Názory k článku Co dělat, když mám v počítači ransomware? Zaplatit, či bojovat?

Mně přijde celkem přijatelná varianta (např. pro domácí sítě nebo menší firmy) taková že:
- stanice běží na jiné platformě (např. Windows) a zálohovací server na jiné (např. Linux).
- složky na stanicích mít nasdílené na čtení
- zálohy spouštět ze zálohovacího serveru a ukládat někam, kam nemají stanice přístup pro zápis
- zálohovat inkrementálně ( např rdiff-backup )
- pokud nepotřebuji mít zálohovaná data stále přístupné, tak po provedení zálohy odpojit disk (umount)

Předpoklad je, že ransomware asi nebude napadat více platforem současně. Maximálně bude šifrovat data na síti kam má přístup pro zápis.
Při výše uvedeném postupu se mi zdá, že není úplně nutné mít offline zálohu.

Tak přinejmenším bych zvážil zda jde o počítač na kterém musí být zranitelné windows a nemohu tam nainstalovat třeba Ubuntu které jako internetový počítač, pro office, úpravy fotek poslouží naprosto stejně a přitom není podobnými útoky zranitelný. Je to ten nejlepší způsob jak se ransomware vyhnout, ale nikdo vám tu jej nedoporučí, protože čím víc lidí to udělá tím méně účinný způsob to bude. To samzořejmě nemění nic na tom že v této chvíli a pro ty kteří vědí je velmi velmi účinný a zbaví se tím podobných hrozeb a virů dokonale.

Stalo se to naší firmě a museli jsme vše obnovit ze záloh. Naštěstí jsme je měli.
Rozhodně doporučuji nic neplatit, stejně Vám nic nepustí.

Tak tady pozor, s kritikou bitcoinu. Ono je náhodou fajn že existuje měna se kterou se dá obejít tradiční vyžírací koncepce států a vlád, měna se kterou můžete skutečně svobodně a pokud si na tom dáte záležet tak i anonymě manipulovat. To je prostě svoboda ve finančnictví ... že to má i vedlejší efekt ve formě nevystopovatelného vydírání, ano každá skvělá věc má svá velká pro i proti ... Pozitiva bitcoinu ale rozhodně převažují, a lidé prostě mohou data zálohovat nebo používat bezpečnější operační systémy jako MacOS nebo Linux a vydírání toho typu přestane být účinné ...

Ne nadarmo jsou zde tři hlavní zásady zálohování:
- Zálohuj.
- Zálohuj!
- Opravdu, zálohuj...

Protože kromě relativně exotického ransomware může přijít havárie hardware, přepětí v síti (třeba blesk...), lidská chyba, pomsta, cokoliv - a bez zálohy jsou data v kýblu.

Je to jako u každých vyděračů. Neplatit, neplatit, neplatit.
Chapu, že někdo se podělá a zaplatí. Ale když už děláte články, tak by jste mohli vice zdůraznit, že zaplatit je špatné.
Stejně jako únosy, výpalné, vyhrožování atd. Čím víc platíte, tím bude situace horší.
Přijde mi strašné, že vice než polovina firem platí. A úplně strašné mi to přijde u různých škol a podobně. Ti by měli jít příkladem a prostě nezaplatit. I v případě že je to vyjde draho.

... nainstalovat Linux

Zálohu je třeba mít vždy, protože disk odejde kdykoli.

Ohledně posledních případů, vše bylo způsobeno blbostí uživatelů nebo neschopností IT administrátorů ve firmách. Oprava chyby, která se pro to zneužívala byla dostupná 5 týdnů před tím, než se objevili tyto první případy. Zde není pomoci ...

já si spustil ransomware a jsem si všiml, že v pc pracuje něco co nemá. Začal hrabat disk a když se začly měnit přípony souborů, na které jsem mrknul, bylo hned jasno. Tak jsem ho hned vypnul. Zašifrovalo to za těch deset sekund jedno krátší video a asi dvě stovky fotografií (nic důležitého a měl jsem zálohu). Mohl jsem to zformátovat a nahrát celé ze zálohy, ale chtěl jsem se v tom šťourat a asi polovinu fotek jsem obnovil. Ale asi jen proto, že jsem pár týdnů předtím dělal defragmentaci, tak ty soubory zůstaly na disku asi spíš tam. Kdo má tichý disk, nenápadnou ledku, tak si toho asi všimne, až když je hotovo a zašifrováno, nebo se mu změní věci na ploše. To pak je už jedno, jestli se to vypne nebo ne, je vymalováno.

Nejspis protoze vsechno resite pres zneuzite sudo, ktere k takovemu pouziti nebylo zamysleno (a bezpecnejsi to opravdu neni, spis naopak). Ubuntu a jeho klony jsou proste divne linuxy, zamerene na (byvale) uzivatele Windows.

Instalace linuxu toho moc nevyresi. Nejslabsim clankem je uzivatel. Obvykle stejne musi byt instalovan nejaky emulator na spousteni win32 aplikaci. Tim padem muze ke spusteni cryptoru a zasifrovani vsech dat dostupnych v pocitaci dojit i v linuxu.

Pokud si uvědomíte, že jste tu potvoru právě teď nějak spustili a začala pracovat, bývá nejrychlejší cestou k vypnutí počítače vytažení z elektřiny (je-li v dosahu) nebo natvrdo vypínačem. Než by se PC vypnul po klasickém vypnutí v operačním systému, to byste se načekali a přišli o daší spoustu dat. Pokud běžel pár vteřin, budou to jen část ztracench dat a roste šance, že původní soubory zůstaly na disku aspoň z části ještě nepřepsané a půjde obnovit nástroji na obnovu souborů.

U OneDrive v EULA máš dokonce explicitně, že za přepis dat se neručí máš podle smlouvy řešit zálohování jinak... Tož asi tak.

... a vies vobec o com pises ?

No naposledy jsem viděl, jak přišel mail, v něm příloha a Outlook s to pokusil otevřít pro vytvoření náhledu. Takže ani není potřeba otevírat přílohu, debilní program to udělá sám.

To mi zní jako typický FUD, jistě vás může odradit od jinak účinného řešení, ale zní to jen jako nepodložený blábol.

Já měl možnost nedávno řešit nákazu novou verzí viru Cerber. To se nejlépe řeší záchranou přes program ShadowCopyView, který na rozdíl od shadow exploreru běží bez problémů i v nouzových režimech a z winpe flash disků. Samozřejmě za předpokladu, že na počítači nejsou vypnuté Volume Snapshoty. Taky to chce, aby uživatel nevypnul řízení uživatelských účtů, protože vir se pokouší volume snapshoty vypnout, což se mu ale při zapnutém UAC nepodaří. Záchrana dat 100%.

Ještě je dobré připomenout, že
1. donedávna bylo nutno MS Office spouštět s rootovskými právy, protože potřebují zapisovat do registrů (spoučasný stav nevím, ale spoustalidí má ještě WXP)
2. v linuxu si mohu v systému vytvořit speciálního uživatele, jehož práva jsou silně omezena , bezpečnost nastavena na "paranoidní", tj. např. všechny zápisy na disk je třeba schválit zadáním hesla, a s tím chodit na stránky s reklamami a jiné pochybné.

S root loginem jsou problémy akorát na ubuntu a odvozeninách (vč. Mint). Na normálních distribucích (fedora, suse, debian apod.) root pochopitelně existuje.

Plati stale, ze "neklikat" je najlepsia ochrana? Alebo sa moze PC nakazit aj beznym surfovanim na nete (seriozne weby, FB a pod, ziadne warezy a porn)? Inymi slovami, spusti sa nakaza aj BEZ pricinenia uzivatela, ktory sa sprava na internete "rozumne"? Vdaka!

:D :D :D
Rozdíly:
- Linux: Pokud nejsi root, nemůžeš všechno. Na Windows si každý blbec nakliknout v profilu, že chce být admin a může cokoliv (a krom něho aplikace, spuštěná jeho jménem)
- Linux: Při otevření souboru se kontroluje jeho hlavička a podle toho se s ním naloží. Přípona souboru je jenom normální část jména, může jich být několik a nezáleží na nich. Windows: Přípona se schovává a používá s k identifikaci obsahu souboru, podstrčit jde cokoliv.
- Linux: Výchozí filesystém (EXT4) hlídá, která uživatel k souboru leze (podle user ID, group ID atd.). Ve Windows to jde jenom na NTFS (u externího disku s FAT32 smůla, ten práva neřeší) a navíc se to musí v systému explicitně povolit a nastavit (posledně na W7 jsem s tím strávil na domácím stroji asi 4 hodiny).
- Linux má jasně danou strukturu adresářů. Ví se, kde jsou data aplikace, kde jsou binárky a knihovny. Aplikace, která ukládá data mezi binárky, je v 99% případů nefunkční. Windows mají historicky plno SW (z dob W95-ME), který cpe data kamkoliv, třeba co C:\ a pokud si dá člověk práci s nastavením uživatelských privilegií, není admin a chová se bezpečně, tak řada věcí nefunguje.
- Linux instaluje SW z repozitářů. Balíčky jsou podepsaný, k instalaci požaduje heslo roota. Windows nainstalují cokoliv, co si kdo stáhne a odklikne. Když to nejde, prostě se odklikne "spustit jako administrátor" a už to jde.
- Na Linuxu je repozitář používaný i na update, současně se aktualizuje všechno a většinou bez otravnýho restartu (ten je nutný jenom na jádro). Na Windows jsou tři kategorie aktualizace. První je Windows update, druhá je nějaký mechanismus v aplikaci, která upozorní na existenci nové verze s tím, že chce po uživateli ruční přeinstalaci a restart. Třetí je "instaluj a zapomeň", tyhle aplikace se nainstalují a nikdy nedostanou bezpečnostní záplatu.
- Na Linuxu nemusí aplikace ven kvůli aktualizaci. Na Windows je podle trafficu vidět, že ten počítač používá danou aplikaci a pokud je systém notifikace v aplikaci nezabezpečený, dá se podvrhnout aktivace dialogu se stažením "cinklýho" instalátoru. A protože každá aplikace si to řeší ve vlastní režii, je aktualizace ruská ruleta.
- Windows mají vlastně jenom tři možnosti. W32 s BIOSem, W32 s UEFI, W64 s UEFI. Linux jede mimo to i na ARM, ARM64, PowerPC, SH3, SH4, MIPS, NiOS,... S tím, že se liší zavaděče, uBoot, hardware,... Binárka pro 386 nemusí být (a pravděpodobně ani nebude) vůbec spustitelná.

Pokud jde o pitomce za klávesnicí, soustředěnýmu náporu blbosti neodolá nic, ostatně viděli jsme, kam vedlo v Černobylu vypnutí havarijního chlazení. I Linux se dá s trochou snahy nastavit do konfigurace "cedník". Ale Windows se do neděravé konfigurace dostávají velice těžko a pokud nechceš trávit hodiny ručním patchováním a restartováním, tak je v bezpečným stavu neudržíš ani omylem*.

* Korporát si na tohle platí lidi, kteří udržují úzký seznam aplikací a nic jinýho instalovat nesmíš

...a pražácké díry.

Kodeky pro mplayer a mencoder jsou soubory, které si stáhnete z webu výrobce a musíte je rozbalit a uložit do systémové části počítače (kam má právo zapisovat jen root). Podrobnosti, do kterých adresářů tyto dva programy hrabou a do kterého z nich se to má dávat přednostně (byly v tom nějaké změny), jsou na webu jejich výrobce, z hlavy je nevím.
Když jsem je naposled instaloval na Ubuntu (je to, přiznám, více než pět let), potřeboval jsem na to terminál, sudo su mc (tedy Midnight Commander spuštěný v emulátoru konzoly s právy roota).
Možná se to teď dá dělat jinak, ale to by znamenalo jen to, že je na tom Ubuntu s bezpečností ještě hůř, než bylo tehdy.

rdiff-backup už není to nejlepší, co můžete mít. Zálohovací server je lepší mít na ZFS.

Můžete mít snapshoty pro tento den každých pět minut, pro tento týden každou hodinu, pro tento měsíc každý den a pro tento rok každý týden.

Celý filesystém i se snapshoty jde ještě exportovat jinam.

Můžete se pak vrátit ke stavu souboru třeba rok zpět.

ta závislost není jen na záplatovanosti systému, ale možná daleko víc na tom o jaký systém se vůbec jedná. Jsou takové OS u kterých nákaza podobného typu prakticky vůbec nehrozí, pochopitelně nejde o mainstreamové systémy jako windows či android, pro které jsou veškeré útoky pečlivě optimalizovány.

Realita je taková, že pro linuxové distribuce podobné útoky prostě neprobíhají a dochází k nim téměř výhradně a cíleně na uživatele windows platformy, velmi vyjímečně i na platformě macos, ale to opravdu jen velmi vyjímečně, spíš zanedbatelně ... linuxoví uživatelé jsou prostě schovaní v účinném zákopu a před podobnými útoky v naprostém klidu, zatímco windows uživatelé stojí nad zákopem a mávají rudou vlajkou.

... totalny nezmysel vo videach. Blb tam dal zratat nejaku ptakovinu, co mu vyzrala pamet a stroj sa spomalil, lebo musel zacat swapovat, ziaden trening modrych pixlov na monitore ... thats all folks!

Ad.: "..V některých případech se doporučuje počítač vůbec nevypínat, protože je možné získat šifrovací klíče z paměti počítače". Bože co je to za hloupost_ Pokud použiji asymetrické šifrování, tak data šifruji veřejným klíčem a tím to samozřejmě zpětně rozšifrovat nepůjde. K tomu je třeba soukromý klíč a ten určitě nebude pachatel přibalovat.

Na desktopovem linuxu se podobne svinstvo nesiri prakticky jrnom proto, ze se proste nevyplati to pro linux vyvijet.
Pro Android existuje spousta bordelu. Tam uz se vyplati ty chyby hledat.

Bez rootovských práv si na Ubuntu nedoinstalujete ani kodeky, které nejsou v základním programovém vybavení (mimo mnoho jiných věcí).
Běžný user na Ubuntu nemá důvod to mrvit do podoby windows, spíš je problém, že Ubuntu je natolik windowsoidní, že se s ním nedá bezpečně pracovat.

Souhlas, tohle je prostě "zwindowsovatělý linux", který spojuje negativní rysy obou těch systémů. Když se k tomu přidají ještě léta neřešené chyby ve zvukovém systému, které způsobují padání zvuku (náhodně) po minutách až desítkách minut provozu počítače (hlášeno na fórech více než deset let a neřešeno ještě před pár lety, co jsem Ubuntu testoval) a pár dalších věcí, tak to šlo z mého počítače ven rychleji než windows.
IMHO by uživatelé měli být k bezpečnosti cíleně vedeni a nemělo by se ustupovat bezpečnost ohrožujícím nesprávným návykům, získaným z windows.

Měl jsem v počítači trojan.win32/de­cryptor.2, ale data to nezažifrovalo! Zřejmě to byla jedna z jeho částí! Nešel vůbec odstranit a nakonec jsem tom odstranil v nouzovém režimu a ještě jsem to proskenoval a pomocí scanu se odstranilo 5 hrozeb a potom v normální režimu jednu hrozbu která odstranila pomocí scanu! Opravil jsem instalaci antiviru a nechal jsem z aktualizovat! A následně jsem zjistil poškození systémových souboru, nakonec se mě v nouzovém režimu pomocí příkazové řádko povedlo opravit systémové soubory! A spustli systém normálním způsobem! Docháelo k samvolným restartů a toto přestalo když odstranil dva soubory a systém po restartu začal fungovat správně!

Extra otazka :) Co napr taky Dropbox alebo Google Drive? Po zapnuti dalsieho PC mi nakazu automaticky spusti aj na nich? Je takyto cloud dobrym riesenim na backupovanie suborov?

Služby jako Dropbox nebo OneDrive slouží ke sdílení souborů mezi zařízeními. Ne primárně jako zálohy dat, od toho je Backblaze a další.

Například OneDrive má "koš" na smazané soubory, takže tím je můžete obnovit.

Ale ako? Cez reklamne systemy serioznych medii? Proste slusny clovek konzumuje normalny obsah, lupa.cz, google.com, youtube... ziaden warez, porn, nic podobne. Neklika na maily, ktore su podozrive, neotvara prilohy a pod. Proste uzivatel nie je BFU a sprava sa "slusne". Moze byt infikovany? Bez toho, aby uzivatel nieco odklikol?

Perfektne porovnanie (+++) ...
... ešte pre doplnenie:
- root login na bežných distribúciách Linuxu nie je aktivovaný, na aktiváciu treba čo-to pobastliť, všeobecne to nie je doporučované. Ak sa chcem v čomsi hlbšie hrabať, musím byť v správnej skupine a prihlásiť sa ako sudo - ale to neznamená, že môžem úplne všetko. Explicitné potvrdenie heslom vyžadujú aj aktualizácie sw, ktoré nejako zasahujú do systému (knižnice, kernel ...)
- vykonatelné súbory / skripty, ktoré sa mi dostanú kadejako do počítača (flashka, e-mail ...) defaultne nie sú spustitelné, pokiaľ im nenastavím executive flag (zvyčajne ručne).
- Linux je založený od začiatku na unixovskej koncepcii multi-user systému, z toho vyplýva celý systém pridelovania práv uživatelom a skupinám, t.j. zjednodušene - zvyčajne sa môžem ako bežný user hrabať vo svojom chlieviku (až dokedy neprepísknem pridelenú veľkosť priestoru - ak existuje) a o cudzích chlievikoch tam max. viem že existujú, prípadne ak to mám dovolené, tak si môžem dačo pozrieť, nie zapisovať. Na zdielanie je vyhradený v špeciálny adresár - napr. v Ubuntu Public (s príslušnými právami), dočasný brajgel si programy nezapisuju kdekade, ale zvyčajne odkladaju do globálneho smetiska /tmp, ktoré sa raz za čas automaticky pucuje

Bla bla bla https://arstechnica.com/security/2016/12/fedora-and-ubuntu-0days-show-that-hacking-desktop-linux-is-now-a-thing/

... a naco potrebujem win32 aplikacie ? Okrem toho, tie vselijake *wary nie su sucastou aplikacii.

Většina linuxových distribucí "pro obyčejné uživatele" má nastavena výchozí práva tak strašným způsobem, aby to bylo "snadné", že je to ještě horší než ve Windows (když je to správně).

KASPERSKY SECURITY BULLETIN, STATISTICS FOR 2016:
The TOP 20 countries where users face the greatest risk of online infection

Country % of unique users
1 Russia 42.15
2 Kazakhstan 41.22
3 Italy 39.92
4 Ukraine 39.00
5 Brazil 38.83
6 Azerbaijan 38.81
7 Spain 38.21
8 Belarus 38.04
9 Algeria 37.11
10 Vietnam 36.77
11 China 36.53
12 Portugal 35.86
13 France 34.74
14 Armenia 33.01
15 Greece 32.99
16 Chile 32.82
17 India 32.61
18 Qatar 32.53
19 Indonesia 32.30
20 Moldova 31.42

Tak aspon ze si rusaci delaji bordel primarne doma ;-)

:-) :-) :-) dobre, a teraz tú o tej červenej karkulke ...

... problem to v Ubuntu neni, ale asi zamer, bezny user takto nema moznost ani nahodou domrvit system do podoby Win. Ak sa chce v systeme hrabat, tak si musi root aktivovat a potom je to na jeho triko. Za poslednych 10 rokov som na Ubuntu root account nepotreboval ani raz ...

... Jake zneuzite sudo ? Jaky divny Linux ? Ubuntu je hlavne o aplikaciach a rozhrani, na spodku je uplne normalny Debian, pre obycajneho uzivatela absolutne nepodstatne rozdiely. Ale je pravda, ze Ubuntu & co su pre byvalych uzivatelov Win, pretoze pocitac mam na pracu a nie na to, aby som rano po prichode do roboty cumel do modrej obrazovky a pol dna lepil ten mikrosoftacky grc do ako tak funkcneho stavu. Este sa mi za x rokov nestalo, ze by sa akykolvek linux, ktory som pouzival, dokazal sam tak dokonale dodrbat ako ktorekolvek win ...

Krom rusaku, samozrejme... :-D

Mysli si snad nekdo, ze by to situaci vyrazne nezlepsilo? :-))

ještě že ten Bitcoin a další kriplo měny máme, bez nich by šlo platit vyděračům jen kreditkou a ještě by je vypátraly

Ucinnym zpusobem omezeni ransomware by mohlo byt odstrihnuti Ruska od internetu :-)