Predovšetkým treba skonštatovať, že neexistuje 100-percentná a univerzálna ochrana pred Ransomewarom, jediné, čo mi napadá, je vôbec internet nepoužívať :D. Asi už dnes nereálne, však? Je ale možné a reálne minimalizovať pravdepodobnosť jeho aktivácie vo vašom zariadení alebo v sieti, a zamedziť, prípadne zmierniť dopady jeho nežiaducich účinkov. Odporúčam dodržiavať niekoľko zásad, pričom ich kombináciou by sa mala dosiahnuť vcelku účinná ochrana v boji proti Ransomwaru.
Je zrejmé, že v drvivej väčšine úspešných útokov zlyháva ľudský faktor, prípadne je prítomná nevedomosť, či už na strane používateľa alebo správcu siete, resp. IT. Z tohto dôvodu ako prvé odporúčam školenia nielen pri nástupe zamestnancov do zamestnania, ale aj ich priebežné preškolenia týkajúce sa IT bezpečnosti, minimálne na ročnej báze. V ďalšom kroku to môžu byť penetračné testovania, sociálne inžinierstvo, mystery shopping a podobne. Ak hovorím o školeniach v súvislosti s problematikou Ransomwaru, spomenul by som niekoľko praktických rád a ich súčasťou by malo byť aj napríklad:
Detailne si všímať, kto je odosielateľom vašich prijatých e-mailov v inboxe, a to nielen meno, ale aj samotnú doménu, a teda analyzovať celý formát adresy odosielateľa. Niekedy môže ísť o e-mail tváriaci sa akoby od vášho kolegu, pričom meno sedí, ale je z úplne inej domény. Horšia správa je, že môže sedieť aj doména za zavináčom (@). Čo však už sedieť pravdepodobne nebude, je elektronický podpis alebo vizitka, ktorú odporúčam mať ako firemný, ale aj osobný podpisový štandard.
Ďalej sa zamerajte na formát a gramatiku textu v samotnom e-maile – často ide o nezmyselné sprievodné texty alebo gramaticky nesprávne preklady. Môžete však obdržať aj e-mail s minimálnym textom, napríklad: „Vaša faktúra v prílohe.“ a podobne. Všímajte si preto aj názvy a koncovky súborov, ktoré sú v nich ako príloha, ďalej formát a smerovanie prípadnej linky/odkazu, ktorý je v takomto e-maile uvedený. Zásada je: neklikajte automaticky na všetky prílohy a linky, resp. odkazy v e-maile a hlavne nie na tie od neznámych odosielateľov.
Ak niečo zistím alebo identifikujem, treba upovedomiť aj ostatných kolegov a, samozrejme, správcu IT, ideálne iným spôsobom a komunikačným kanálom, ako je e-mail a váš počítač :D
Ďalšou dôležitou radou nielen pre koncových užívateľov, ale aj správcov IT vo firmách, je mať inštalovaný účinný antivírusový program nielen na lokálnej stanici, ale aj serveroch, a to aj mailových a, samozrejme, mať na pamäti aj jeho pravidelnú (ideálne zapnutú automatickú) aktualizáciu. Myslite aj na antispam/ový a antimalware/ový softvér. Za zmienku stoja aj zapnuté automatické alebo manuálne inštalované aktualizácie a záplaty pre rôzne softvérové produkty a OS (operačné systémy). Účinné je v danej súvislosti skenovanie e-mailových príloh, externých médií a podobne.
Prevenciou je aj monitoring a riadenie práce a používania internetu na to určeným softvérovým nástrojom, napríklad IMS od NWS, keďže je známe, že dnes už veľa zamestnancov vypĺňa nielen svoj súkromný čas, ale aj čas v práci browsovaním po rôznych stránkach. Môžu tak – aj keď možno nechtiac – infikovať nielen svoju pracovnú stanicu, ale aj firemnú sieť a server neželaným škodlivým programom (vírusom, malwarom, ransomwarom a pod.).
Pre prípad, že by mal byť útok úspešný, určite nezabúdajte na pravidelnú, najlepšie automatizovanú zálohu svojich či firemných dát a ich nezávislé ukladanie/archiváciu. Ideálne mimo primárnej siete, serverov a systémov, takto svoje skoro aktuálne dáta dokážete pred primárnym kyberútokom ochrániť a v prípade potreby v relatívne krátkom čase aj obnoviť zo zálohy. Pri správnom a pre vašu prácu optimálnom nastavení automatizovaného zálohovania vám hrozí strata dát maximálne v rozsahu za posledných 24 hodín a menej.
Čo ale, ak sa to už stalo a zisťujete, že ste na niečo neštandardné klikli alebo sa niečo neštandardné s vaším zariadením alebo dátami deje? Ak je teda zrejmé, že došlo k jeho aktivácii a útok bol na vaše zariadenie či sieť úspešný, nezabudnite na nasledujúce zásady a pravidlá, ktoré určite neuškodia, a dokonca môžu aj pomôcť a zastaviť kybernetický útok, prípadne minimalizovať škody. Vypnite natvrdo vaše zariadenie (notebook, PC a pod.), ideálne cez tlačidlo on/off (nie softvérovo). Ak to inak nejde, tak jednoducho odpojením z elektriny, resp. vybratím baterky.
Zároveň odpojte pripojenie do internetu, napríklad vytiahnutím dátového kábla zo zariadenia. Ak je v sieti wifina, vypnite a odpojte aj tú. Ak je v sieti server, odpojte ho od dátovej siete a ak je predpoklad, že mohlo dôjsť aj k jeho napadnutiu a infikovaniu, aj ten vypnite fyzicky odpojením od napájania.
Následne sa nepokúšajte niečo vymýšľať sami a hľadať prípadné ďalšie postupy a riešenia na internete :D Toto už nechajte na odborníkov pôsobiacich v segmente IT bezpečnosti a obnovy stratených dát. Volajte napríklad aj nám :D, aby sme sa pokúsili vaše dáta včas zachrániť.
V žiadnom prípade napadnuté zariadenia nezapínajte a nepripájajte do internetu!
Pre niektorých z vás sú uvedené postupy a rady možno známe, ale pri našej už 15-ročnej praxi sa bežne ešte aj dnes stretávame s tým, že drvivá väčšina používateľov vo firmách – a aj v tých s technickejším zameraním – tieto informácie počula od nás prvýkrát.
