Ренсомверот е најголемата закана во државата во овој момент, сведоци сме на дузина хакерски напади и кон државни институции, но и приватни компании. Ако се соочувате со вакви напади, потребно е тие и да се пријават. Споделувањето на нападот од ренсомвер, може да помогне да известиме другите граѓани на што да внимаваат и како да се заштитат.

Александар Ацев, кој е дел од Националниот центар за одговор на компјутерски инциденти споделува кои алатки да се користат после успешен напад од ренсомвер. Постојат 7 фази од успешен хакерски напад.  Ресномверот е последната фаза и претставува крајна цел.

„Треба да бидеме свесни дека во последните години пред успешен ваков напад вообичаено следува ексфилтрација на податоци. Хакерите поминале доволно време во нашите организации или нашите системи, односно во нашата мрежа. За да истражат што би можело да биде интересно и да анализираат чувствителни важни податоци и истите да ни ги украдат. Кога се реализира ренсомверот, значи заклучување на податоците кои понатаму ни се недостапни. Како доказ дека ни ги имаат украдено податоците, следува комуникација од сајбер криминалците со самата институција, фирма или граѓани со порака дека имаат примерок од украден документ. Пораката е следна: „Ако сакате да ви ги отклучиме сите документи, треба да се плати одредена сума на биткоини“, објаснува Ацев.  

Пред да дојде до дешифрирање на податоците, истите се украдени. Инцидентите можат да влијаат на деловните процеси и да предизвикаат не само губење на податоците, туку и престанок на работата, неможност да се продолжи со работењето, финансиски штети. Освен вакви штети, влијае и на репутацијата на организацијата и прекин на достапност на услуги.

Добри практики за превенција од ренсомвер

Потребно е периодично снимање на важните податоци, да имајте офлајн, шифриран бекап на податоците што редовно ќе се тестира и валидира неговата исправност и можност да се искористи по потреба. Исто така, неопходно е и снимање на податоците на надворешен хард диск кој нема постојано да биде прииклучен на локалната мрежа. Како што напоменува Ацев, ако сте организација, треба да имате план за одговор на инциденти и комуникациски план што претставува план за континуитет на работењето и план за одговор од катастрофи.

„Инфекција со ренсомвер – тоа се фишинг пораки, треба да постои програма за едукација на вработените за подобро препознавање на лажните пораки. Друг начин е на инфекција со вируси, најчесто од користење на пиратски софтвер. Секоја пиратска инсталација се добива со несакан подарок – вирус. Или давател на услуги – ако работите во организација или институција и имате надворешна компанија која ви ги одржува ИТ системите. Треба да се види колку таа ИТ компанија користи добра пракса кога станува збор за сајбер безбедност“, потенцира Ацев.  

Добри пракси подразбираат избегнување на користење на администраторски профили на секојдневно работење, редовно ажурирање инвентар на основни средства и мрежна топологија. Како и безбедност на серверски дел.

„Ако некој ренсомвер напад е успешен, треба детекција и анализа. Тие опфаќаат изолација на опфатените системи. Ако забележите на компјутерот дека ви се енкриптираат податоците и забележите сомнително однесување, треба да го исклучите од мрежа. На тој начин ќе спречите ширење на вирусот надвор од инфицираниот уред, а истовремено ќе обезбедите и докази за штетните активности. Потоа тријажа на засегнатите системи, проверка... Трета активност е генерирање и спремање на информација кој бил векторот на напад и обемот на штетата. Се поставува прашање дали организациите и компаниите во државата можат да кажат колкава би била финансиската штета ако дојде до ренсомвер напад. Тоа е нешто на кое треба да се работи“, објаснува Ацев.

Проверка на достапност за декриптори

Oвој веб сајт www.nomoreransom.org e прв линк кој треба да го посетите ако се соочите со ренсомвер. На, ако постои јавно достапен декриптор, ова е местото каде ќе го најдете. Ако не го знаете типот на ренсомвер со кој е инфициран уредот, на самиот веб сајт имате можност да поставите примероци од енкриптирани фајлови кои таму се анализираат. Потоа, се враќа порака за типот на ренсомвер кој предизвикал енкрипција на податоците.