Mis on lunavara ja kuidas end selle eest kaitsta
Lunavara on pahavara riik, mis krüpteerib ohvriks langenud arvuti kõvakettal olevad failid või tõkestab nendele ligipääsu muud moodi. Failide lahtilukustamise eest nõuab lunavara reeglina kurjategijale tasumist. Enamasti nõuab programm failide lahtilikustamise eest tasumist mõnes krüpto valuutas, näiteks Bitcoin. Viirused kasutavad krüptovaluutat, kuna erinevalt tavalistest pangaülekannetest, pole võimalik seda lõpliku kasusaajani jälitada. Nii hoiab lunavara su faile pantvangis kuni lunaraha (kust viiruse tüüp on oma nime saanud) makstud on. Vaatame järgnevalt, kuidas toimib lunavara, kuidas end ja oma ettevõtet selle eest kaitsta ning mida teha, kuid oled siiski selle ohvriks langenud.
Kuidas töötab lunavara?
Lunavara jaguneb kahte tüüpi viirusteks.
Krüpteerijad krüpteerivad kõvakettal olevad failid. Seda tüüpi lunavara ei takista sul otseselt operatsioonisüsteemi kasutamist, kuid muudab kõik su vajalikud ja isiklikud failid kättesaamatuks. Suure tõenäosusega krüpteerib see ka edaspidi loodud failid.
Lukud on veel ohtlikum lunavara vorm. Lukud takistavad operatsioonisüsteemi kasutamise, lukustades su oma arvutist välja, kuni oled kurjategijale tasunud. Seda loomulikult teha ei tohiks. Lukud üldjuhul arvutis olevaid andmeid ei krüpteeri, kuid see pole reegel. Mõni ohtlikum viirus võib nii andmeid krüpteerida, kui operatsioonisüsteemi lukustada.
Mõned lukud mõjutavad arvutit veel madalamal tasemel, kui seda on operatsioonisüsteem. Nad ei lase arvuti operatsioonisüsteemil üldse käivituda, mis teeb nende eemaldamise eriti keeruliseks.
Lunavara on üks kõige suuremaid ohte arvutikasutajatele tänapäeval. Arvutiviirused pole enam ammu nohikute pärusmaa, kes teevad neid nalja pärast või lihtsalt küber-huligaanitsemiseks. Arvutiviiruste loomine on äri – see on organiseeritud kuritegevuse vorm. Enamik viiruseid, mis arvuti zombistavad ning neid ddos rünnakutes (mis on ddos rünnakud, oleme kirjutanud siin) kasutavad ei ole kasutajatele niivõrd ohtlikud. Nende eesmärk on jääda kasutajatele märkamatuks.
Lunavara eesmärk pole jääda märakamatuks. Nad võivad levida nagu tavalised ussviirused, kuid ründavad neid nakatunud süsteemi otse. Nende puhul ei ürita kurjategijad teenida arvuti rünnakuks kasutamise pealt, vaid otseselt ohvrilt raha välja pressides.
Krüpto viiruste loojad ründavad nii ettevõtteid, kui erakasutajaid, kuid enamik lunavara on suunatud siiski just ettevõtetele. Seda seetõttu, et ettevõtted on statistiliselt oluliselt valmimad oma andmete tagasi saamise eest raha ette käima. Ameerikas tehtud uuringu järgi oli 70% ettevõtetest lunavara ohvriks langedes nõus kurjategijatele maksma. Tihti ulatuvad nõutavad summad kümnetesse tuhandetesse dollaritesse.
Lunavara on eriti ohtlik, kuna tihti piisab kogu arvutivõrgu nakatamiseks ühe kasutaja veast. Kui üksainus raamatupidaja laeb alla lunavara viiruse, krüpteeritakse kõigi tema arvutiga seotud jagatud ketaste sisu.
Kuidas saad aru, et su arvuti on nakatunud lunavaraga?
Üldjuhul ütleb lunavara seda kohe ise, kui ta su arvuti nakatanud on. Enamasti kuvatakse vastavasisulist teadet kohe, kui arvuti käivitad.
Lukuga nakatumisest saad teada kohe, kui arvuti käima paned. Arvuti ei käivitu ning kuvab selle asemel veateadet, mis nõuab makset etteantud bitcoini või muule anonüümsele maksevahendile. Tihti antakse makseks ka tähtaeg, peale midagi kas nõutav summa suureneb või failid hävitatakse jäädavalt.
Muud sümptomid võivad veel olla
- Failinimed on muudetud loetamatuks, mistõttu pole võimalik konkreetset krüpteeritud faili tuvastada
- Faililaiendid on muutunud. Näiteks võivad kõik failid järsku kanda laiendit .crypted.
- Faile pole võimalik enam avada. Window või Mac (jah, ka Macid pole lunavara eest kaitstud!) käituvad tuntud failide puhul nagu ei oleks need seotud ühegi rakendusega.
- Taustapilt on muudetud juhendiks, kuidas tasuda lunaraha
- Desktopil või kuskil mujal nähtavas kohas on tekstifail, mis kutsub end avama. Need on enamasti inglise keeles ja läbiva suurtähega. Tihti algavad nad ka altkriipsuga (“_”), näiteks võivad nimed olla “_OPEN ME.txt” või “HOW TO DECRYPT YOUR FILES.txt”. Seda faili pole soovitatav avada, kuna see võib viiruse käitumist agressiivsemaks muuta – näiteks aktiveerida ajaloendi, mille lõppu jõudmisel failid jäädavalt hävitatakse.
- Sa ei pruugi saada avada veebilehitsejat ega teisi programme oma arvutis
Kuidas kaitsta end lunavara eest?
Oma andmete lunavara eest kaitsmiseks on oluline neid pidevalt varundada. Selleks on soovitatav kasutada automaatseid lahendusi nagu Backblaze. Backblaze teeb kõigest 5 dollari eest kuus valitud failidest su arvutis automaatseid varukoopiaid. Varukoopiate maht pole piiratud ning teenust saavad kasutada nii eraisikud, kui ettevõtted. Rakendus on saadaval nii Windowsile, kui Macile. Olen ise seda juba aastaid kasutanud nii enda, kui kõigi pereliikmete arvutites. Lunavaraga pole me küll kokku puutunud, küll on Backblaze päästnud mu andmed kõvaketta ülesütlemisel. Backblaze saad tasuta proovida siit.
Kui igakuine makse sinu meelejärgi pole tasub omale olulisi faile lihtsalt aegajalt näiteks välisele kõvakettale või võrgukettale kopeerida. Võrguketta puhul vaata kindlasti, et su arvuti poleks sellega pidevalt ühendatud. Vastasel juhul võib juhtuda, et lunavara krüpteerib ka kõik sisu sinu võrgukettal, muuhulgas varukoopiad.
Kolmas alternatiiv on periooditi üles laadida omale olulised andmed näiteks FTP serverisse. Nii on need täiesti eraldatud sinu arvutist ja võrgust. FTP serveri asemel võid kasutada pilveteenuseid nagu Dropbox või OneDrive. Dropbox hoiab 30 päeva ajalugu failidest, mida on võimalik taastada – soovikorral ühekaupa või mitmekaupa. Kui sul on tasuline Dropboxi konto hoitakse failide ajalugu veel pikemalt.
Varukoopiatest rääkides kehtib põhimõte “Kui sul on ainult üks varukoopia, siis sul pole varikoopiat”. Igast olulisest failist peaks olema vähemalt kaks koopiat, kõige tähtsamatest isegi rohkem. Kindlasti peaks vähemalt üks varukoopia asuma väljaspool su arvutit ning tavapärast arvutivõrku.
Ära kasuta vananenud tarkvara. Operatsioonisüsteemide ja tarkvara uuendused ei too mitte ainult uut funktsionaalsust vaid parandavad turvavigu. Mida aeg edasi, seda vähem pakuvad tootjad tarkvara vananenud tarkvaraversioonidele. Windows XP ja Windows 7 sisaldavad märgatavalt rohkem haavatavusi, kui Windows 10. Iga tarkvarauuendus tuleb installeerida esimesel võimalusel ning vananenud tarkvara välja vahetada. See on odavam, kui alternatiiv.
Kui kasutad siiani vanemaid Windowsi versioone, kui 10, on su arvuti riskigrupis. Sama kehtib vananenud MacOSi versioonide kohta. Nüüd, kus Macide tarkvarauuendused tasuta on, pole mingit põhjust uuendamist edasi lükata.
Kasuta viirusetõrje tarkvara. Viirusetõrje tarkvara saab ka tasuta. Siit leiad meie artikli 10 parimast tasuta viirusetõrje tarkvarast Windowsile. Skanneerides iga faili enne avamist ning hoides aktiivsena taust-skanneerimise vähendad oma riski nakatuda lunavaraga märgatavalt. Ka ettevõtete jaoks on oluliselt odavam maksta viirusetõrje tarkvara aastase litsensi eest, mis jääb enamasti alla 100 euro, kui maksta kurjategijale kümneid tuhandeid oma failide avamise eest – alternatiiv võib tihti veel kallim olla.
Tasub meeles pidada, et ükski viirusetõrje tarkvara ei paku sajaprotsendilist kaitset ühegi pahavara vormi eest. Viiruste loojad üritavad kogu aeg viirusetõrjeid üle kavaldada ning vahel see ka õnnestub. Soovitatav on valida viirusetõrje tarkvara, millele on sisse ehitatud lunavara vastased mehhanismid.
Kui kasutad Windowsi, keela Remote Desktop Protocol. Kui seda pole konkreetselt su äritegevuseks vaja, pole mingit põhjust seda oma arvutites lubada. Just seda kasutas 2017. aasta alguses levimiseks WannaCry viirus, mis nakatas ja viis rivist välja mitmed suurfirmad, nagu Renault.
Hoia andmeid erinevatel võrguketastel ning anna igale kasutajale ligipääs ainult sellele, mida tal vaja on. Järgnev näide pärineb ühest Eesti tootmisettevõttest. Raamatupidaja laadis alla ning avas e-kirja manusena tulnud lunavara, mis krüpteeris nii tema, kui kõigi arvutiga seotud võrguketastes hoitud andmed. Kui ettevõte oleks jaotanud oma kettad vastavalt funktsioonile, oleks kaduma läinud ainult raamatupidamisega seotud andmed. Paraku olid samal kettal kõik ettevõtte jagatud andmed ja dokumendid, muuhulgas tootmisjoonised. Krüpteeritud faile nad tagasi ei saanud, ning tekkinud kahju ulatus sadadesse tuhandetesse eurodesse.
Kuidas vabaneda lunavarast maksmata?
Kurb statistika on, et ainult umbes 40% lunavara ohvritest saab oma failid tagasi. Protsent on niivõrd väike peamiselt mõtlematu tegutsemise tõttu peale nakatumist. Vaatame järgnevalt, mis teha, kui oled lunavaraga nakatunud.
Kunagi ei tohi kurjategijale maksta. Seda tehes toetad organiseeritud kuritegevust ning aitad kaasa tulevase lunavara arendusele. Võib tunduda lihtne maksta raha ning oma failid tagasi saada, kuid sa ei saa kunagi olla kindel, et üleakanne su failid ka tõesti taastab. Enamikel juhtudel ülekanne tõenäoliselt su faile tagasi ei too ning jääd ilma nii nendest, kui ülekantud rahast – BitCoinga tehtud ülekannet pole võimalik tühistada nagu krediitkaardimakset. Pead arvestama, et teed tegemist kurjategijaga, kes on juba korra sind rünnanud – miski ei takista teda nõudmast sult ka teist, kolmandat ja neljandat makset.
Hea uudis on, et turvaeksperdid üle maailma töötavad pidevalt lunavara vastu vahendite välja töötamise nimel. Seetõttu on oluline esmalt selgeks teha, millise lunavara ohvriks sa täpselt langenud oled. Kui selle vastu on juba vahend leitud saad seda kasutada. On suur võimalus, et tööriist lunavara eemaldamiseks ning su failide avamiseks on juba olemas. Kui seda pole, luuakse see kindlasti mõne aja jooksul – sellisel juhul tuleb nakatatud kõvaketas lihtsalt mõneks ajaks tallele panna. Võimalus, et mõne aja jooksul luuakse lahtilikustusvahend sind nakatanud lunavarale on suurem, kui oma failid makstes tagasi saada.
Isegi, kui sul hästi läheb ning maksmise järel oma failid tagasi saad ei eemalda see reeglina pahavara su süsteemist. See võib alati uuesti aktiveeruda või vähemalt jätkuvalt tavapärase troojalasena toimida kasutades su arvutit või arvutivõrku ddos rünnakuteks.
Esimese asjana pead välja uurima, millise lunavaraga täpselt nakatunud oled. Kõige lihtsam viis seda teha on kirjutada Googlisse bitcoini rahakoti number, kuhu viirus soovib, et ülekande teeksid. Võimalus on, et turvaeksperdid on juba loonud tarkvara su arvuti ja failide lahtilukustamiseks.
Kui oled nakatunud mõne uue lunavaraga, millele pole veel vastumürki leitud, eemalda arvutist nakatunud kõvaketas. Pane kõvaketas kõrvale ja kontrolli iga päev, ega lahendust leitud pole – mingi hetk juhtub see nagunii. Siis saad oma failid eelmisel kõvakettal taastada. Kahjuks pole võimalik öelda, kaua läheb turvaekspertidel täpselt sind nakatanud krüptovara lahti murdmiseks. Enamasti võtab see paarist päevast paari kuuni.
Milliseid seadmeid ja platvorme rünnatakse?
Mainisin juba varem korra, et isegi Macid pole kaitstud lunavara vastu. Lunavara on loodud erinevatele plarvormidele, muuhulgas Windowsil jooksvad arvutid, Macid ja Android seadmed. Mõni aeg tagasi levis isegi iOS seadmetele suunatud lunavara, mis muutis seadme veebilehitseja kasutuskõlbmatuks. See on küll hetkeseisuga parandatud, kuid järgmine haavatavus võib ilmsiks tulla iga hetk.
Järjest enam levivad rünnakud serverite vastu. Serverite vastu suunatud rünnakud võivad erineva tavapärasest lunavarast, kuna häkker võib nende sisu krüpteerida ka manuaalselt. Saades mõnd haavatavust ära kasutades kontrolli su serveri üle võib kurjategija seal oleva sisu koos varukoopiatega krüpteerida. Enamasti nõutakse sellisel juhul failide vabastamise eest väga suurt summat ning tihti ei ole võimalik kuskilt leida tööriista tehtud kahju vastu. Ülioluline on uuendada kogu tarkvara oma serveris pidevalt, “manuaalselt” pantvangi võetud faile pole tihti võimalik kuidagi taastada.
Samuti ei tohi kunagi hoida andmeid ja varukoopiaid samas serveris. Soovitatavalt tuleks neid iga teatud aja tagant kopeerida serverisse või andmekandjale, mis pole samas võrgus ega muud moodi otseselt ühendatud. Oma ettevõttele oluliste failide kaitsmiseks tuleb üles seada protsessid täpselt nagu füüsilise põhivara korral.
2016 aastal avastati esimene lunavara, mis ründas nutikat termostaati. Suure tõenäosusega rünnakud asjade interneti vastu ainult sagenevad. Kui arvuti kõvakettal olevate andmete kaotamisega võivad palju leppida, kuid talvel soojuse kadumine on suurem mure.
Kuidas levib lunavara?
Lunavara levib enamasti e-kirja teel. Lunavara on enamasti makseeritud .pdf või .doc failiks. Enamasti üritab kiri muljet jätta, et tegemist on arvega. Kuidas ära tunda võltsitud e-kirju sisu ja manuste põhjal oleme pikemalt kirjutanud artikli “Mis on õngitsemine ja kuidas seda ära tunda” sektsioonis “Kuidas tuvastada õngitsemist e-kirjas”.
Loomulikult pole e-kirjad kuldreegel. Harvematel juhtudel levib lunavara nakatunud USB seadmetega või üle võrgu.
Android seadmeid nakatav lunavara on levitanud end ka SMSi teel, saates nakatunud seadme kõigile kontaktidele SMSi viirusele viitava lingiga. See on eriti efektiivne, kuna paljud pole teadlikud, et viirused sellisel moel levida võivad.
Samuti võib lunavara levida läbi nakatunud veebilehtede. Su arvuti võib viirusega nakatuda lihtsalt lehte külastades ilma, et midagi otseselt alla laeksid. Nii levis näiteks iOS seadmete veebilehitseja pantvangi võtnud viirus.
Näiteid lunavara rünnakutest
Ilmselt tuntuim lunavara rünnak algas 12. mail 2017, kui aktiveerus WannaCry nimeline krüptovara. Loetud päevadega nakatus üle 200 000 arvuti ning töö jäi seisma nii Euroopa suurte autotootjate juures, kui Ühendkuningriikide haiglates. Rünnaku tegi pretsedendiliseks see, kui kiiresti viirus levis. Ta kasutas ära haavatavust vanemates Windowsi versioonides, mida varasemalt kasutas info kogumiseks Ameerika luureagentuur NSA. Rünnak peatati küll kiirelt, samuti loodi tarkvara pantvangi võetud failide vabastamiseks, kuid juba natukese aja pärast ilmusid välja viiruse uued versioonid. WannaCry rünnak oli niivõrd suur ning seda kajastati meedias niivõrd palju, et võis jääda mulje, et tegemist oli esimese sedatüüpi viirusega. Nii see kindlasti pole.
Esimene teadaolev lunavara pärineb 1987. aastast ning kasutas levimiseks floppy kettaid. Sellel ajal loomulikult bitcoine ja muid anonüümseid krüptovaluutasid polnud, oma arvuti lahtilukustamiseks pidi saatma tšeki 189 dollariga postkasti Panamal.
2016. aasta veebruaril langes Californias asuv haigla “Locky” nimelise lunavar ohvriks. Lunavara nakatas kõik nende võrku ühendatud arvutid ning nõudis nende avamise eest 17 000 dollari suuruse lunaraha maksmist.
2017. aasta alguses langes Austrias asuv luksushotell lunavara rünnaku ohvriks, mis muutis kasutuks nende uste kiipkaardisüsteemi. Järku ei saanud külastajad enam oma tubadesse siseneda. Hotellil ei jäänud antud juhtul üle muud, kuid kurjategijatele maksta. See ilmsestab, kuidas võib viirus halvata ettevõtte töö, mis pole otseselt seotud interneti ega arvutitega nagu e-pood.
12 mai 2017 – 15 mai 2017 leidis aset ulatuslikuim krüptovara rünnak, kui WannaCry viirtus nakatas üle maailma sadu tuhandeid arvuteid. Rünnak oli nii ulatuslik, et Microsoft lasi erandkorras välja turvapaiga ka haavatavatele Windowsi versioonidele, mida nad enam ei toeta ega uuenda.
2017. aasta kespaigas nakatas Linuxi platvormi vastu suunatud lunavara Erebus Lõuna-Korea veebimajutust pakkuv ettevõte NAYANA 153 serverit. Tulemusena muutusid kättesaamatuks enam, kui 3500 kliendi failid ja kodulehed. Nad olid sunnitud andmete taastamise eest tasuma 10 bitcoini, mis on umbes 35 000 dollarit.