Valsts policijas Galvenās kriminālpolicijas pārvaldes Ekonomisko noziegumu apkarošanas pārvaldes amatpersonas, veicot informācijas pārbaudi par kiberuzbrukumiem un aktīvi sadarbojoties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV speciālistiem, periodiski saņem sūdzības gan no fiziskām, gan juridiskām personām par dažādu šifrējošo izspiedējvīrusu (ransomware) uzbrukumiem. Minētie vīrusi šifrē datorā esošos failus un cieto disku, liedzot lietotājiem turpmāku datora lietošanu, kā arī piekļuvi saturiskajai informācijai.
2019. gada nogalē Valsts policijas Galvenās kriminālpolicijas pārvaldes Ekonomisko noziegumu apkarošanas pārvaldes 3. nodaļā tika fiksēta informācija, ka vienā no Latvijas izglītības iestādēm, iespējams, bija veikts kiberuzbrukums, kā rezultātā tika traucēta serveru un darba staciju darbība. Uzbrukumu laikā tika nošifrēta informācija uz serveriem un atsevišķiem cietajiem diskiem, kā arī darba stacijām (datoriem).
Šāda veida vīrusi Latvijā pēdējo divu gadu laikā visbiežāk skāruši tieši mazos un vidējos uzņēmumus, kuriem trūkst informācijas un arī resursu kiberdraudu mazināšanai. Pēdējā gada laikā Latvijā izteikti izplatīti tieši dharma saimes šifrējošie vīrusi. Minētā vīrusa izplatīšana visbiežāk notiek, izmantojot Microsoft RDP (MS Remote Desktop Protocol attālināto pieeju) no publiskā interneta, ko aizsargā pārāk vāja parole. Ņemot vērā šādu vīrusu periodisku izplatību, Valsts policija un CERT.LV atkārtoti vērš sabiedrības uzmanību būt piesardzīgiem un regulāri veikt standarta drošības pasākumus:
• obligāti veidot datoru informācijas rezerves kopijas, glabāt tās atsevišķi no sistēmas, kas tiek kopēta, kā arī regulāri pārbaudīt, vai šīs kopijas ir izmantojamas;
• pārskatīt tiesības rakstīt/dzēst koplietošanas mapēs (iekšējā tīkla mapes un ārējā interneta risinājuma tīkla mapes);
• paaugstināt attālinātās piekļuves drošību datorsistēmā un administrēšanas rīkiem (piemēram, RDP un SSH). Taču ieteicams vispār nepubliskot RDP servisu internetā, atļaujot tam, piemēram, pieslēgties tikai caur korporatīvo VPN. Microsoft piedāvā arī specifisku starpniekservisu, kas domāts tieši RDP pasargāšanai – “Remote Desktop Gateway”. Ja tomēr tehnisku iemeslu dēļ ir nepieciešams RDP serviss, kuram jābūt publiski pieejamam, labā prakse ir pasargāt lietotāju kontus ar viedkartēm (smartcards), nevis tikai parolēm, regulāri atjaunot RDP servisu, izmantot IPSEC (Network Level Authentication), pārliecināties, ka lietotāji, kam atļauts ielogoties caur RDP, izmanto garas un sarežģītas paroles;
• lejupielādēt savā datorā pretvīrusu programmu. Lejupielādējot un atjauninot pretvīrusu programmu, iespējams palīdzēt aizsargāt datoru pret lielāko daļu vīrusu. Pretvīrusu programmas meklē vīrusus, kas cenšas piekļūt e-pastam, operētājsistēmai vai failiem. Jauni vīrusi parādās katru dienu, tāpēc regulāri jāatjauno pretvīrusu programma. Dažas pretvīrusu programmas tiek pārdotas kā gada abonements, taču daudzas programmas ir pieejamas arī bez maksas;
• neatvērt e-pasta ziņojumus no nepazīstamiem sūtītājiem vai nepazīstamus e-pasta pielikumus. Daudzi vīrusi ir pievienoti e-pasta ziņojumiem vai pielikumos un izplatās tiklīdz tiek atvērts e-pasta ziņojuma pielikums. Saņemot aizdomīga izskata, satura, valodas e-pastus, nekādā gadījumā nevajadzētu vērt vaļā tajos norādīto saiti vai pielikumu, bet gan pārliecināties par sūtītāja leģitimitāti. Šādos gadījumos labāk izmantot alternatīvos saziņas līdzekļus – mobilos sakarus, faksus, fiksētas telefona līnijas. Taču der atcerēties, ka vīrusa sūtītājs ne vienmēr ir svešinieks. Piemēram, vīrusa “Emotet” gadījumā, tam nokļūstot upura iekārtā, vīruss mēģina pavairoties, izveidojot e-pasta adrešu sarakstu, ar ko inficētā datora lietotājs ir iepriekš sarakstījies, un izsūtot katram no šiem lietotājiem e-pastu ar inficētu pielikumu. Šādā veidā inficēto e-pastu saņēmēji redz e-pastu no kāda pazīstama cilvēka vai organizācijas, ar ko viņi tiešām iepriekš sarakstījušies, līdz ar to ir lielāka varbūtība, ka pielikums tiks atvērts;
• dzēst sīkdatnes (cookies) un izvairīties no paroļu saglabāšanas/sinhronizēšanas, izmantojot publiskos datorus. Labā prakse ir neiet savā privātajā vai darba e-pastā no šādiem publiskajiem datoriem (t.sk. arī Dropbox un tamlīdzīgos servisos). Ja tomēr tas netiek ievērots, tad vajadzētu vismaz atcerēties iziet no minētajiem servisiem pēc sesijas beigām;
• izmantot ugunsmūri. Noklusētais OS ugunsmūris vai jebkura cita ugunsmūra programma brīdina par aizdomīgām darbībām, ja vīruss vai “datortārps” mēģina pievienoties datoram. Tas var arī bloķēt vīrusu, tārpu vai lietotāju mēģinājumus lejupielādēt potenciāli bīstamas programmas datorā.
Tikpat svarīgi, kā ievērot drošības pasākumus risku novēšanai, ir arī pārdomāti rīkoties gadījumā, ja incidents tomēr ir iestājies. Valsts policija un CERT.LV nekādā gadījumā neiesaka maksāt ļaundariem prasīto izpirkuma maksu, jo tas tikai veicinās jaunu vīrusu rašanos, kā arī negarantē zaudēto failu atgūšanu. Tā vietā ieteicams par notikušo ziņot Valsts policijai vai CERT.LV, kas ieteiks, kā pareizi tālāk rīkoties.
Sagatavoja:
Elīna Priedīte
Valsts policijas
Sabiedrisko attiecību nodaļas
vecākā speciāliste
Tālr. 67075093
Mob. tālr. 29600629
elina.priedite@vp.gov.lv