CryptoLocker - Jak předejít “útoku” pomocí technologií v operačním systému?
Útočníci hledají nové cesty jak znemožnit uživatelům jejich život, jak získat nějaké jmění. V poslední době se internetem šíří hrozba pod názvem CryptoLocker. Výsledkem jeho činnosti jsou zašifrované soubory na lokálních / výměnných / síťových discích. Pokud nezaplatíte požadovanou částku, je smazán klíč použitý pro šifrování. Nepomůže změna data v BIOSu,… Projevem “infekce” je nemožnost otevřít běžně využívané soubory doc, .docx, .xls, .xlsx, .ppt, .pst, .dwg, .rtf, .dbf, .psd, .raw, .pdf a další. Přijít k tomuto viru je možné v současné době několika možnými způsoby: 1) otevřením přílohy v mailu a spuštěním obsahu přílohy. 2) přístupem na nakaženou webovou stránku. 3) v poslední době stažením a instalací nakaženého kodeku / video ovladače. Tedy jak vidno, ono se o infekci nebo virus v pravém slova smyslu nejedná, stejně tak nejsou využívání žádné známé bezpečnostní chyby v operačním systému, vše je s “laskavým svolením” uživatele. V současné době neexistuje cesta jak navrátit zašifrované soubory do své nezašifrované podoby. Ochranou je prevence: 1) chodit tam a otevírat pouze to co vím, že je bezpečné 2) provádět offline zálohy 3) aktuální antivirové řešení Nicméně je ještě jedna cesta, jak se tomuto napadení, resp. zašifrování souborů bránit - k dispozici již od Windows XP - Software Restriction Policies / AppLocker. Vycházejme z předpokladu, že škodlivý kód je spouštěn z EXE souboru, který dorazí emailem,… (co se situace týká, kdy škodlivý kód je “přibalen” k běžnému SW, pak toto řešení nepomůže, resp. pomůže, ale ovladač,.. nebude spuštěn jako celek). Je možné nadefinovat pravidla pro SRP / AppLocker následovně:
-
%localAppData%*.exe - blokuje spouštění z C:\Users\%username%\AppData\Local
- %localAppData%**.exe - blokuje spouštění z C:\Users\%username%\AppData\Local*
- %Temp%\Rar\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinRAR
- %Temp%\7z\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí 7zip
- %Temp%\wz\.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí WinZip
- %Temp%*.zip*.exe - blokuje spouštění v TEMP, souborů otevíraných pomocí Windows Explorer
- %localAppData%\Microsoft\Windows\INetCache*.exe - blokuje spouštění souborů v IE temp
- %localAppData%\Google\Chrome\User Data\Default\Cache*.exe - blokuje spouštění souborů v Chrome temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)
- %localAppData%\Mozilla\Firefox\Profiles*.exe - blokuje spouštění souborů v FF temp (pozn. cache je v binární formě, je nepravděpodobné, že by se vyskytl přímo exe soubor)
Výsledek pak může vypadat např. takto:
Výhodou řešení je, že je snadno nasaditelné pomocí skupinových politik i v rámci organizací. Pokud bychom chtěli být ochráněni ještě lépe, je vhodné nasadit tzv. Application Whitelisting, tedy nastavit SRP/Applocker tak, aby umožňoval spouštět pouze vyjmenovaný software. Ostatně toto je preferovaná metoda NSA - více v dokumentu http://www.nsa.gov/ia/_files/os/win2k/Application_Whitelisting_Using_SRP.pdf