Ucenjivački softver je u porastu, ali postoji nekoliko načina na koje pojedinci i administratori mogu zaštititi svoje računare Windows 10 i 11 . Evo šta treba da uradite.
Autor: Preston Gralla
CriptoLocker. WannaCry, DarkSide. Conti. MedusaLocker. Pretnja ucenjivačkog softvera neće nestati uskoro; stalno stižu izveštaji o novim talasima ovog pogubnog tipa zlonamernog softvera širom sveta. Popularan je velikim delom zbog trenutne finansijske isplativosti za napadače: funkcioniše tako što šifruju fajlove na vašem čvrstom disku, a zatim zahtevaju da platite otkup, često u bitkoinima ili drugoj kriptovaluti, da bi vam ih dešifrovali.
Ali ne morate da budete žrtva. Korisnici Windowsa 10 i 11 mogu mnogo toga da urade da se zaštite od toga. U ovom članku ću vam pokazati kako da se zaštitite, uključujući i kako da koristite alatku protiv ucenjivačkog softvera koja je ugrađena u Windows.
(Administratori, pogledajte „Šta IT treba da zna o ucenjivačkom softveru i Windows-u” na kraju ovog članka.)
U ovom članku se polazi od toga da već preduzimate osnovne mere predostrožnosti protiv zlonamernog softvera uopšte, uključujući izvršavanje softvera protiv zlonamernog softvera i da nikada ne preuzimate priloge ili kliknete na linkove u e-poruci od nepoznatih pošiljalaca i e-poruci sumnjivog izgleda. Takođe imajte na umu da je ovaj članak prilagođen za ažuriranje Windowsa 10 Novembar 2021 (verzija 21H2) i ažuriranje Windowsa 11 October 2021 (verzija 21H2). Ako imate starije izdanje operativnog sistema Windows 10, neke stvari mogu da budu drugačije.
Koristite kontrolisani pristup folderima
Microsoft dovoljno brine o ucenjivačkom softveru da je alatku protiv ucenjivačkog softvera koja se lako konfiguriše ugradio direktno u Windows 10 i Windows 11. Zove se kontrolisani pristup folderu (engl. controlled folder access), a štiti vas tako što dozvoljava samo sigurnim i potpuno proverenim aplikacijama da pristupe vašim fajlovima. Pristup nije dozvoljen nepoznatim aplikacijama ili poznatim pretnjama zlonamernim softverom.
Podrazumevano, ova funkcija nije uključena, tako da ako želite da se zaštitite od ucenjivačkog softvera, moraćete da joj kažete da počne da radi. Njeno funkcionisanje možete precizno da podesite dodavanjem novih aplikacija na njenu belu listu programa koji mogu da pristupaju fajlovima i dodavanjem novih foldera pored onih koji se podrazumevano štite.
Da biste alatku uključili, moraćete da pristupite Windows Security. Postoji nekoliko načina da dođete do toga kako u Windowsu 10, tako i u Windowsu 11:
Kliknite na strelicu nagore na levoj strani trake zadataka, a zatim kliknite na ikonu Windows Security — štit.
Kliknite na Start > Settings da biste otvorili aplikaciju Settings, a zatim izaberite Update & Security > Windows Security u operativnom sistemu Windows 10 ili Privacy & Security > Windows Security u operativnom sistemu Windows 11.
Upotrebite Windows pretragu. U operativnom sistemu Windows 10, okvir za pretragu se nalazi na traci zadataka pored dugmeta Start. U operativnom sistemu Windows 11 kliknite na ikonu za pretragu na traci zadataka da biste otvorili okvir za pretragu. Posle toga ukucajte windows security u polje za pretragu pa iz rezultata izaberite Windows security.
U Windows Security izaberite Virus & threat protection. Pomerite se nadole do odeljka „Ransomware protection“ i kliknite na Manage ransomware protection. Na ekranu koji se pojavi, pod „Controlled folder access“, prebacite prekidač na On. Dobićete upit sa pitanjem da li želite da izvršite promenu. Kliknite na Yes.
Ne bi trebalo da ostanete na tome i da se osećate bezbedno, jer postoji šansa da imate foldere koje biste želeli da zaštitite, a koje funkcija ignoriše. Podrazumevano, ona štiti Windows sistemske foldere (i foldere ispod njih) kao što su C:\Users\UserName\Documents, gde je UserName vaše Windows korisničko ime. Pored dokumenata, Windows sistemski folderi uključuju Desktop, Music, Pictures i Videos.
Ali svi vaši drugi folderi su slobodna lovina za svaki ucenjivački softver koji uđe na vaš računar. Dakle, ako koristite Microsoftovo OneDrive skladište u oblaku, na primer, svi OneDrive folderi i fajlovi na vašem računaru nisu zaštićeni. S obzirom na to da Microsoft pokušava da sve što može premesti na OneDrive, ovo je iznenađujući propust.
Da biste dodali foldere koje želite da zaštitite, kliknite na link Protected folders koji se pojavljuje pošto uključite kontrolisani pristup folderima. Pojaviće se upit sa pitanjem da li želite da izvršite promenu. Kliknite na Yes. Kliknite na dugme Add a protected folder koje se nalazi na vrhu liste zaštićenih foldera koja se pojavljuje, a zatim na ekranu koji se pojavi potražite folder koji želite da zaštitite i kliknite na Select folder.
Nastavite da dodajete foldere na ovaj način. Zapamtite da kada dodate folder, svi direktorijumi ispod njega su takođe zaštićeni. Dakle, ako dodate OneDrive, na primer, nema potrebe da dodajete sve foldere ispod njega.
(Napomena: U zavisnosti od vaše verzije OneDrive-a, možda ćete moći da vratite OneDrive fajlove, čak i ako ih ne kontrolišete kontrolisanim pristupom folderima. Za detalje pogledajte Microsoft dokumentaciju „Vraćanje izbrisanih fajlova ili foldera u OneDrive-u.“)
Ako u bilo kom trenutku odlučite da iz spiska zaštićenih foldera uklonite neki folder, vratite se na ekran „Protected folders“, kliknite na folder koju želite da uklonite, a zatim kliknite na Remove. Imajte na umu da nećete moći da uklonite nijedan od Windows sistemskih foldera koji su zaštićeni čim uključite ovu funkciju. Možete ukloniti samo one koje ste sami dodali.
Microsoft određuje kojim aplikacijama treba dozvoliti pristup zaštićenim folderima, a među njima je i Microsoft Office. Međutim, Microsoft nije objavio listu aplikacija koje su dozvoljene, pa razmislite o preduzimanju radnji kako biste aplikacijama u koje imate poverenja dozvolili da pristupe vašim fajlovima.
Da biste to uradili, vratite se na ekran na kome ste uključili kontrolisani pristup folderima i kliknite na Allow an app through Controlled folder access. Pojavljuje se upit sa pitanjem da li želite da izvršite promenu. Kliknite na Yes. Na ekranu koji se pojavi kliknite na Add an allowed app, idite do izvršnog fajla onog programa koji želite da dodate, kliknite na Open, a zatim potvrdite da želite da dodate fajl. Kao i kod dodavanja foldera na listu zaštićenih foldera, aplikaciju možete ukloniti tako što ćete se vratiti na ovaj ekran, kliknuti na aplikaciju koju želite da uklonite, a zatim kliknete na Remove.
Savet: Ako niste sigurni gde se nalaze izvršni fajlovi za programe koje želite da dodate na belu listu, folder sa imenom programa potražite u folderima Windows\Program Files ili Windows\Program Files (x86), a zatim potražite izvršni fajl u tom folderu.
Pravite rezervne kopije… ali radite to kako treba
Čitava poenta ucenjivačkog softvera je da vaše fajlove drži kao taoce dok ne platite otključavanje. Dakle, jedna od najboljih zaštita od ucenjivačkog softvera je pravljenje rezervnih kopija vaših fajlova. Na taj način nema potrebe da plaćate otkup, jer svoje fajlove možete lako da vratite iz rezervne kopije.
Ali kada je u pitanju ucenjivački softver, nisu sve rezervne kopije jednake. Morate biti pažljivi u odabiru prave rezervne tehnike i servisa. Dobra je ideja da koristite skladište na oblaku i uslugu rezervnog kopiranja, a ne samo da rezervnu kopiju pravite na disk koji je priključen na računar. Ako rezervnu kopiju pravite na disk koji je povezan sa računarom, kada se vaš računar zarazi ucenjivačkim softverom, rezervna disk jedinica će verovatno biti šifrovana zajedno sa svim ostalim diskovima koji se nalaze unutar računara ili su priključeni na njega.
Uverite se da vaše skladište i rezervna kopija zasnovana na oblaku koriste verzionisanje – to jest, čuva ne samo trenutnu verziju svakog vašeg fajla, već i prethodne verzije. Na taj način, ako se najnovija verzija vaših fajlova zarazi, možete sve da vratite sa prethodnih verzija.
Većina usluga rezervnog kopiranja i skladištenja, uključujući Microsoft OneDrive, Google Drive, Carbonite, Dropbox i mnoge druge, koriste verzije. Dobra je ideja da se upoznate sa funkcijom verzionisanja svake usluge koju sada koristite, da biste lako vratili fajlove u kratkom roku.
Nabavite besplatnu zaštitu od ucenjivačkog softvera
Skoro svaki program protiv zlonamernog softvera ima ugrađenu zaštitu od ucenjivačkog softvera, ali postoji nekoliko programa koji obećavaju da će posebno ciljati ucenjivački softver. Neki od njih se plaćaju, ali postoje i neke besplatne opcije, poput onih koje navodim ovde.
Bitdefender nudi besplatne alate za dešifrovanje koji mogu da otključaju vaše podatke ako vas je napao ucenjivački softver i podaci se drži ucenjeni. Oni mogu da dešifruju samo podatke koji su šifrovani nekim određenim delovima ili porodicama ucenjivačkog softvera, uključujući REvil/Sodinokibi, DarkSide, MaMoCrypt, WannaRen i nekoliko drugih. A Kasperski nudi besplatan softver protiv ucenjivačkog softvera kako za kućne tako i za poslovne korisnike, mada postoje ograničenja u pogledu broja uređaja na kojima ga možete koristiti.
Redovno uvodite zakrpe
Microsoft redovno objavljuje bezbednosne zakrpe za Windows 10 i Windows 11 i one se automatski primenjuju preko Windows Update-a. Ali ako čujete za izbijanje ucenjivačkog softvera, ne bi trebalo da čekate da se aktivira Windows Update – trebalo bi da odmah sami preduzmete ažuriranje kako biste bili zaštićeni što je pre moguće. I nisu vam dovoljna samo ažuriranja za Windows. Takođe želite da se uverite da Windows Security, Microsoft-ov ugrađeni alat za zaštitu od zlonamernog softvera, ima najnovije definicije protiv zlonamernog softvera.
Da biste uradili oboje, u operativnom sistemu Windows 10, idite na Settings > Update & Security > Windows Update i kliknite na dugme Check for updates. U operativnom sistemu Windows 11 idite na Settings > Windows Update i kliknite na dugme Check for updates. (Ako vas ažuriranja već čekaju, videćete ih na listi, umesto dugmeta Check for updates.) Ako Windows pronađe ažuriranja, instaliraće ih. Ako je potrebno ponovno pokretanje, reći će vam se.
Morate da pazite da bude zakrpljen ne samo Windows, već i ostali softver. Ako protiv zlonamernog softvera koristite program koji nije Windows Security, pazite da on i njegove definicije zlonamernog softvera budu ažurni.
I drugi softver na vašem računaru takođe treba da bude ažuriran. Zato proverite kako se ažurira svaki deo softvera i redovno ažurirajte svaki od njih.
Onemogućite makroe u Microsoft Office-u
Ucenjivački softver se može širiti i preko makroa u Office fajlovima, pa da biste bili sigurni, trebalo bi da ih isključite. Microsoft ih sada podrazumevano onemogućava, ali to ne mora da znači da su isključeni u vašoj verziji Office-a, u zavisnosti od toga kada ste je instalirali i da li ste je ažurirali. Da biste ih isključili, kada ste u Office aplikaciji, izaberite File > Options > Trust Center > Trust Center Settings i izaberite ili Disable all macros with notification ili Disable all macros without notification. Ako ih onemogućite uz obaveštenje (engl. with notification), kada otvorite fajl, dobićete poruku sa upozorenjem da su makroi onemogućeni i dozvoljava vam se da ih uključite. Uključite ih samo ako ste potpuno sigurni da su iz bezbednog, pouzdanog izvora.
Šta IT treba da zna o ucenjivačkom softveru i Windows-u
Ima mnogo toga što IT može da učini kako bi kompaniju zaštitio od ucenjivačkog softvera. Najočiglednije: primenite najnovije bezbednosne zakrpe ne samo na svim računarima u organizaciji, već na svim serverima i svakom drugom hardveru na nivou preduzeća.
To je ipak samo početak. IT treba da onemogući notorno nebezbedni Windows mrežni protokol SMB1. Više napada ucenjivačkog softvera proširilo se kroz taj protokol star 30 godina; čak i Microsoft kaže da niko nikada ne bi trebalo da ga koristiti.
Dobro je da je Windows 10 verzija 1709, objavljena u oktobru 2017, konačno ukinula SMB1. (Nema ga ni u operativnom sistemu Windows 11.) Ali to je samo za računare sa čistim instalacijama verzije 1709 ili novije, uključujući nove računare koji su izašli posle toga. Stariji računari koji su ažurirani sa ranijih verzija operativnog sistema Windows i dalje imaju ugrađen taj protokol.
Postoji više mesta na kojima IT može da dobije pomoć za njegovo isključenje. Dobro mesto za početak je dokument o najboljim praksama bezbednosti malih i srednjih preduzeća iz US-CERT-a, koji vodi Ministarstvo za unutrašnju bezbednost SAD. Preporučuje se onemogućavanje SMB1, a zatim „blokiranje svih verzija SMB-a na granici mreže tako da se blokira TCP port 445 sa svojim povezanim protokolima na UDP portovima 137-138 i TCP portu 139, za sve granične uređaje.
Članak Microsoft podrške „Kako otkriti, omogućiti i onemogućiti SMBv1, SMBv2 i SMBv3 u operativnom sistemu Windows“ nudi detalje o tome kako da isključite ovaj protokol. Preporučuje se da isključite SMB1, ali da ostavite SMB2 i SMB3 aktivnim i da ih deaktivirate samo privremeno radi rešavanja problema. Za najažurnije i detaljnije informacije o isključivanju SMB1, uzmite Microsoft TechNet članak „Onemogućite SMB v1 u upravljanim okruženjima pomoću smernica grupe“.
Administratori mogu da koriste funkciju kontrolisanog pristupa folderu (o kojoj je bilo reči ranije u ovom članku) da spreče ucenjivački softver da šifruje fajlove i foldere na računarima koji koriste Windows 11 ili Windows 10 verziju 1709 ili noviju. Oni mogu da koriste konzolu za upravljanje grupnim smernicama, Windows bezbednosni centar ili PowerShell da uključe kontrolisani pristup folderima za korisnike na mreži, prilagode koji folderi treba da budu zaštićeni i dopuste dodatnim aplikacijama pristup folderima izvan Microsoftovih podrazumevanih vrednosti. Za uputstva uzmite Microsoftov članak „Omogućiti kontrolisani pristup folderu“ da biste ga uključili i na „Prilagoditi kontrolisani pristup folderu“ da biste podesili koji folderi treba da budu zaštićeni i koje aplikacije treba da budu dozvoljene.
Jedan potencijalni problem sa kontrolisanim pristupom folderu je to što može da blokira aplikacije koje korisnici obično koriste za pristup folderima. Dakle, Microsoft preporučuje da se najpre upotrebi režim revizije da bi se videlo šta će se desiti kada se uključi kontrolisani pristup folderu. Za informacije o tome kako to da uradite, pogledajte Microsoftovu dokumentaciju „Procena zaštite od eksploatacije“.
Kao što je gore pomenuto, Office makroi mogu da šire ucenjivački softver. Microsoft sada podrazumevano blokira makroe preuzete sa interneta, ali da bi bio siguran, IT bi trebalo da koristi Group Policy da ih blokira. Za savete o tome kako da to uradite, idite u odeljak „Blokiraj pokretanje makroa u Office fajlovima sa Interneta“ u Microsoftovoj dokumentaciji „Makroi sa interneta će podrazumevano biti blokirani u Office-u“ i post „Pomaganje korisnicima da ostanu bezbedni: Podrazumevano blokiranje internet makroa u Officeu” na blogu.
Zaključak
Dobra vest u svemu ovome: Windows 10 i Windows 11 imaju ugrađene specifične funkcije protiv ucenjivačkog softvera. Pratite savete koje smo ovde izneli da biste sprečili pretnju ucenjivačkog softvera.
Izvor: COMPUTERWORLD