Domače omrežne shrambe (NAS) so vse pogostejša tarča izsiljevalskih virusov. Uporabniki nanje shranjujejo osebne arhive in poslovne dokumente, ker verjamejo, da so lokalni diski povsem varni. To prepričanje izgine, ko naprava zaklene vse datoteke.
Ranljivost domačega omrežja
Hekerji ne ciljajo več zgolj na podjetja in banke. Domači strežniki omogočajo dostop do podatkov na daljavo. To je priročno, vendar hkrati pomeni, da je naprava neposredno izpostavljena internetu in morebitnim vdorom.
Ko je tema varnost na spletu, se običajno razpravlja o geslih in prepoznavanju lažnih e-sporočil. Omrežni diski pa so večinoma spregledani. Pogosto nimajo nameščenih posodobitev in uporabljajo zastarelo programsko opremo. Avtomatizirane skripte neprestano pregledujejo internetne naslove ter iščejo takšne ranljivosti. Ko zaznajo nezaščiten sistem, vanj vdrejo v nekaj sekundah.
Potek napada
Zlonamerna koda izkoristi varnostno luknjo v sistemu in pridobi skrbniške pravice. Šifriranje se začne takoj.
Sistem najprej zaklene tekstovne dokumente in PDF datoteke. Zatem nadaljuje z večjimi datotekami, kot so fotografije in videoposnetki. Naprava dela s polno močjo, diski se neprestano vrtijo in procesor je močno obremenjen. Postopek traja od nekaj ur do več dni. Vse je odvisno od količine podatkov in zmogljivosti same naprave.
Uporabnik običajno ne opazi težav, dokler ne poskusi odpreti specifične datoteke. Namesto dokumenta se prikaže sistemska napaka. Končnice datotek se spremenijo v .encrypt ali .deadbolt. Ob prijavi v nadzorno ploščo strežnika se na zaslonu prikaže obvestilo z zahtevo po plačilu odkupnine v kriptovalutah.
Opozorilni znaki
Izsiljevalski virus pri šifriranju porabi veliko sistemskih virov. Okužbo lahko hitro opazimo po fizičnem delovanju naprave.
- Ventilatorji delujejo pri najvišjih obratih, čeprav sistem miruje.
- Lučke trdih diskov hitro in neprestano utripajo.
- Dostop do omrežnega pogona je zelo počasen ali povsem neodziven.
- V mapah se pojavijo datoteke z imeni ‘README’ ali ‘HOW_TO_DECRYPT’.
Ukrepanje po vdoru
Hitra in pravilna reakcija lahko reši tisti del podatkov, ki še ni bil šifriran.
Prvi korak je takojšnja prekinitev povezave z omrežjem. Izključite mrežni kabel na hrbtni strani naprave. S tem preprečite komunikacijo virusa z zunanjim strežnikom in ustavite širjenje okužbe na druge računalnike ter telefone v hiši.
Veliko ljudi v paniki napravo takoj izklopi iz elektrike. To je lahko napaka. Pri nekaterih virusih se ključ za dešifriranje začasno nahaja v delovnem pomnilniku. Če napravo ugasnete, se ta pomnilnik izbriše. Podatkov takrat ni več mogoče rešiti. Prav tako lahko nenaden izklop napajanja med pisanjem na disk uniči tiste datoteke, ki sploh še niso bile okužene.
Napravo zato odklopite le od interneta. Plačilo odkupnine ni priporočljivo, saj napadalci po prejemu denarja v večini primerov ne pošljejo ključa za dešifriranje. Pomaga le preventiva. Redno posodabljajte sistem, onemogočite neposreden dostop do strežnika s spleta in imejte varnostne kopije na zunanjem disku, ki ni stalno priklopljen v omrežje.
