Ransomware je naziv za skup zlonamjernih programa koji korisniku onemogućuju korištenje računala. Nakon zaraze ransomware može šifrirati datoteke ili onemogućiti korištenje tako da se pojavi početni ekran s određenom porukom koju nije moguće maknuti. Od korisnika čije je računalo zaraženo traži se otkupnina u zamjenu za daljnje normalno korištenje računala. U zadnje vrijeme sve je više slučajeva u kojem se pojavljuje prvi navedeni slučaj u kojem zlonamjerni softver šifrira korisničke podatke i u zamjenu za njihovo dešifriranje traži uplatu određenih novčanih sredstava (tzv. crypto ransomware).
Prevencija
Kako bi poboljšali sigurnost svog računala, te istovremeno smanjili mogućnost zaraze nekom od verzija ransomwarea preporučujemo sljedeće akcije:
- redovito ažuriranje operacijskog sustava
- redovito ažuriranje aplikacija instaliranih na računalu
- ne otvaranje poveznica u mailu koje su pristigle od sumnjivih izvora
- instalacija antivirusnog alata i njegovo redovito ažuriranje
- preventivna instalacija nekog od anti-ransomware alata (CryptoPrevent, CryptoMonitor)
- ne otvaranje raznih reklamnih poruka na portalima (preporuka instalacije dodatka za preglednik koji onemogućava prikaz reklama, npr. AdBlock Plus)
- periodičko kreiranje točke vraćanja (restore point)
- periodičko kreiranje sigurnosne kopije (backup) i njezina pohrana na vanjski disk ili poslužitelj. U slučaju pohrane na vanjski disk odmah nakon pohrane potrebno je odspojiti disk s računala, jer u slučaju zaraze, većina ransomwarea šifrira sve detektirane diskove
Najučinkovitiji način obrane od ransomwarea periodičko je kreiranje sigurnosnih kopija podataka (backup). Upute za izradu istih nalaze se u drugom dijelu ovog teksta.
Spašavanje već šifriranih datoteka
U slučaju da su vaši podatci već šifrirani, mala je vjerojatnost da ćete dobiti vaše podatke nazad (ako već nemate backup na zasebnom disku).
Uspješnost vraćanja datoteka ovisi o dvije činjenice:
- Je li na računalu bila omogućena „System Restore“ opcija prije zaraze
- Verzija ransomwarea kojom je računalo zaraženo
Jedna od glavnih metoda na koju se možemo osloniti prilikom pokušaja vraćanja originalnih datoteka je vraćanje sigurnosnih kopija datoteka (Shadow Volume copy). U slučaju da je System Restore omogućen na računalu, prilikom svakog kreiranja točke vraćanja, automatski se izradi sigurnosna kopija datoteka. Iako većina novijih ransomware verzija briše i te kopije s računala, postoji vjerojatnost da se taj proces nije izvršio te je moguć proces vraćanja datoteka na njihovu prethodnu, nešifriranu verziju.
Vraćanje datoteka na njihovu prethodnu verziju najlakše je obaviti pomoću programa ShadowExplorer. Nakon instalacije i pokretanja programa dobije se sučelje u kojem je potrebno izabrati disk s kojeg želimo vratiti prethodnu verziju određene datoteke, datum i vrijeme sigurnosne kopije datoteke i naravno datoteku.
U slučaju uspješnog lociranja datoteke potrebno je desnim klikom na nju izabrati opciju „Export“ te je spremiti na lokaciju po izboru.
Vraćanje datoteka pomoću opcije „Previous Versions“
Potrebno je napomenuti da starije verzije Windowsa (npr. Windows XP) ne podržavaju program ShadowExplorer. U tom slučaju moguće je iskoristi mogućnost vraćanja pojedinih datoteka na starije verzije u svojstvima istih. Desnim klikom na konkretnu datoteku i odabirom opcije „Properties“ dobivamo postavke. Klikom na kraticu „Previous Versions“ moguće je vidjeti sve prethodne verzije datoteke.
Prethodne verzije moguće je vidjeti u slučaju da je prije nego što je datoteka promijenjena, napravljena jedna ili više točki vraćanja sustava. Označavanjem verzije datoteke na koju je želimo vratiti, te klikom na „Restore“ otvara se dodatni prozor koji zahtjeva potvrdu za akciju vraćanja. Nakon dodatne potvrde datoteka je vraćena na odabranu prethodnu verziju.
Vraćanje datoteka pomoću programa za vraćanje izbrisanih datoteka
Druga metoda na koju se možete osloniti temelji se na činjenici da neki ransomware zlonamjerni softveri šifriraju podatke, te potom obrišu originalne nešifrirane verzije. Pomoću programa za vraćanje obrisanih datoteka moguće je vratiti originalne podatke. Savjetujemo da ovu metodu vraćanja podataka obavite prvu zato što svakim daljnjim radom na računalu (preuzimanjem i instalacijom programa) smanjujete vjerojatnost uspješnog vraćanja obrisanih datoteka.
Na primjeru programa Disk Drill demonstrirat ćemo metodu vraćanja obrisanih datoteka.
Program je potrebno preuzeti i instalirati. Prilikom pokretanja dobiva se sučelje u kojem je potrebno izabrati disk/particiju s koje želimo pokušati vratiti podatke, pokraj Recover opcije kliknuti na strelicu prema dolje i odabrati opciju „Quick Scan“ ili „Deep scan“. Za početak možete izabrati „Quick scan“ koji traje kraće, te u slučaju da ne uspijete naći traženu datoteku možete pokušati ponovo s „Deep Scan“.
Nakon uspješnog završetka skeniranja potrebno je pronaći datoteke koje želite vratiti, označiti ih i kliknuti na „Recover“ koji se nalazi u gornjem desnom uglu. U gornjem lijevom uglu moguće je postaviti i lokaciju na koju želimo vratiti datoteke.
Ako nijedna od opisanih metoda ne urodi plodom, ostaje vam jedino opcija da detektirate s kojom verzijom ransomwarea ste zaraženi i pokušate pronaći odgovarajući program koji će dešifrirati datoteke na vašem računalu. Za neke starije verzije ransomwarea otkriveni su algoritmi (ključevi) za dešifriranje podataka: CoinVault i Bitcryptor, CryptoDefense, TeslaCrypt i AlphaCrypt, FBIRansomware, Locker, PCLock2, Operation Global 3, TorrentLocker.
Trend Micro kreirao je alat za dešifriranje datoteka šifriranih ransomwareom naziva Trend Micro Ransomware File Decryptor. Alat u sebi sadrži dosad poznate algoritme za dešifriranje datoteka, a jedna od specijalnosti je i automatsko prepoznavanje algoritma šifriranja, odnosno ransomwarea s kojim je zaraženo vaše računalo. Više informacija o alatu moguće je pronaći na ovoj stranici.
Većina mogućih rješenja za novije verzije ransomwarea za koji nisu otkriveni načini dešifriranja svodi na prethodno opisane metode. Važno je napomenuti da i u slučaju plaćanja otkupnine nije sigurno da ćete dobiti vaše podatke nazad. I za kraj, ako ni na jedan način ne uspijete doći do vaših podataka, ostaje vam opcija kreiranja kopije diska i njena pohrana u slučaju da se u skoroj budućnosti otkrije način za dešifriranje datoteka.
U slučaju da vaše računalo nije zaraženo ransomwareom, preporučujemo izradu sigurnosne kopije, jedinog rješenja koje vam u 100% slučajeva omogućuje vraćanje šifriranih datoteka u slučaju zaraze.
Kreiranje sigurnosne kopije datoteka – Backup
Na primjeru alata EaseUs Todo Backup Free objasnit ćemo kako se na brz i lak način možemo zaštiti od ove rastuće prijetnje. Za početak je potrebno preuzeti program klikom ovdje.
Izrada sigurnosne kopije određenog skupa datoteka
Program nudi nekoliko vrsta sigurnosnih kopija, od kojih ćemo za početak prikazati način izrade sigurnosne kopije određenog skupa datoteka. Možemo reći da je optimizirana jer se ne radi backup cijelog sustava, čime se štedi vrijeme potrebno za izradu sigurnosne kopije, kao i prostor za njezinu pohranu. Prvi korak je definirati podatke koje je potrebno sačuvati. Na primjeru su izabrane sve datoteke s Desktopa. Klikom na „Proceed“ pokrećemo izradu sigurnosne kopije podataka. U polju „Destination“ moguće je postaviti lokaciju na koju želimo da se sigurnosna kopija spremi.
Nakon izvršenog procesa izrade sigurnosne kopije ista se sprema na lokaciji: C:\My Backups u odgovarajući direktorij.
Sljedeći korak je kopiranje izrađene sigurnosne kopije na vanjski server ili prijenosni medij.
VAŽNO!!! Nakon izrade i kopiranja sigurnosne kopije na vanjski medij, potrebno je isti odspojiti od računala jer u slučaju zaraze ransomware šifrira sve podatke na svim diskovima (uključujući i prijenosni).
Vraćanje datoteka iz sigurnosne kopije određenog skupa datoteka
U slučaju da je potrebno vratiti datoteke, potrebno je priključiti prijenosni medij u računalo te desnim klikom na sigurnosnu kopiju odabrati želimo li vratiti datoteke na njihovu originalnu lokaciju ili neku drugu.
Izrada sigurnosne kopije sustava
Druga opcija kod izrade sigurnosnih kopija podataka je izrada sigurnosne kopije sustava koja uključuje sigurnosnu pohranu podataka sa svih particija potrebnih za ponovno pokretanje operacijskog sustava. U slučaju vraćanja podataka nije potrebno čišćenje računala od zlonamjernih softvera i vraćanje osobnih podataka. Sigurnosna kopija u sebi sadrži čistu verziju operacijskog sustava sa svim osobnim podacima koji su se nalazili na sistemskim particijama u trenutku izrade sigurnosne kopije. Ova opcija je zahtjevnija, kako vremenski, tako i po pitanju prostora potrebnog za njezinu pohranu. Za njezinu izradu potreban je vanjski disk s dovoljno slobodnog prostora (potrebno je spremiti cijeli operacijski sustav s osobnim podacima korisnika). Prvi korak pri izradi sigurnosne kopije sustava je izbor “System Backup” na početnom zaslonu alata, te odabir postavki (lokacija, stupanj kompresije, prioritet) na novo otvorenom zaslonu. Savjetujemo da se ostave sve pretpostavljene vrijednosti i pokrene proces izrade sigurnosne kopije klikom na “Proceed”.
Nakon izrade sigurnosne kopije, ista se pohranjuje na lokaciju izabranu u prethodnom koraku, u našem slučaju je to: C:\My backups. Kopiju je potrebno pohraniti na vanjski disk te disk odspojiti od računala.
Vraćanje sustava pomoću izrađene sigurnosne kopije
U slučaju zaraze ransomwareom moguće je vratiti sustav i sve podatke na njemu pomoću izrađene sigurnosne kopije.
Prvo je potrebno odabrati opciju „Browse to Recover“, a potom odabrati sigurnosnu kopiju koju želimo vratiti na sustav.
Program automatski prepoznaje koje se particije nalaze na sigurnosnoj kopiji, stoga je u ovom koraku samo potrebno kliknuti “Next”.
Sljedeći korak je odabir particije na koju želimo vratiti našu sigurnosnu kopiju, potrebno je izabrati cijeli Hard disk, u našem slučaju Hard disk 0. Moguće je da vaše računalo ima više tvrdih diskova u sebi, ili više particija, u tom slučaju potrebno je izabrati particiju na kojoj se nalazi operacijski sustav te particiju rezerviranu od strane operacijskog sustava (System Reserved). Klikom na „Proceed“ otvara se novi prozor u kojem je moguće vidjeti proces izrade sigurnosne kopije. U jednom trenutku prikazat će se obavijest o ponovnom pokretanju vašeg računala. Potrebno je kliknuti na „Reboot“. Prilikom ponovnog pokretanja računala ne pokreće se operacijski sustav. Umjesto njega dobije se zaslon alata za vraćanje. Naime, nije moguće napraviti vraćanje operacijskog sustava dok je isti pokrenut, zato je potrebno izvršiti ponovno pokretanje. Zbog ponovnog pokretanje sustava, program nije zapamtio prethodne odabire, stoga je potrebno ponoviti zadnja tri koraka. Na ekranu se prikazuje novi zaslon koji prikazuje tijek vraćanja.
Nakon završetka procesa, sustav je vraćen na stanje u kojem se nalazio kad je napravljena sigurnosna kopija. Klikom na zatvaranje prozora ponovno se pokreće sustav sa svim vašim podacima, bez ransomwarea na njemu.