorsku snagu i provodi enkripciju datoteka. Promjene na računalu je u početku teško primijetiti, a uglavnom se manifestiraju kroz promjene ekstenzija datoteka. Za enkripciju je potrebno određeno vrijeme, različiti ransomware software-i koriste algoritme koji brže ili sporije kriptiraju datoteke. U svakom slučaju, računalo se kroz maksimalno nekoliko sati u potpunosti zaključa stoga je potrebno u što kraćem roku detektirati postojanje ransomware-a i pokušati spasiti što više datoteka jer su promjene koje ransomware čini uglavnom bespovratne. Različiti ransomware programi imati će isti cilj, ali drugačiji doseg. Neki će kriptirati samo neke datoteke na računalu, a neki onemogućiti cjelokupni operacijski sustav.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>U ovom seminaru biti će pojašnjeno na koje sve načine ransomware može ući na korisničko računalo, te koje su moguće metode prevencije napada u ranoj fazi.</font>
Načini na koji ransomware inficira računalo u mreži ili mrežu računala zovemo ulazni vektori ili ulazne točke. Tipične prijetnje kojih se želimo zaštititi uključuju „Phishing links“, virusi i malware-i, zloćudni privitci u mail-ovima i razni zloćudni linkovi preko kojih se pokreće automatsko skidanje ransomware-a. Uzevši u obzir tu općenitu podjelu, možemo identificirati 5 različitih vektora.
Prvi je „Phishing link“, jedan od općenito najčešćih ulaznih vektora i svodi se na zloćudne linkove smještene u tijelu mail-a. „Phishing“ je inače popularna tehnika kod krađe korisničkih informacija, međutim u kontekstu ransomware-a bitan je društveni aspekt zavaravanja korisnika kako bi se link pritisnuo i na taj način započelo skidanje ransomware-a na korisničko računalo.
Najčešći slučajevi zaraze ovog tipa odvijaju se u velikim kompanijama gdje je razmjena mail-ova učestala radnja. Korisnik primi mail koji izgleda kao legitimni mail neke od kompanija s kojima surađuje ili općenito popularnih kompanija. Primjerice, korisnik primi mail u kojem se nalazi obavijest da mora ažurirati osobne podatke na nekoj od platforma s kojima inače barata te ga se upućuje linkom u mailu na tu platformu. Još jedan primjer je da korisnik zaprimi mail u kojem se nalazi link na cloud servis gdje se nalazi dokument koji netko od osoba iz tvrtka s kojim surađuju šalje kao što je vidljivo na slici 1. Linkovi u svim slučajevima ne vode na adrese na koje bi trebale voditi, odnosno na stranice na koje bi trebale voditi kako je prikazano u mailu. Sve je dakako dio pametnog planiranja i zavaravanja kako bi efikasnost bila što veća, odnosno kako bi krajnje žrtve bile uvjerene da rade ispravnu stvari prilikom pritiska na link.
—SLIKA 1 <font 12.0pt/inherit;;inherit;;inherit>Primjer maila sa phishing linkom</font> —
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Slijedeći po popularnosti je ransomware skriven u privitku unutar mail-a. Da bi se korisnikovo računalo zarazilo sve što je potrebno jest skinuti privitak ili ga otvoriti.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Privitak može biti Microsoft office dokumenti: Word, Excel i drugi, ili pak komprimirane (npr. zip) datoteke. Office dokumenti su pogodni za maskiranje, na prvi pogled izgledaju bezopasno korisniku, takvi dokumenti se svakodnevno koriste i većini ljudi su poznati. U takve dokumente moguće je pridodati tzv. Macro funkcije, kratke skripte pisane u jeziku VBA (Visual Basic for Applications). Ovaj jezik se inače koristi za automatizaciju procesa primjerice u računovodstvu, ali u krivim rukama se tu mogu smjestiti zloćudne skripte. Stvar funkcionira tako da se prilikom otvaranja takve word datoteke pokreće njen macro, tj. VBA skripta koja pokreće skidanje s interneta i instalaciju zloćudnog programa u pozadini, bez znanja korisnika. Na slici 2. može se vidjeti isječak jedne takve VBA skripte koja pokreće skidanje i instalaciju zloćudnog programa.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>— SLIKA 2</font><font 12.0pt/inherit;;inherit;;inherit>Macro – VBA skripta za pokretanje skidanja malware-a</font><font 12pt/Calibri,sans-serif;;inherit;;inherit>—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Nakon instalacije, program se pokreće i kasnije može komunicirati preko interneta i malo pomalo kriptirati cijelo računalo. Napadači kroz mail nerijetko čak preporučuju uključivanje macro funkcionalnosti radi veće sigurnosti, što je dakako potpuna obmana, primjer takvog postupka na slici 3.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>—SLIKA 3 Obmana za uključivanje macro-a u excel dokumentu—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Postoji klasični pristup gdje se u .zip datoteku stavi .exe datoteka koju nesmotreni korisnik može pokrenuti i također pokrenuti kriptiranje datoteka, međutim danas je to rijetkost budući da je većina ljudi svjesna opasnosti koje .exe datoteke skinute s interneta imaju.</font>
<font 12.0pt/inherit;;inherit;;inherit>Nešto noviji princip je skrivanje javascript datoteka u .zip datoteke. Kao što je vidljivo na slici 4., u šestom mjesecu 2016. godine rapidno je porastao broj slučajeva skrivanja ransomware-a u javascript datoteke.</font>
<font 12.0pt/inherit;;inherit;;inherit>— SLIKA 4</font><font 12.0pt/inherit;;inherit;;inherit>Tipovi datoteka – privitaka koji skrivaju malware</font><font 12.0pt/inherit;;inherit;;inherit>—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Javascript je izabran kao nosilac iz nekoliko razloga. Prvi jest izgled ikonice javascript datoteka koji liči na .txt datoteku. Ako tome pribrojimo originalnu postavku Windows operacijskog sustava pri kojoj se ekstenzije datoteka ne prikazuju, neuki korisnik vrlo lako može pretpostaviti da se radi o tekstualnoj datoteci i pokrenuti tu javascript datoteku pritom misleći da otvara tekstualnu datoteku. Postoje još i psihološki čimbenici efikasnosti ove metode, a to je da je opće poznato da su javascript skripte unutar Internet preglednika uglavnom sigurne. Međutim, postoji velika razlika: javascript skripte koje se pokreću unutar preglednika imaju vrlo ograničen doseg, one ne mogu pristupiti ničemu što se ne nalazi unutar preglednika. JS skripte na računalu se pokreću uz pomoć WSH-a, Windows Script Host. Nakon tog trenutka, skripta oživi i počne se ponašati kao bilo koja .exe datoteka i može pristupiti hard disku i internetu, točnije serverima od kojih zatraži i skine .exe ransomware datoteku i pokrene ju bez upitnika korisniku.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Treći najpopularniji ulazni vektor za ransomware jesu tzv. „embeded links“ koji se nalaze unutar dokumenata tj. privitaka pristiglih mailom. Dokument sam po sebi izgleda uobičajeno, nije zloćudan i ne predstavlja prijetnju, međutim pritiskom na link koji se nalazi u tom dokumentu korisnika se vodi na stranicu sa koje se skine ransomware. Ovaj vektor zapravo je kombinacija prethodna dva vektora. Primjer takvog dokumenta je životopis kandidata za posao sa linkom na LinkedIn profil koji je zapravo phishing link unutar privitka.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Metoda kojom korisnik računala aktivno samostalno skine ransomware maskirani u neki drugi regularni program je prva aktivna metoda ulaska ransomware-a na računalo i predstavlja aktivni vektor ulaska. Korisnik skida instalaciju za neki program preko neovisne web stranice i pritom umjesto instalacijske datoteke software-a kojeg je mislio da skida, korisnik skine ransomware .exe datoteku. Kreatori tog ransomware-a mogu inicijalno zaraziti web stranicu sa koje se inače skidaju programi. Tada se, bez znanja vlasnika tih web stranica za distribuciju instalacijskih datoteka, ransomware-i podmeću pod instalacijske datoteke i inficiraju krajnja korisnička računala. Takav slučaj je moguć prilikom skidanja ilegalnih kopija programa sa torrent stranica kao što je vidljivo na slici 5. Ova praksa je manje zastupljena kod velikih distributera aplikacija kao što su Windows store, Play store i sličnih jer sve aplikacije i programi tamo prolaze inicijalne provjere prije no što ih se stavi na raspolaganje krajnjim korisnicima za skidanje. Iz tog razloga je preporučljivo skidati službeni originalni software sa provjerenih stranica, a ne preko posredničkih stranica.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>— SLIKA 5</font><font 12.0pt/inherit;;inherit;;inherit>Skidanje sa nesigurnih web stranica</font><font 12pt/Calibri,sans-serif;;inherit;;inherit>—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>U konačnici tu su tzv. drive-by infekcije, potpuno pasivne infekcije. Ovaj vektor označava svaki ulazak ransomware-a u korisničko računalo na način da korisnik samo posjeti zaraženu stranicu na internetu, pritom ne treba ništa aktivno skidati već se sve odvije u pozadini. Ovakve infekcije odvijaju se u 9 slijednih koraka, a vizualizirani su na slici 6.:</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>— SLIKA 6</font><font 12.0pt/inherit;;inherit;;inherit>Drive-by napad</font><font 12pt/Calibri,sans-serif;;inherit;;inherit>—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>U uvodu je spomenuto da se zaraza ransomware-om može detektirati na način da se uoče pojavljivanja nesvakidašnjih ekstenzija na datotekama koje inače koristimo. Takva ekstenzija predstavlja format u koji je datoteka prebačena nakon što je ona uspješno algoritmom ransomware-a kriptirana. Postoji nekoliko desetaka poznatih ekstenzija koje pridodaje ransomware software (Slika 7.), i na taj način je moguće vidljivo detektirati početak infekcije računala. Postoje alati koji mogu detektirati na različite načine izmjene ekstenzija, neki funkcioniraju na način da stavljaju zamke za ransomware i odmah signaliziraju i provode inicijalne preventivne mjere ako ransomware „upadne u zamku“ i kriptira podmetnutu datoteku. Dodatno, u istu svrhu mogu se koristiti razni User and entity behavior analytics programi koji upozoravaju na nesvakidašnje radnje kao što je mijenjanje ekstenzija na velikom broju datoteka u kratkom vremenu.</font>
— SLIKA 7 <font 12.0pt/inherit;;inherit;;inherit>Ekstenzije kriptiranih datoteka</font>—
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Ukoliko se ustanovi da je računalo u ranoj fazi napada ransomware-om, preporučljivo je poduzeti hitne mjere. Prva mjera je prekidanje veze sa internetom. Ovaj korak je izrazito važan iz više razloga. Prvi razlog jest što se ransomware, nakon što se inicijalno instalira i pokrene na zaraženom računalu, mora spojiti na tzv. Command and Control (C&C) server u vlasništvu cyber kriminalaca i tamo šalje informacije vezano za stroj koji je inficirao kao što su operacijski sustav, IP adrese, geolokaciju, razinu prava trenutno prijavljenog korisničkog računa. Ukoliko se ustanovi da korisnički račun ima admin prava, kriminalci mogu dodatne napade provesti. Ova konekcija je poznata kao „call home“ ili C2 konekcija i koristi portove 80 (http) i 443(HTTPS). Nakon „call home“ poziva, server uzvraća ransomware-u veliki broj enkripcijskih ključeva, po jedan za svaku datoteku. Princip je ovakav kako bi ključevi bili što bolje skriveni, odnosno da se seciranjem samog ransomware programa ne bi mogli ključevi izvući. Drugi razlog micanja inficiranog računala s mreže je sposobnost migracije ransomware-a, on izvorno kriptira datoteke na lokalnom disku, zatim na vanjskim diskovima i raznim vanjskim uređajima za pohranu podataka, a potom inficira i ostala računala u lokalnoj mreži u kojoj se nalazi zaraženo računalo.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Zaključno, ukoliko ransomware program ne može dobiti ključeve za enkripciju pomoću poziva C&C serveru, on neće biti u stanju kriptirati datoteke. Slijedeći korak je gašenje računala kako bi se prekinuli svi procesi kriptiranja datoteka koji su trenutno aktivni i na taj način se sprječava svaka daljnja šteta. Ovaj korak je iznimno važan, jer nakon što ransomware završi sa kriptiranjem cijelog računala, on briše svoj izvorni program i na taj način zapravo uništava dokaze i tragove.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Kako bi se ove situacije u početku izbjegle i kako bi se maksimalno osigurali od infekcije ovakvim ransomware-om, mogu se poduzeti preventivne mjere. Primjerice, ako se radi o velikim lokalnim mrežama sa brojnim računalima koje se koriste za različite namjene, svakako je preporučljivo unaprijed segregirati mrežu kako se ovakve infekcije ne bi širile s lakoćom.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Ukoliko se nastojimo zaštititi od ransomware-a koji kao ulazni vektor koristi dokumente, tada je potrebno isključiti Office macro funkcije. Office od 2013. godine uvodi tzv. Protected view, način rada svakog od programa u Office katalogu u kojem se ne dozvoljavaju, između ostalog, izvršavanja macro funkcija. Sve to radi na način da se datoteke inicijalno otvaraju u izoliranom „sandbox“ okruženju, gdje ih Microsoftovi alati mogu inicijalno pregledati. Office ima sposobnost prepoznavanja opasnih zaraženih dokumenata, pa tako može korisnika i upozoriti kao što je vidljivo na slici 8.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>— SLIKA 8</font><font 12.0pt/inherit;;inherit;;inherit>Office upozorenje za zaraženi dokument</font><font 12pt/Calibri,sans-serif;;inherit;;inherit>—</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Ako pak imamo pred sobom .zip sa .exe datotekom unutar, takvu je najbolje ne raspakiravati i otvarati ukoliko nismo sto postotno sigurni u njeno porijeklo.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Svakako se preporučuje uključivanje prikaza tipa datoteka odnosno njenih ekstenzija (slika 9.), na taj način se najlakše obrani slučajnog od pokretanja javascript koda.</font>
— SLIKA 9 <font 12pt/Calibri,sans-serif;;inherit;;inherit>Uključivanje prikaza ekstenzija na Windows-u</font>—
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Dodatno, uzevši u obzir popularnost korištenja javascript datoteka u krive svrhe, preporučljivo je namjestiti otvaranja javascript datoteka u notepad-u umjesto izvorne postavke predaji WSH-u (slika 10.) kako bi se izbjeglo slučajno pokretanje skripte.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>— SLIKA 10 Namještanje pokretanja .js javascript datoteka —</font>
<font 12.0pt/inherit;;inherit;;inherit>Phishing linkove najteže je prepoznati upravo zato što se najviše baziraju na društvenom faktoru zavaravanja korisnika. Općenito bi sve linkove koje otvaramo trebali prvo provjeriti, naime u mail klijentu kao što je Outlook ako pokazivačem miša pređemo preko link-a može se vidjeti web adresa na koju taj link vodi kao što je vidljivo na slici 11. Ako ta adresa izgleda sumnjivo ili očito lažno, tada se link ne smije naravno pritisnuti.</font>
— SLIKA 11 <font 12.0pt/inherit;;inherit;;inherit>Prikaz web adrese na koju link vodi</font>—
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Drive-by napade najteže je zaustaviti jer korisnik ne može primijeniti svoje znanje u obrani od ransomware-a. Tada je zadnja linija obrane korištenje različitih web content filter alata koji sadrže opsežne baze poznatih stranica koje koriste različiti malware-i i na taj način se sprječavaju inicijalni odlazak na poznate stranice koje distribuiraju ransomware. Uz WCF filtere zajedno idu i ispravno podešeni DNS firewall-i tj. DNS vatrozidi. Poznatiji antivirusni programi na tržištu imaju vlastite filtere i vatrozide koji su namješteni u skladu sa ovim pravilima. Njima je moguće spriječiti callback funkcije prema C&C serverima – command and control serverima koje koristi ransomware program za dohvaćanje ključeva koje upotrebljava prilikom enkripcije.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Ako se ransomware uspije izvršiti tada se on sam u potpunosti briše sa zaraženog računala kako se ne bi mogao njegov izvorni kod izvući. Kao što je spomenuto u tekstu ranije, preporučljivo je odmah odspojiti računalo s interneta i ugasiti ga kako bi se spriječilo samouništenje ransomware-a. Međutim, najčešće su i sami ransomware programi kriptirani i vrlo se teško može otkriti originalni source code. Ako se to pak međutim uspije napraviti, tada postoje web alati koji mogu djelomično ili pak potpuno provesti dekripciju datoteka na korisničkom računalu, odnosno ukloniti posljedice koje je ransomware ostavio. Takvih alata ima podosta kao što je vidljivo na slici 12., međutim svakodnevno nastaju novi ransomware programi pa je ovo konstantna utrka.</font>
— SLIKA 12 <font 12pt/Calibri,sans-serif;;inherit;;inherit>Dekriptori koje je moguće skinuti s interneta</font>—
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Najsigurnija metoda jest kontinuirano stvaranje back-up jer ukoliko se zarazimo ransomware-om i njegov napad prođe u potpunosti uspješno, velika je vjerojatnost da osim plaćanja otkupnine nećemo imati način da vratimo izgubljene datoteke. Stoga je fizički odvojen i redovit back-up najbolja opcija.</font>
<font 12pt/Calibri,sans-serif;;inherit;;inherit>Najbolji način borbe protiv ransomware-a je edukacija. Najčešće metode koje kriminalci koriste su zavaravanje korisnika i većina napada ne bi se uopće ostvarila kada bi poznavanje opasnosti bilo bolje. O opasnostima i načinima kojim djeluju razni virusi i zloćudni programi pružaju trebalo bi se učiti na informatici u školama, a svakako bi se u poslovnom svijetu osoblje trebalo educirati te bi osnovno poznavanje cyber prijetnji trebalo ući u informatičku pismenost.</font>
https://www.file-extensions.org/filetype/extension/name/ransomware-encrypted-files
https://en.wikipedia.org/wiki/Phishing
https://news.sophos.com/en-us/2015/09/28/why-word-malware-is-basic/
https://lifehacker.com/ransomware-is-being-hidden-inside-attachments-of-attach-1794610034
https://blog.malwarebytes.com/101/2017/03/what-are-exploits-and-why-you-should-care/
https://blog.malwarebytes.com/101/2016/06/truth-in-malvertising-how-to-beat-bad-ads/
https://heimdalsecurity.com/blog/javascript-malware-explained/
https://www.malwarebytes.com/ransomware/
https://community.sophos.com/kb/en-us/124699
https://www.entrepreneur.com/article/274379
https://zeltser.com/detect-impede-ransomware/
https://www.predictiveanalyticstoday.com/best-user-and-entity-behavior-analytics-software/
https://www.avast.com/ransomware-decryption-tools