WannaCry dekrüptor väljas

Nüüd juba nädala paanikat külvanud WannaCry-nimelisele lunavarale on loodud dekrüpteerimistööriist, mille abil on võimalik lunavara poolt krüpteeritud failid lahti lukustada. Tööriista looja Adrien Guinet ütleb, et tööriist kasutab ära asjaolu, et WannaCry ei kustuta arvuti mälust algarve, mida kasutati krüpteerimisvõtmete loomiseks. Juhul, kui arvutit pole pärast nakatumist restarditud või seda mäluosa, millel võtmete lähteandmed asuvad, üle kirjutatud, on võimalik vajalikud komponendid arvuti mälust kätte saada ning krüpteerimisvõtmed lahti murda. Lahtimurdmise lihtsustamisks on loodud eraldi tööriist.

Tasub siiski rõhutada, et dekrüpteerimistööriist ei pruugi kõiki nakatunuid aidata, samuti ei päästa see kohustusest WannaCry levikut võimaldav turvaauk paigata ning järgida ka muid soovitusi ning juhendeid edasiste nakatumiste vältimiseks. Kardetavasti on peagi oodata uusi, ülalviidatud dekrüpteerimismeetodile immunsemaid lunavaraversioone.

MS paikas kriitilise turvavea Windowsi pahavarakaitses

Esmaspäeval tuli välja Microsoft Malware Protection Engine’i turvapaik, mis parandas kriitilise haavatavuse Windowsi operatsioonisüsteemides, mis kasutavad sisseehitatud pahavaratõrjujat (ehk siis enamus uuemaid Windowsi versioone, sealhulgas Windows 8, 8.1 ning 10 ja Windows Server 2012-2016) või Microsofti tasulist pahavaratõrjetoodet.

Turvaaugu avastasid Google’i Project Zero uurijad Natalie Silvanovich ja Tavis Ormandy, kelle kinnitusel annab see juurdepääsu nii kõvakettale kui muudele arvuti ressurssidele. Juurdepääsu loovutamiseks ei pea kasutaja ise midagi tegema, piisab sellest, kui sisseehitatud pahavaratõrjuja kontrollib vastavat skripti sisaldavat e-kirja, kiirsuhtlussõnumit või veebilehte.

Hetkel ei ole andmeid, et turvaauku oleks aktiivselt kuritarvitatud. Selle avastanud teadlased informeerisid kõigepealt Microsofti, mis avaldas suurfirmale tavatu kiirusega ka turvaparanduse.

Microsofti kinnitusel rakendub turvapaik automaatselt juhul, kui kasutaja on täienduste allalaadimise ja paigaldamise lubanud. Igaks juhuks tasuks kontrollida, kas Microsoft Malware Protection Engine’i versiooninumber on ikka vähemalt 1.1.13704.0. Kuidas kontrollida, saab lugeda pikemast juhendist, samas on ka kirjas, kuidas sama toodet käsitsi uuendada.

Õunaseadmeid tuleks kiiresti uuendada

Apple lasi välja uuendused oma nutiseadmetele, mis paikavad mõned päris valusad haavatavused. Telefonile ja tahvlitele mõeldud uuendus iOS 10.1 lõpetab olukorra, millega pahatahtlik ründaja võis modifitseeritud pildifaili kasutajale ette söötes tema telefoni üle võtta, saada spetsiaalse võrgulüüsi abil ligipääsu kasutaja andmetele või panna telefon edastama audiosignaali ka siis, kui kõne on lõpetatud. Lisaks lapib uuendus veel mõned natuke väiksemad vead.

Lisaks iPhone’ide, iPad’ide ja iPod’ide kasutajatele peaksid uuendused paigaldama ka Apple’i süle- ja lauaarvutite, nutikellade ja AppleTV kasutajad. MacOS Sierra kasutajatele on välja lastud uuendus 10.12.1, mis samuti paneb kinni augud, mis võimaldasid kas pahatahtlikult loodud fondi või PDF-i abil saada kontroll seadme üle või spetsiaalse võrgulüüsi abil saada ligipääs kasutaja andmetele. Samalaadsed vead parandab ka watchOS 3.1 ning tvOS 10.0.1.

Näib, et loetletud haavatavusi pole enne uuenduste väljalaset seni veel kasutatud, seega peaksid kiired uuendajad olema väljaspool ohtu. Kuivõrd aga pahatahtlikel ründajatel on nüüd haavatavused teada, on ainult aja küsimus, mil uuendamata seadmeid üle võtma üritatakse hakata. Seepärast tuleks oma õunalogoga seadmetele kiiresti turvaseadmed peale panna.

Uuendamiseks tuleks võtta lahti menüü Settings → General → Software Update ning valida vastav uuendus.

 

TeslaCrypt avaldas lahtikrüptimisvõtme

Peamiselt netimängureid, aga ka teisi kasutajaid sihtinud lunavara TeslaCrypt arendajad teatasid, et lõpetavad tegevuse ning ühtlasi avalikustasid ka krüpteeritud failide lahtikrüpteerimisvõtme.

Krüpteeritud failid kandsid tavaliselt laiendit .xxx, .ttt, .micro, .mp3 (või jäid algse laiendiga) ning nende lahtikrüptimisvõtme eest küsiti reeglina 500 dollari väärtuses bitcoine.

Pahavaratõrjefirma ESET teatel on nad loonud ka programmi pantvangistatud failide lahtikrüpteerimiseks, mille saab tasuta alla laadida nende kodulehelt.

Ehkki uudis on kahtlemata tore, ei tähenda see kahjuks faile ja mälukandjaid krüpteeriva pahavara kadumist – jätkuvalt on liikvel CryptoLockeri uuemad variatsioonid, peamiselt OS X-i ründav KeRanger, mõnda aega tagasi maha võetud Petya’st välja kasvanud Misha ja palju teisi.

Seega tasub jätkuvalt pöörata tähelepanu varukoopiate tegemisele ja elementaarse küberhügieenile nagu pahavaratõrjuja kasutamine, administraatoriõigustest loobumine igapäevastes toimingutes, turvaparanduste paigaldamisele ja elementaarsele ettevaatusele tundmatute manuste avamisel või programmide käivitamisel.

Kuidas krüptopahalane levib

Eks spämmi saab meist igaüks, ja mitte vähe. Pahatihti võetakse spämmikirjad ka lahti ja, veel hullem, klikitakse selles olevaid linke või võetakse lahti kirjaga kaasas olevad manused.

Näiteks võidakse teile saata selline kiri:

krüpto

Pärast kirja sees oleva lingi klõpsimist laetakse alla ja käivitatakse krüptoviirus, mis pärast käivitamist krüpteerib nii kasutaja kõvaketta kui ka arvuti külge ühendatud väliste kõvaketaste, sealhulgas mälupulkade ja võrguketaste sisu. Krüptoviirus võib olla ka kirjaga kohe kaasas, seda kas .cab või .zip faili kujul. Ise need küll käima ei lähe, jällegi on vaja usinat kasutajat, kes need käima tõmbab, uskudes manuse olevat kas pildi- või mõnede muude huvitavate failide kogu.

Miks viirustõrje krüptoviirust ära ei tunne ja kasutajat õigeaegselt ei kaitse?

Näib, et tegemist on nn polümorfse viirusega. Ehk iga “ohver” saab personaalselt tema jaoks tehtud viiruse koopia, mis küll töötab samamoodi, kuid mille bitijada ei lange kokku teiste sama pahavara koopiatega. Seega pole tema tundemärke ka viirustõrje poolt allalaetavates pahavara andmebaasides ning viirustõrje ei tunne pahalast lihtsalt ära. Need viirustõrjed, mis tuvastavad pahavara käitumispõhiselt, ei pruugi samuti krüptopahalast alati ära tunda, kuna selle käitumine sarnaneb paljude laiatarbetarkvarade omaga.

Mida krüptoviiruse tõrjumiseks ette võtta?

Kindlasti tuleks üle vaadata oma meilitarkvara seaded ning keelata sellel tundmatute manuste allalaadimine. Samuti ei teeks paha lasta sellel kuvada hoiatusi iga kord, kui kirjas olevaid linke klikite – eks me kõik ole hajameelsed ning ega alati ei mõtle ka, enne kui hiireklõpsu teeme.

Parim vahend krüptoviiruse ja ka muude hädade profülaktikaks on aga kindlasti omaenda terve mõistus, natuke elutervet umbusku ja töötav varukoopia.

Varukoopiad, varukoopiad, varukoopiad!

Alex kirjutab meile:

“Minu Sony sülearvutisse on sattunud viirus CTB-Locker. See viirus on kodeerinud kõik minu foto- ja dokumendifailid. Nii et mina ei saa neid avada. Äkki oskate midagi soovitada?”

Kahjuks head lahendust siin ei olegi.

Viirustõrjujad, näiteks Malwarebyte’s Antimalware, eemaldavad arvutist küll krüptoviiruse enda, kuid lihtsaid ja käepäraseid vahendeid failide lahtikrüpteerimiseks kahjuks ei ole. Samuti pole vähimatki garantiid, et peale kurjategijaile maksmist ka oma failid tagasi saab. Kui veel mõned aastad tagasi võis krüpteeritud faile üsna hea tõenäosusega lahti murda, siis praeguseks on pahavara paremaks ning krüptoalgoritmid korralikumaks muutunud – eduka lahtimurdmise tõenäosus on väike, kui mitte olematu.

Aga neile, kes sellise viirusega veel pihta pole saanud, on Arvutikaitsel tõsine soovitus – tehke oma failidest varukoopiad! Kõige parem, kui regulaarselt ja automaatselt, aga pole paha, kui seda teha kasvõi kohe praegu. Kahjuks on nii, et varukoopia väärtusest saab aru alles siis, kui seda pole. Samuti pole pahavara ainus, mis teie tähtsaid dokumente või kordumatuid fotosid laastab – ka kõvaketta rikkiminek võib olla sama hukatuslike tagajärgedega.

Windowsi kasutajail on kõige lihtsam tarvitada Windowsi enda varukoopiatööriistu – nende abil saab hõlpsasti seadistada nii varukoopiate tegemise ajad kui ka kohad, kuhu neid kirjutatakse. Samuti saab nende abil taastada nii kogu arvutit kui ka üksikuid faile.

Lisaks Windowsi sisseehitatud vahenditele on alati võimalik kasutada nii vabavaralisi kui tasulisi varundamistööriistu. Kui ostate välise kõvaketta, on vastav tarkvara tihtilugu ka tasuta kaasas. Päris kindlasti on varundamistarkvara kaasas välistel võrguketastel (või saab selle võrgust samuti tasuta alla laadida).

Loomulikult ei pääse varundamisest ka Linuxi, iOS-i ega Androidi kasutajad. Millist tarkvara sina oma failide ja fotode varundamiseks kasutad?