Средната стойност за искане на откуп от криптовирус или ransomware е $670
Божидара Иванова, за economic.bg
Спас Иванов е търговски директор на CENTIO Professional IT Security. Завършил е УНСС и е сертифициран одитор по ISO:27001. Economic.bg разговаря с него за най-разпространените вируси в България, заплахите в социалните мрежи и интернет и най-сигурните начини за защита на информацията и данните на потребителите.
Кои са най-разпространените вируси в България?
Най-разпространените вируси не само в България, но и в световен мащаб, в момента са криптовирусите, които имат дял от около 40% от всички заплахи в интерент. Те се разпространяват най-често под формата на приканващи имейли, които имат съдържание, което провокира любопитство. Както знаете около 99% от българите имат задължения към някой. Имаме редица случаи, в които някой е осъден, без да знае. Почти всеки човек би се изкушил да отвори прикачен файл, който подсказва да го отвори, тъй като това е „изпълнителен лист от съдия изпълнител“. Това, от което се възползват киберпрестъпниците, всъщност е тази наша наивност и любопитство. По същия начин е при телефонните измамници, просто тук жертвите са повече.
Как потребителите могат да се защитят?
Най-общо казано основните неща, които трябва да спазват, са елементарна хигиена на ползване на електронна поща, тъй като основно там е най-големият брой зарази. Съветвам да не се отварят писма, които не чакат. Например, ако не очакват пратка от някого, не трябва да отварят фактура, която са получили и по всяка вероятност това няма да е практика с добри намерения към съответния потребител.
Обикновено киберпрестъпниците маскират съдържанието на даден криптовирус под формата на легален документ и слагат разширение .pdf, .xls и т.н. Истината обаче е, че те скриват истинското разширение на файла, а това, което се вижда, всъщност е част от самото име на файла, тъй като по подразбиране разширенията на познатите файлове от Windows са скрити.
Това са т.н. скриптове. Тези, които по принцип сваляте от електронната поща, сами по себе си не са вируси. Това е серия от команди, които изпълнени една след друга, свалят съдържание от интернет, което ще криптира файловете. След това генерира случаен ключ, който изпраща до командния му сървър и на компютъра на потребителя се изписва съобщение за искан откуп, който сочи превод на валута в биткойни в определен електронен портфейл.
Трябва ли потребителите да плащат откуп на киберпрестъпниците и това гарантира ли им, че отново ще имат достъп до данните си?
Когато въпросният превод се получи, изцяло автоматизирано, без човешка намеса, потребителите получават ключа, с който могат да отключат криптираните си файлове. В много голяма част от случаите при плащане на откуп киберпрестъпниците връщат файловете обратно на потребителите. Това обаче в никакъв случай не може да бъде съвет към тях. Средната стойност на исканият откуп е 670 долара по статистика за 2016 г. Ако по някакъв начин потребителите имат архивни копия на файловете си, няма да им струва нищо.
В България все още масово се ползва Windows XP, който е много остарял и не се поддържа от Microsoft. Препоръчваме на всички, които го използват, да обновят операционната си система. Основно потребителите трябва да имат хигиена на ползване и малко повече подозрителност към всичко, което получават и е необичайно. В момента, в който те получат писмо извън обичайния си кръг на поведение, не трябва да го отварят.
Възможно ли е технически да се върне достъп до данните, когато един компютър е заразен и информацията е криптирана?
Има вариант. В интернет има много декриптори, повечето са безплатни. Въпросът е, че за последните генерации вируси не винаги има подобни решения. Но все пак, ако някой реши да не плаща откуп, го съветвам да не изтрива всички файлове, защото много често такъв тип декриптор може да се появи и за заразилия го вирус. Няма обаче гаранция това дали ще стане и в какъв период.
Най-сигурният вариант е да се търсят резервни копия от данните. Ако платите откуп има голяма вероятност да ви върнат файловете, но в никакъв случай не мога да кажа, че това е съвет. По този начин финансирате пряко киберпрестъпността. А когато те виждат, че тактиката им работи, започват да измислят нови начини да измамят потребителите и да им взимат парите.
Колко потребители са засегнати в България през последната година?
По последни данни на Osterman Research 40% от всички засечени зарази в България през 2016 г. са на ransomware кодове (т.н. криптовируси). За последния месец 5 от топ 10 вируси в страната са скриптове, които свалят зловредни кодове. Всеки ден у нас се откриват 10 000 нови вируса, което е 1005% ръст за 3 години.
Както вече споменах, заразата се осъществява по няколко начина – чрез имейл (31%), прикачен файл в мейл (28%), уеб сайт или приложение (без социални медии – 24%), социални медии (4%), USB флашка (3%), други (10%). Средната стойност за искане на откуп е 679 долара по данни на Barkly.
Какви са опасностите за потребителите в социалните мрежи?
Основните опасности във Facebook идват от т.н. фалшиви новини, които имат две основни направления, за които се генерират. Едното е, че опитват да ви извадят от страницата във Facebook, в която се намирате в момента и да кликнете на линк, който ви иска отново да въведете данните си, за да влезете в профила си. Така киберпрестъпниците стигат до вашите данни , тъй като това е лъжлива страница.
Изключително важно е потребителите да знаят, че Facebook има мисия никога да не ви вади от сесия и да ви задържи колкото може по-дълго време. В момента, в който се логвате и отворите друг прозорец, киберпрестъпниците ще ви държат максимално време, за да проследят вашето поведение. Това е единият често срещан начин за измама.
Има случаи, в които страници на големи компании, изграждани с години, се блокират и имайки административната парола, те могат да изгубят всичките си фенове. След това се иска откуп, в противен случай може да се закрие страницата на съответната компания в социалната мрежа. Понякога се случва страници да се закриват от конкурентни подбуди.
Другата основна опасност в социалните мрежи е когато тези фалшиви новини се използват за насаждане на крайни настроения, като ксенофобия, расизъм. Често напоследък се наблюдават фалшиви новини, свързани с имигранти, изнасилвания, бомбени атентати, с цел да провокират незабавна реакция от дадена обществена група, която да предизвика някакъв вид реакция.
Хиляди потребители ежедневно отварят фалшиви новини и въвеждат отново мейла и паролата си, за да влязат във Facebook, без да разбират, че всъщност влизат в друга страница, която краде данните им. В последствие те започват да изпращат съобщения на техни приятели с искане за пари назаем, купуване на ваучери и какво ли още не.
Кой е най-сигурният начин да защитим информацията си?
Моят съвет е цялата важна информация, която имат, да я защитят с парола на определено място на своя компютър. Дори да пострадат от такъв криптовирус, киберпрестъпниците ще трябва да разархивират информацията. Другият начин е да използват облачни услуги, където информацията се пази. За личните им профили най-важното е да бъдат бдителни и внимателни.