Lunavara (0)

Tallinna Tehnikaülikool Infotehnoloogia teaduskond WINDOWSI LUNAVARA REFERAAT   Üliõpilane: Kristina Reino Õpperühm: IADB14 Tallinn Sisukor Tallinna Tehnikaülikool...............................................................................................................1


REFERAAT................................................................................................................................1
.....................................................................................................................................................1
Mis on lunavara?.........................................................................................................................3
Lunavara liigid:...........................................................................................................................3
Kuidas ennetada lunavarajuhtumit?............................................................................................5
Kuidas lahendada lunavarajuhtumi?...........................................................................................6
Tuntumad lunavarajuhtumid:......................................................................................................6
Projekt „ No More Ransom“:......................................................................................................8
Kasutatud allikad:.......................................................................................................................8
Mis on lunavara?.........................................................................................................................3
Lunavara liigid:...........................................................................................................................3
Kuidas ennetada lunavarajuhtumit?............................................................................................5
Kuidas lahendada lunavarajuhtumi?...........................................................................................5
Tuntumad lunavarajuhtumid:......................................................................................................6
Projekt „ No  More Ransom“:.....................................................................................................7
Kasutatud allikad:.......................................................................................................................8 2


Mis on lunavara? Lunavara on üks pahavara alaliik loodud petturite poolt, mis krüpteerib või lukustab arvutis kasutaja  faile,  tänapäeval  on  võimalik  seda teha  ka nutiseadmetes,  ja  nende  taastamiseks nõutakse   seadme   kasutajalt   lunaraha.   Sageli   nõutakse   maksmist     virtuaalses   krüptorahas BitCoin,   kuna   krüptovaluuta   liikumist   pole   võimalik   jälgida,   kuid   lunaraha   tasumine   ei garanteeri failide lahti krüpteerimist.(1) Lunavara levib nii e-mailide ja nendes sisaldavates manuste, veebilehtede kui ka tundmatute mälupulkade kaudu, mis on nakatatud selle pahavaraga. Kui lunavara aktiveerub arvutis siis on   vähe,   mida   saab   selle   vastu     teha.   Praegusel   krüptimistasemel   saavad   veel arvutispetsialistid krüptovõtme lahti murda, aga kuna tehnoloogia areneb kiiresti, ei saa loota selle peale tulevikkus. Seega tasub alati kaitsta arvuti ning kasutada seda turvaliselt. (2) 3


Lunavara liigid:  Krüpteeriv lunavara Sellist tüübi lunavara krüpteerib seadme kasutaja isiklike faile ja andmeid. Failide krüpteerimiseks   kasutavad   petturid   krüptovõtmeid,   neid   on   kaks:   avalik   võti,   mis muudab   faile   kättesaamatuks,   ja   salajane   võti,   mida   petturid   müüvad   failide taastamiseks. (3) 4


 Lukustatud akna lunavara – WinLocker Selline lunavara ilmneb seadme ekraani keskele ning blokeerib muid tegevusi, nii et kasutaja ei saa avada teisi faile, lehekülgi ega viirustõrjet. Tihti sõnum, mis ilmneb ekraanil on mingi süüdistus illegaalsete asjade tegemisel nt. muusika allalaadimine illegaalsest kohast ning see järel nõuab „trahvi“ maksmist. Üldjuhul selline lunavara ei krüpteeri faile ning sellest saab kergesti lahti.(3)  5


 Ülemkäivituskirje (MBR) lunavara Selline   lunavara   kuulub   ka   krüpteerimise   alla,   kuid   nakatab   sel   juhul   süsteemi. Lunavara pääseb süsteemi protsessorite juurde ning seab sisse  master boot recordile seadme taaskäivituse. See järel tekib ekraanile võltsteade süsteemi veast ning arvuti taaskäivitub,   peale   seda   tekib   juba   ekraanile   teade   failide   krüpteerimisest   ning maksmise nõudmisest.(4)  Mobiilsete seadete lunavara (Android) Nutiseadmete   lunavara   on   sarnane   tüüpilise lunavaraga. Erinevus seisneb selles, et lahti blokeerida nutiseade on praktiliselt võimatu. Telefoonil tavaliselt blokeeritakse ekraan ning see järel nõutakse raha lahti tegemiseks,   kuid   tihti   peale   maksmist   ei   taastata seadme töötamist või siis ainult näilikult taastatakse ja tegelikult viirus püsib edasi kuni ei ilmu veel kord.(5)  Kuidas ennetada lunavarajuhtumit? Ennetamise meetodeid on mitmeid ning turvalisuse tagamisel tuleks neid kõiki jälgida. Üks parimatest kaitsetest on töökindel varundamine, seade peab olema võimeline tagavarakoopiast 6


varundama. Muidugi tuleks teha tagavarakoopiaid vähemalt üks välis andmekandjale  ja üks võrgukettale. Samas tuleb pidevalt kontrollida varunduse seisukorda ja terviklust. (6) Tähtis   on   ka   kasutada   legaalset   tarkvara   versiooni   ning   jälgida   selle   uuendusi.   Samuti nutiseadmele laadides rakendusi alla tuleb teha seda, vaid ametlikust poest nagu Google Play pood. Alati tuleb ka pöörata tähelepanu  tundmatutele kirjadele, linkidele ja manustele – neid pigem   mitte   avada.   Tuleks   vältida   sisestamist   oma   arvutisse   tundmatuid   mälupulki   ning keelata seadmetes irdmeedia automaatkäivitus.(4) Samuti on kindlasti tarvis, et seadmel oleks antiviirus peal, see küll ei kaitse 100%, kuid enamik   neist   suudab   pakkuda   vähemalt   95%   kaitset.   Paraku   tasuta   antiviirused   ei   suuda piisavat   kiiresti   uuendusi   teha,   seega   ei   saa   need   pidevalt   muutuda   efektiivsemateks kaitsmises lunavarajuhtumi eest.(7) Kuidas lahendada lunavarajuhtumi? Kui seadme kasutaja on lunavara viiruse või ussi tuvastanud, tuleb kohaselt eemaldada pääsu võrgu   kaasa   arvatud  wi-fi.   Seejärel   peab   kasutaja   otsustama,   kas   soovib   ise   analüüsida pahavara või siis pöörduda spetsialistide poole, on ka kolmas võimalus maksta lunaraha, aga see  ei  garanteeri   failide  taastamist   ning  samas  lunaraha   tasumine   soodustab   kuritegevust. Juhul kui kasutaja soovib eemaldada pahavara isepäi, siis tuleks jälgida CERT-EE soovitusi. Esiteks peaks operatsioonsüsteemi tagavarakoopiast taastada või siis teha uus install, see aitab vältida   taasnakatumist.     Samuti   tasub   enne   taastamist   kontrollida,   kas   tagavarakoopia   on nakatatud   ka.   Teiseks   on   ka   võimalik   teha   kindlaks,   mis   lunavaraga   on   kasutaja   seade nakatatud, seda saab teha  https://id-ransomware.malwarehunterteam.com/  abil, kui   juhtumi ohver on teinud kindlaks, millise lunavaraga on tegemist, siis dekrüptorivõtme  olemasolu on võimalik uurida veebilehe aadressil www.nomoreransom.org .(6) Kui lunavara ohvril, aga  pole piisavalt  teadmisi ja oskusi selle eemaldamises, tuleb võta ühendust   CERT-EE   organisatsiooniga,   mis   tegeleb   küberintsidentidega,   nemad   suudavad abistada ning suunata, kuidas saada lunavarast lahti. Samuti tuleks neile teatada intsidentist isegi   kui   kasutaja   ise   eemaldab   pahavara,   kuna   see   info   aitab   teha   neil   ülevaade   Eesti kübermaasikust   ning   samuti   aitab   neil   leida   parema   lahenduse,   kuidas   ennetada   lunavara rünnakuid.(6) Tuntumad lunavarajuhtumid:  WannaCry: 7


WannaCry on lunavara krüptouss, mis levis ülemaailmselt aastal 2017 maikuus . See ründas   Windows   arvuteid,   enamasti   ettevõtete   omi,   muutes   failid   kättesaamatuks kasutajate   jaoks.   WannaCry   suutis   nakatada   mitmeid     tähtsaid   süsteeme   näiteks Suurbritannia haigekassa süsteemi, mis tõi omakorda välja tõsiseid probleeme, nagu patsientide   dokumentide   turvalisus.   Selle   lunavara   loojateks   ja   levitajateks kahtlustakse Lazarus gruppi, küberkuritegevuse organisatsiooni,   mis võib olla oma korda seotud Põhja-Korea valitsusega, kuid tõendeid pole. (8)
WannaCry   koosneb   mitmest   osast:   rakendusest,   mis   krüpteerib   ja   dekrüpteerib andmeid,   krüpteerimisvõtmete   sisaldavatest   failidest   ja   Tori   koopiast.   Peale käivitamist proovib krüptouss pääseda kõvakodeeritud URL-ile niinimetatud kill-lüliti (spetsialistid   pole   teinud   selgeks,   milleks   pahavara   uss   proovib   pääseda   teatud veebilehele), juhul kui see ebaõnnestub, jätkab failide krüpeerimist piirates kasutajale pääsu. Seejärel ilmub teade, milles nõutakse 300 $ lunaraha maksmist BitConides, et kasutaja saaks omad failid tagasi.(8)  Bad Rabbit Bad  Rabbit  on   krüpteeriv   lunavara,   võttis   aset   aastal   2017   ,   mis     kõige   levinud
lunavara   liik.   See   sattub   seadmetes   kasutajate   abil,   kes   teadmata   laevad   nakatanu
veebilehelt alla pahavara. Sellisteks veebilehtedeks on langenud mõned  meedia- ja
uudistelehed.  Ohvrid   paigaldavad  ja  käivitavad  Adobe  Flashi  võltsprogrammi,  mis
on .exe failina. Bad Rabbit on sanrnane WannaCry-iga sellepoolest, et kasutab sama
meetodi arvutisse tungimiseks nimelt Windowsi haavatavust. Kui seade on nakatatud,
siis ilmub juba ekraanile maksmise nõue, mis on 240 eurot ning ajaviitamisel summa
suureneb. (9)  Petya/notPetya Petya on krüpteeriv ja ülemkäivituskirje lunavara, mis levis aastal 2016 manustega e- mailides. Petya ja ka 2017 uusim versioon notPetya, krüpteerivad master boot recordi ning sellega taaskäivitavad seadme, kus juba ekraanile tekkib rünnaku teave. Erinevalt Petyast notPetya on tüvi on palju arenenum ning levimiseks kasutab mitu meetodit üks neist on sama, mida kasutavad WannaCry ja Bad Rabbit , samas kasutab pahavara leivimiseks Windowsi halduse käsurida ja PSEXEC tööriistu ning selletõttu nakatuvad hästi uuendanud arvutid, kui neil pole rakendatud Windowsi domeene kaitsmiseks ja 8


kontode haldusi. Selle lunavara puhul pole võimalik taastada faile, kuna krüpteerimise ajal pahavara lihtsalt kustutab neid, nii et lunaraha maksmine ei päästa. (10) Eestis   on   ka   levinud   see   pahavara   ja   teada   olevalt   on   ohvriteks   langenud   kaks ettevõtet: Ehitus ABC ja minigi väiksem tehas. Kuid kõige rohkem nakatada saanud Ukraina süsteemid, nende hulgas olid keskpank, lennujaam , metroo ja Tšernobõli tuumajaam. Mille tõttu väidetakse, et tegelikult lunavara levimis põhjuseks oli Ukraina infrastruktuuri kontrollimine. (11) Projekt „ No  More Ransom“:
See   projekt   on   tehtud   politsei   ja   IT-turbe   ettevõttete   poolt,   mille     mõte   on   takistada küberkriminaalide lunavara äri õpetadades kasutajatele, kuidas lunavara töötab ning milliseid ennetusmeetmeid   tuleks   kasutada,   et   vältida   ohvriks   langemist..   Projekti   ametlik   sait   on www.nomoreransom.org , mis on Hollandi politsei Riikliku kõrgtehnoloogilise kuritegevuse üksuse,   Europoli   Euroopa   küberkuritegude   keskuse   ning   Intel   Security   initsiatiiv,   mille eesmärk   on   aidata   lunavara   ohvreid   oma   andmete   taastamisel   ilma   selleta,   et   nad   peaks maksma kurjategijatele. Saidil võib leida informatsiooni lunavarast, ennetusnõudeid, seal saab ka tuvastada, millise lunavaraga   on   arvuti   nakatanud   ning   samas   ka   uurida   etteantud   dekrüpteerimisvõtmete hulgast vajaliku, kui see on olemas. Samuti on neil ka võimalus teavitada neid kuriteost. Kasutatud allikad: 1 = https://blog.ria.ee/tag/lunavara/#pahavara (04.12.2018) 2= https://www.arvutikaitse.ee/arvutikaitse-algtoed/lunavara/ (04.12.2018) 3= http://forte.delfi.ee/news/tarkvara/mis-on-lunavara-ja-kuidas-valtida-arvuti-pantvangi- sattumist?id=74235995 (04.12.2018) 4= https://blog.ria.ee/tag/lunavara/ (04.12.2018) 5= https://digitark.ee/milline-viirus-teeb-sinu-telefonist-tellise/ (04.12.2018) 6= https://www.ria.ee/et/kuberturvalisus/nouanded/lunavarakampaania-ennetus.html  (08.12.2018) 7= https://blog.ria.ee/lunavarajuhtumi-ennetamine/ (08.12.2018) 9


8= https://www.csoonline.com/article/3227906/ransomware/what-is-wannacry-ransomware- how-does-it-infect-and-who-was-responsible.html (08.12.18) 9= http://www.raamatupidaja.ee/uudised/2017/10/25/hoiatus-liikvel-uus-lunavarakampaania  (08.12.18) 10= https://blog.ria.ee/petya-voi-notpetya/ (08.12.18) 11= https://tehnika.postimees.ee/4161809/lunavara-viirus-petya-ei-pruukinudki-tegelikult- olla-lunavara (08.12.18) 12= https://www.nomoreransom.org/ (08.12.18) 10

Document Outline

• Tallinna Tehnikaülikool
• REFERAAT
• Mis on lunavara?
• Lunavara liigid:
• Kuidas ennetada lunavarajuhtumit?
• Kuidas lahendada lunavarajuhtumi?
• Tuntumad lunavarajuhtumid:
• Projekt „ No More Ransom“:
• Kasutatud allikad: