maanantai 11. marraskuuta 2013

Viikon softavinkki - vko 46 - CryptoPrevent





Viikon 46 softavinkki on CryptoLocker-lunnasohjelman suorittamista estävä CryptoPrevent.


Taustaa

CryptoLocker on lunnaita vaativa haittaohjelma (ransomware), jonka piinallisuus piilee siinä että vaikka itse CryptoLocker on helppo poistaa, sen salaamia tiedostoja ei tällä tiedolla pysty millään tavoin purkamaan salauksesta ilman lunnaiden maksamista. Tietenkin jos varmuuskopiot ovat kunnossa, välttyy lunnaiden maksamisesta.

Alunperin CryptoLocker vaati lunnaiden suorittamista tietyn ajan kuluessa, jonka jälkeen edes maksamalla ei voinut saada tiedostoja takaisin. Lunnaat olivat aluksi 100 euron luokkaa, sitten 300 euroa ja nykyään jo päälle 400 euroa. Marraskuun alusta CryptoLocker on tarjonnut mahdollisuutta saada takaisin tiedostot määräajan jälkeenkin, mutta huomattavasti kalliimmalla, n. 2200 euroa.

CryptoLocker on siitäkin ilkeä haitake ettei se tarvitse järjestelmänvalvojan oikeuksia jolloin sen olemassa olo voisi ehkä paljastua jo ennen haitan tekoa, se tekee tuhojaan niillä oikeuksilla mitä käyttäjällä on, eli kaikissa niissä levyissä joihin se pääsee käyttäjän oikeuksilla kiinni. CryptoLocker asentaa itsensä Appdata-kansioon (%appdata%), jossa on käyttäjäkohtaisia tietoja ja ohjelmia.


CryptoPrevent

Tämän viikon softavinkin CryptoPreventin idea on estää ohjelmien ajo Appdata -kansiosta. Näin se periaatteessa estää CryptoLocker ajon. Minulla itselläni ei ole tästä ohjelmasta kokemusta kun käytän Windows 7:n AppLockeria mutta CryptoPreventiä suositellaan monessa luotetussa lähteessä (esim. 1 ja 2).
CryptoPrevent
Ohjelma vaatinee hieman viitseliäisyyttä sillä Appdata -kansiossa on usein ajettavana myös luvallisia ohjelmia (esim. Dropbox), joten niidenkin ajo estyy ellei niitä lisätä valkoiselle listalle (Whitelist). Tosin Whitelist EXEs currently in %appdata% / %localappdata% and first level subdirs -painike hoitaa homman yhdellä painalluksella. Tarkkana viilaajana tosin itse valitsisin mitä valkoiselle listalle valitaan.
CryptoPrevent

CryptoPrevent suojannee myös virheellisten tiedostotunnisteiden sisältävien tiedostojen (esim. Dokumentti.doc.exe) ja myöskin Right-to-Left Override tiedostojen suorittamisen. Alla olevassa kuvakaappauksessa on esimerkki Right-to-Left Overriden käyttämisestä tiedostonimessä. Windowsin kansioissa näyttäisi olevan tekstitiedosto annexe.txt, mutta DOS-puolella selviää että kyseessä onkin ajettava ohjelma (.exe).
right-to-left-override esimerkki

Varmuuskopiointi on paras puolustus, sitten on ns. arkijärki eli älä klikkaa sitä mitä et tunne tai tiedä. Sitten voit kokeilla tällaisia ohjelmia kuin tämän viikon CryptoPrevent. Pysy puhtaana!


Linkkejä

Ei kommentteja: