Ransomware (lunavara), ohtlik ja kasvav trend!

Win 10 logo Lunavara või pahavara-väljapressija (ransomware) - väga ohtlik ja kiiresti kasvav trend - TULEB TEADA!

 

 

Ransomware (lunavara / pahavara-väljapressija):

Ransomware


Mis on Ransomware (lunavara)?

Maksa või muidu...! Lunavara on häkkimise kuum trend 2016 ja edasi! Lunavara (väljapressimise pahavara) on praegu küberohtude edetabelis Nr.1 ja jääb selleks ka lähitulevikus! See "kuum trend" võib ka Sind tabada - juhul kui hooletu oled! Näiteks kõikidest pahavaradest, mis on loodud Windowsi operatsioonisüsteemi ründamiseks, moodustab lunavara ligi 60% ja see % aina kasvab. Lunavara ei ole midagi uut, ta on PAHAVARA, aga ta on väga ohtlik ja hävitav pahavara. Ta on küll viimasel ajal tohutult levima hakanud ja ajakirjanduselt palju tähelepanu saanud, aga tema tehnika on kasutusel juba mõnda aega. Lunavara krüptib Sinu failid või terve kõvaketta ja seejärel pead maksma lunaraha, et neile failidele või kõvakettale uuesti ligi saada. Ransomware (lunavara) võib lukustada ka Sinu kompuutri, maksa lunaraha ja Sa saad oma seadme lahti lukustada. Lunavara võib peale lauakompuutri nakatada ja lukustada ka Sinu Android mobiilse seadme, näiteks nutitelefoni või tahvelarvuti. Selline pahavara on suunatud ka iOT seadmete lukusutamisele. Lunavara võib olla väga erinevates vormides, aga oma olemuselt keelab ta ligipääsu seadmele või failidele senikauaks kuni kannatanu on nõutud lunaraha ära maksnud. Maksta tuleb kas "bitimüntidega" / krüptorahaga (bitcoin) või siis Amazon või iTunes kinkekaartidega (iTunes Gift Cards, Amazon Gift Cards).

Märkus: Kuid näiteks Jisut väljapressijate perekonna üks uuem versioon, mis on ette nähtud nutitelefonidele ja Android tahvelarvutitele, küsib ohvrilt aga 40 jüaani (Hiina rahaühik). See lunavara on isegi rääkiv pahavara, mis tervitab ohvrit meeldiva naisehäälega :).




Lisa, teemaga seotud: "Bitcoin — mis see bitcoin (krüptoraha) ikkagi on? Bitcoin-rahakott — kuidas seda luua ja seejärel kasutada? Krüptoraha ostmine, müük ja vahetamine." - loe sellest sealt veebilehelt.





Lunavara tuleb põhiliselt brauseri (veebisirvija) ja e-mailide kaudu. Häkkerid kasutavad masinate nakatamiseks järgmisi meetodeid: "phishing" emaile (nendesse lisatud linke ja manuseid), vananenud värskendamata (lappimata) programme, kompromiteeritud veebsaite, onlain reklaame ja tasuta tarkvara allalaadimisi. Lunavara ei krüpti ainult Sinu individuaalset kompuutrit, antud tarkvara on piisavalt tark, et liikuda üle töökoha (asutuse, ettevõtte, organisatsiooni) võrgu ja krüpteerida seal kõik jagatud/ühised võrgukettad - see võib küllalt katastroofiliselt lõppeda. Võrgus asuv üksainus kompuuter saab lunavara nakkuse ja seejärel ründab see pahavara juba tervet võrku - Eestiski on seda juhtunud. Näiteks üsna uus lunavara tüüp ründab just ettevõtteid ja organisatsioone, sest nemad maksvad rohkem. Sellist tüüpi pahavara kasutab uuendatud tehnoloogiat ja ta on võimeline nakatama ka selliseid masinaid, mis on offline ehk autonoomsel režiimil (nad ei ole juhtimis- ja kontrollserveriga ühenduses). Ohver saab emaili teel parooliga kaitstud ZIP faili, mida on pahavaratõrje skaneerijatel raskem kontrollida. Antud .zip fail sisaldaks nagu tähtajaks mittetasumise või muud taolist teavet ja saadetakse seepärast "turvalisuse" eesmaärgil ka ZIP failina. Ma ei tea, et kes need rumalad selliste emailide õnge lähevad, aga eks neid ikka jagub - maailm on kirju....

Üks näide: Kasutaja saab "phishing" emailiga Word dokumendi. Ta laeb selle alla ja avab. Word dokumendi avamisel käivitatakse antud dokumenti lisatud spetsiaalne makro. See makro käivitab cmd.exe, mis omakorda käivitab PowerShell'i. Seejärel laetakse Internetist alla uute andmetega skript ja siis käivitatakse jällegi see PowerShell, et alustada failide krüptimist. Kuidas selliseid väljapressijaid tulevikus vältida ja milliseid vigu me teha ei tohiks, sellest tuleb siin edaspidi ka pikemalt juttu.

Etteotsa





Vahemärkus (uendatud 15.05.2017) - WannaCry nimelise ransomware (lunavara) epideemia: Eelpool siis räägiti kasutajate endi poolt tehtud vigadest, mille tulemusel nad saidki selle väljapressimise pahavara kaela. Kuid näiteks WannaCrypt (Wana decrypt0r, WannaCry, Wanna Decryptor või WCry) nimeline globaalne pahavara-krüptija, mis nakatas alates 12.05.2017 kuupäevast edukalt paljudes riikides kümned tuhanded arvutid, ei nõudnud kasutajate endi poolt absoluutselt mingisugust tegevust. Kasutajad ei pidanud midagi alla laadima, nad ei pidanud midagi installeerima, nad ei avanud ühtegi kahtlast e-maili jne, aga "kuri" oli ikkagi platsis - pilt. Alates 12.05 kuni 15.05.2017 kuupäevani nakatati sel teel üle 200 000 kompuutri ja seda ligi 150 riigis - siiani ajaloo suurim lunavara rünnak (lausa epideemia või isegi pandeemia). Ja ega see antud pahavaraga nakatumine veel peatunud pole, kuu lõpuks on ohvrite arv juba üle 400 tuhande. Antud viirus tungis kasutaja kompuutrisse täiesti iseseisvalt, kasutades selleks süsteemis olevat turvaauku. Seega, ükskõik kui targaks kasutaja ennast ka ei pidanuks ("ma ei ole kunagi millelegi kahtlasele klikkinud ja ei hakka seda ka tulevikus tegema"), võis ka tema kompuuter nakatatuks saada, sest antud pahavara-väljapressija kasutas enda kulutulena levitamiseks Microsoft Windows Server Message Block 1.0 (SMB v.1.0) võrguprotokolli vananenud versiooni. Seda protokolli kasutatakse tavaliselt failide üle võrgu jagamiseks. See lubas kurjategijatel saada kompuutrile kaugjuurdepääsu ja täita seal vastava koodi - kasutaja ei teinud ise midagi selleks. Mehhanism, mida kasutati WannaCrypt'i levitamiseks, ehitati üles National Security Agency (NSA) häkkimise instrumentaariumi paarile instrumendile: EternalBlue ja DoublePulsar instrumentidele. See miljoneid $ väärt väga täiuslik häkkimise tööriistade komplekt varastati Shadow Brokers häkkerite grupi poolt ja jagati siis osaliselt tasuta välja - kuna ostjaid ei leidunud. (Ja kas see Shadow Brokers grupp seda häkkimise instrumentaariumi niiväga maha müüa tahtiski, sest arvatakse, et antud grupp on seotud vene luurega ja tema lõppeesmärgiks on USA ning NSA kahjustamine ja neile "kaigaste kodaratesse loopimine".)
Pärast süsteemi sissetungimist uuris see WannaCry pahavara seda et kas antud kompuuter kuulub lokaalsesse võrku, skaneeris teisi arvuteid ja kui avastas neis samuti selle haavatavuse, nakatas ka need kompuutrid, levides edasi nagu uss, üks taoline näide: pilt-1,............. pilt-2,............ pilt-3,............. pilt-4,............ pilt-5 .......... ja......... pilt-6.
Microsofti poolt suleti see "auk" juba märtsis 2017 (!) ja seda MS17-010 turvavärskendusega, aga paljudes ning seda just vanemates Windows XP, Vista, Windows 7, Windows 8 ja Windows Server 2003 & Server 2008 süsteemides ei oldud seda turvaparandust kasutajate poolt alla laetud ning installitud. Kõige rohkem said kannatada just Windows 7 kompuutrid. Kaspersky Lab andmetel, masinad, mis jooksutasid Kaspersky tarkvara ja mis ka selle WannaCry lunavara poolt nakatati, moodustasid Windows 7 kompuutrid tervelt 97% ja Windows XP masinaid nakatati üsna vähe. Windows XP SP2 süsteemid ei saanud aga üldse kannatada ja põhjuseks, et miks neid Windows XP opsüsteemiga kompuutreid suudeti selle pahavaraga nii vähe nakatada, oli see et ründe all olevad süsteemid ütlesid enne nakatumist lihtsalt üles ning põhjustasid ainult selle kurikuulsa "Sinise Surmaekraani" (BSOD) ilmumise - see ei ole aga mingi suur "tragöödia". Näiteks BitSight turvafirma poolt tehtud analüüsi põhjal hõivasid Windows 7 masinad nakatatud kompuutrite üldarvust 67%. Seega põhjustas selle WCry viiruse laia leviku just Windows 7, aga mitte Windows XP ja seda põhjusel, et kasutajad & firmad (organisatsioonid) lülitasid Windowsi värskendamise ISE välja.

Windows 10 süsteemid kannatada ei saanud, sest nende kodukasutajad ei saa kriitiliste ja turvavärskenduste installeerimist peatada. Seda võivad ajutiselt peatada ainult Win 10 Pro jooksutajad ja sedagi ainult kuni 30 päevaks, aga paljud seda teinud on - arvatavasti üsna väike arv kasutajaid - pilt. Nii või naa said üldjuhul kõik Windows 10 masinaid selle MS17-010 turvavärskenduse antud WannaCrypt pahavara ilmumise ajaks juba automaatselt kätte. Ja see on väga hea, et Windows 10 puhul ei saa seda Windows Update vahendit nii välja lülitada nagu seda näiteks Windows 7 puhul teha saab.

Praeguseks kõige uuema Windows 10 versiooni 1703 jaoks seda turvaplaastrit enam vaja ei lähegi, sest ta on süsteemis juba olemas, aga Windowsi vanemate versioonide jooksutajad, kes olid Windows Update vahendi kas ajutiselt või siis pikemaks ajaks välja lülitanud, peavad nüüd antud turvaplaastri ise alla laadima (kas Windows Update vahendi või siis selle MS17-010 paranduse allalaadimise veebilehe kaudu) - tee seda kindlasti. Antud värskenduse allalaadimisel vali siis ikka see õige, oma süsteemile vastav, turvaplaaster, kas 32-bit (x86) või siis 64-bit (x64) KB värskendus - seda näed siis juba seal värskenduse allalaadimise veebilehel. Sinu süsteemi peab siis olema installitud üks neist alltoodud turvavärskendusest ja seda olenevalt Sinu Windowsi versioonist:

Windows XP - KB4012598
Windows Vista SP2 - KB4012598
Windows 8 - KB4012598 LDR
Windows 7 SP1 - KB4012212
Windows 8.1 - KB4012213
Windows 10 Version 1507 (Windows 10 RTM ehk algversioon) - KB4012606
Windows 10 Version 1511 (Windows 10 Fall Update) - KB4013198
Windows 10 Version 1607 (Windowsw 10 Anniversary Update) - KB4013429
Windows 10 Version 1703 (Windows 10 Creators Update) - on juba olemas

Et oma Windowsi versiooni kindlaks teha, vajuta Win+R klahvikombinatsiooni, sisesta Run dialoogiakna käsureale winver käsk ja vajuta ENTER - pilt. Et kontrollida seda et kas Sinu süsteemis on see vajalik MS17-010 turvaparandus juba olemas (või ei ole seda), ava näiteks PowerShell konsooliaken ja sisesta tema käsureale järgmine käsk:

get-hotfix -id KB1234567 ja vajuta ENTER. [Asenda siin käsus see <KB1234567> värskendus oma Windowsi versiooni tegeliku KB numbriga. Kui Sa tahad korraga mitut värskendust otsida, siis kasuta koma sümbolit ( , ), näiteks: get-hotfix -id KB4012212,KB4012215,KB4015549.]

get-hotfix -id KB1234567 ja vajuta ENTER.


Ja selline näide Windows 10 Version 1703 (Windows 10 Creators Update) süsteemist, kus antud momendil kõige uuem Kumulatiivne Värskendus KB4016871 on masinas juba olemas:

KB4016871


Märkus: Sa võid selleks kasutada näiteks ka tasuta Slitheris Network Discovery programmi, mis on lokaalse võrgu IP skaneerija ja mis leiab üles kõik Sinu lokaalse võrgu IP-põhised võrguseadmed. Peale selle leiab ta üles ja edastab Sulle ka muud võrguga seotud infot. Ta jookseb Windowsi platvormil, aga ta on võimeline jooksma ka muudel platvormidel: Mac, iOS, Android, Linux jne.
Peale kõige muu saad kontrollida ka seda et kas see Microsoft MS17-010 haavatavust ja et kas tema plaaster on installitud või ei ole: Sa saad seda vaadata pärast skaneerimise lõpetamist "SMB Security" veerust: pilt.......... ja ........... pilt.


Kui Sa jooksutad Windows 7 süsteemi ja kui Sul tema jaoks ei ole veel seda turvavärskendust installitud, siis valid sealt MS17-010 veebsaidist ühe järgmistest värskendustest:

"Windows 7 for 32-bit Systems Service Pack 1 (4012212) Security Only[1]" ja seejärel laed järgmisel veebilehel alla selle "2017. aasta märtsi turbekvaliteedivärskendus Windows 7 (KB4012212) jaoks" värskenduse

või siis

"Windows 7 for x64-based Systems Service Pack 1 (4012212) Security Only[1]" ja seejärel laed järgmisel veebilehel alla selle "2017. aasta märtsi turbekvaliteedivärskendus Windows 7 x64-põhistele süsteemidele (KB4012212)" värskenduse.


Microsoft lasi nüüd tagantjärele isegi Windows XP (!) jaoks sellise turvaparanduse välja. Et ka Windows XP operatsioonisüsteemi (aga ka hilisemate Vista, Windows 8, Windows Serveri) jaoks seda MS17-010 turvaplaastrit ise kätte saada, tee järmist:

- Ava 'Microsoft Update Catalog Server' URL aadress, sisesta seal paremal ülal otsingukasti KB4012598 turvavärskendus ja vajuta ENTER. Alates 20.10.2016 saab sinna Microsoft Update Catalog veebsaiti ka muude veebibrauseritega minna, näiteks Chrome ja Edge brauseritega! Varem sai seda ainult IE brauseriga teha. (Selle Microsoft® Update'i kataloogi veebiaadressi võiks ka tulevikuks meelde jätta.)
- Kliki seejärel näiteks 'Security Update for Windows XP SP3 (KB4012598)' rea paremas osas lõpus "Laadi alla" nupule. (Kui Sa kasutad mingit muud Windowsi versiooni (näiteks Win 8), siis vali see sealt välja ja kliki paremal nupule "Laadi alla".)
- Kliki ilmuvas hüpikaknas windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe lingile, et laadida see turvavärskendus alla.
- Sulge kõik oma programmid.
- Tee sellel allalaaditud .exe failil 2x klikk ja alusta antud värskenduse installeerimist.
- Kui valmis, teed kompuutri restardi.

Märkus: Microsoft lasi Windows XP jaoks ootamatult välja veel teisegi turvavärskenduse, mille numbriks on KB982316. See, kes kasutab siiani seda Win XP imelooma, laadigu ja installeerigu ka see värskendus - selle saab kätte sealt.


!!! Kõikide Windowsite jaoks: Selle WannaCrypt pahavara-väljapressija osa lõpetuseks: See originaalne SMBv1 (SMB v.1.0) protokoll on juba ligi 30 vana ja ta oli mõeldud rohkem tarkvarale ning seadmetele, mis arvatavasti suuremas osas juba ammu ei eksisteeri. Nüüd kasutatakse juba uusimaid SMB protokolle: SMB 2.02+, SMB 3.0, SMB 3.0+, 3.02 ja SMB 3.1.1+ protokolle. SMB1 ei ole enam kaasaegne ja efektiivne, aga see-eest on ta väga ebaturvaline. SMB1 ei ole tavaliselt vajalik, ta on vajalik väga vähestel juhtudel, näiteks siis kui Sa jooksutad siiani vana Windows XP opsüsteemi või kui võrguadministraator kasutab mingit vana tarkvara või kui kasutatakse mingit vana multifunktsionaalset printerit. Tavakasutajal seda SMBv1 protokolli üldjuhul vaja ei lähe ja ta TULEKS VÄLJA LÜLITADA (seda soovitab ka Microsoft ise) - tee järgmist:

* Vajuta Win+R klahvikombinatsiooni, sisesta Run aknasse appwiz.cpl käsk ja vajuta ENTER.
* Kliki vasemas paanis 'Turn Windows features on or off' lingile - pilt.
* Korista SMB 1.0/CIFS File Sharing Support ruudust see linnuke ära ja kliki all nupule OK ning Sa oledki kaitstud, vähemalt antud "turvaaugu" osas:

Korista SMB 1.0/CIFS File Sharing Support ruudust see linnuke ära ja kliki all nupule OK ning Sa oledki kaitstud


* Pärast seda tee kompuutri restart.
* Juhul kui juhtub see ime, et Sul ei hakka pärast seda midagi töötama, siis pane see linnuke sinna ruutu jälle tagasi, aga vaevalt, et see "ime" Sul juhtub....

2017. a. sügisel, siis kui ilmub järjekordne suur 'Windows 10 Fall Creators Update' (Redstone 3) värskendus, on seal see originaalne Server Message Block (SMBv1) süsteemis juba välja lülitatud. Uuemad ja turvalisemad SMBv2 ning SMBv3 protokollid on aga endiselt saadaval. Kuid see muudatus puudutab ainult neid, kes teevad selle Windows 10 Fall Creators Update'i puhta installeerimise.


PS! Eternal Blues on tasuta lunavara haavatavuse skaneerija, mis skaneerib Sinu võrku, et avastada neid pimedaid kohti, mida WannaCry, Petya/NotPetya ja muud EternalBlue-põhised pahavarad võivad oma rünnakuteks ära kasutada. Ta on portatiivne instrument, mille võid alla laadida ja kohe ka käivitada. Kliki lihtsalt nupule SCAN ja oota kuni skaneerimine lõpeb - pilt.
Seadmeid, mis on selle EternalBlue suhtes turvalised ja ei ole haavatavad, tähistatakse sõnaga “No“, aga need kompuutrid, mis on haavatavad, märgistatakse sõnaga “YES“. Kui näed kirja “No Response”, siis antud ühendus on mitteaktiivne - pilt. Kui näed kirja “YES”, siis võta kohe vastavad turvameetmed kasutusele! Kui ilmub teade “STATUS_INSUFF_SERVER_RESOURCES”, siis Sinu masinasse ei ole seda MS17-010 turvaplaastrit installitud ja see ebaturvaline süsteem võib rünnakute alla sattuda.


Kes selle WannaCry loomise ja levitamise taga oli? Microsoft ise on väga pahane just National Security Agency (NSA) peale, kes loos selle häkkimise instrumentide komplekti ja mille kahte EternalBlue ning DoublePulsar instrumenti kasutati ka selle WannaCrypt'i levitamiseks. Osaliselt on süüdi ka Shadow Brokers häkkerite grupp, kes varastas selle häkkimise instrumentaariumi ja levitas seda Internetis. Kuid uusima lingvistilise uurimuse kohaselt on selle pahavara loomise ja levitamise tegelikud süüdlased kas Hiina, Hongkongi, Taivani või siis Singapuri häkkerid. Sellest oletatavate süüdlaste nimekirjast ei tohi välja jätta ka Põhja-Koread - seal neid hulle juba jätkub.

Kas Microsofti populaarsus ja usaldatavus seoses selle WannaCry pahavaraga langes (nagu eeldada võinuks)? Vastavate küsitluste ja uuringute kohaselt seda aga ei juhtunud ning süüdlasteks peetakse ikka kasutajaid endid, kes jooksutavad vana operatsioonisüsteemi ja kes keerasid ise värskenduste kättesaamise kinni. Microsofti poolt suleti see "turvaauk" juba märtsis 2017, aga paljudes süsteemides (eriti Windows 7) ei oldud seda turvaparandust kasutajate poolt alla laetud ja installitud.

Mis eesmärgil see WannaCry lunavara ikkagi "rindele" ja "lahingusse" saadeti? Võrreldes tohtu suure hulga (üle 400 tuhande) nakatatud kompuutrite arvuga, teeniti üsna vähe raha - ainult $120 000. Seega vaevalt, et pahade poiste põhieesmärgiks oli suure raha teenimine. Üks üsnagi huvitav teooria oletab, et kogu see rünnak võeti ette krüptovaluuta (Bitcoini) kursiga manipuleerimise eesmärgil. Seda teooriat kinnitab näiteks ka järgmine asi: 1. mail 2017 oli bitcoini kurss $1379, aga 20. maiks oli tema kurrs juba $2158 ja see kasv jätkus kuni 25. maini 2017. Seejärel hakkas tema kurss jälle langema, aga hiljem uuesti tõusma. 11. juuniks 2017, ületas bitcoini kurss esmakordselt ka $3000 piiri: 1 bitcoin=$3040,11. On see krüptovaluuta kursiga manipuleerimine tõsi või ei ole, kes seda teab, aga igatahes mina küll ei hakanud selle WannaCry pärast nüüd igaks juhuks oma bitcoinide tagavara suurendama, pole vajadust.

Selliste globaalsete pahavara epideemiate märksa reaalsemad motiivid: Neid massilisi lunavara rünnakuid võidi esmalt kasutada lihtsalt pahavara tehnoloogiate testimiseks, et siis tulevikus korraldada juba palju TÕSISEMAID rünnakuid, näiteks mõne riigi eluliselt tähtsate süsteemide (elekter, pangandus, tööstuettevõtted jne) rivist väljaviimiseks. WannaCry ja ExPetr pahavarade (nad mõlemad kasutasid enda levitamiseks EternalBlue exploiti) rünnakud olid teostatud RIIKLIKUL tasandil ning need lunavara epideemiad olid lihtsalt efektiivseks katteks sabotaaži aktidele - lunaraha ei huvitanud siin kedagi. Esimene rünnak oli spontaanne ja ta ei olnud tehniliselt just mitte kõige parem, aga teine selline rünnak oli see-eest juba üsna praktiline, paindlik, professionaalsem ja fokusseeritud eesmärgile. Käis puhas informatsiooni hävitamine ja seda lunavara rünnaku kattevarjus. Näiteks ExPetr lunavara rünnaku esmaseks eesmärgiks oli ikkagi Ukraina ettevõtete info hävitamine. Nakatatud kompuutrites oli MBR üle kirjutatud, mis hävitas andmed igaveseks. See oli puhas diversioon ja mõnesaja dollari kogumine oli nüüd küll see viimane asi, mis rünnaku organiseerijaid huvitas. Eesti, ole vamis!



Etteotsa



...ja jätkame nüüd edasi selle lunavara üldise jutuga: Tüüpiline ransomware tarkvara (lunavara) kasutab krüptimiseks RSA 2048 krüpteerimist; see on väga tugev ja keskmisel kompuutril kuluks tervelt 6.4 kvadriljon aastat (6.4 x 1 000 000 000 000 000 aastat), et kräkkida RSA 2048 võtit.
Juba 2014. a. märtsi-augusti vahel nakatati ainuüksi Cryptowall lunavara variandiga ligikaudu 625 000 süsteemi. Alates 2013. a. on ainuüksi USA's lunavaraga nakatatud juba üle 65 miljoni süsteemi. Aga 2016. a. aprillis kasvas lunavaraga rünakute arv USA's tervelt 158%. Häkkerid uuendavad pidevalt lunavara teemasid: mõned teemad on FBI variandiga, Barack Obama ja isegi Breaking Bad TV seriaali teemaga lunavara. Ega ka Eesti puutumata jää, ka siin on juba hulga masinaid nakatatud. Pahad poisid ei ründa ainult ettevõtteid vaid ka miljoneid eraisikuid.

Kui kasutaja failid on krüptitud või kui terve kõvaketas on ligipääsmatu, siis väljastab pahavara mingit sorti ekraanipildi või veebilehe, kus selgitatakse seda et kuidas lunaraha maksta, et oma masinat jälle lahti lukustada. Tüüpiline ransoware annab Sulle lunaraha maksmiseks aega 48-72 tundi ja kui selle aja jooksul ära ei maksta, siis suurendatakse lunara:

Tüüpiline ransoware annab Sulle lunaraha maksmiseks aega 48-72 tundi

Enamik taolisi pahavarasid nõuavad $100-$500 ja kui lunaraha maksmise tähtaega ületatakse, siis võib see summa kasvada juba üle $1000. Lunaraha tuleb maksta järgmisel kujul: kas "bitimüntidega"/krüptorahaga (bitcoin) või siis Amazon või iTunes kinkekaartidega (iTunes Gift Cards, Amazon Gift Cards).

Etteotsa


Paralleelne varjatud Pime Veeb (Dark Web / Dark Net) ja TOR (The Onion Relay) nähtamatu võrk. Nähtamatu veeb/võrk ja Tor brauser: Lunaraha tuleb maksta TOR (anonüümse võrgu) kaudu. Nähtamatu Interneti ilmumise eest tuleb tänada just USA sõjalaevastikku: 1966. a. loodi USA sõja- ja merejõudude uurimislaboris Onion marsruutimise süsteem, mis oli ette nähtud luuramise ning eriteenistuste jaoks. Ja ka selleks et kindlustada oma sõjalaevad alalise võrguga, mis on tavalisest internetist eraldatud, aga hiljem leiti sellele muu lahendus. Mõne aja mõõdudes loodi selle Onion marsruutimise süsteemi alusel Onion Routing võrgu mugavam versioon, mis edaspidi muutuski Tor võrguks. TOR võrku koos Tor brauseriga kasutataksegi internetis liikumise anonüümsuse suurendamiseks. TOR kasutab spetsiaalset TOR brauserit, mis on ülemaailmse vabatahtlike kommuuni poolt spetsiaalselt eelkonfigureeritud - pilt. (Tegelikult on see Tor brauser ehitatud Mozilla Firefox brauser baasile.) Kogu liiklus on krüptitud ja kasutaja liikumise algpunkt ning lõpppunkt on varjatud. TOR võrgus on kasutusel Hidden Service Protocol ja varjatud teenused. TOR brauserit ei ole vaja oma süsteemi (kõvakettale või SD kettale) installeerida, ta on portatiivne ja Sa võid ta installida ning käivitada otse oma USB mälupulgalt või USB väliselt kõvakettalt või muult meediakandjalt. Sa ei saa tavalise brauseriga TOR veebsaite näha.

Kas tead, et suurem osa meist saab ligi ainult üsna väiksele osale kogu Internetist? Sa saad tavaliste otsingumootoritega ligi ainult jäämäe kõige ülemisele osale ja ainult nendele veebsaitidele, mis on otsingumootorite poolt ka indekseeritud. Minnes selle jäämäe kõige alumise punktini, jõuad Sa Interneti kõige varjatumasse ossa, mida kutsutakse "Võrgu pimedaks pooleks" (Pime Veeb - The Dark Net või Dark Web). See ülimalt varjatud osa internetist ongi häkkerite, kurjategijate, pornojahtijate, igasuguse illegaalse kauba pakkujate, väga uudishimulike ja muidu hullude paradiisiks. See ongi siis Interneti kõige tumedam pool, mis ei allu standardsetele protokollidele ja mis on ka suhteliselt ebaturvaline, sest ka seal võid sattuda rünnakute alla. Ka ei maksa seal igasuguseid faile alla laadida, näiteks DOC ja PDF faile. Тоr brauserit võib peale enda isiku varjamise ja kurjade kavatsuste täideviimise, kasutada näiteks ka kompuutri portidele, mis asub NAT taga, ligipääsemiseks - midagi keerulist sellega ei ole. Et ka Sina saaksid seal "nähtamatus Internetis" ehk pimedas veebis kolada, pead laadima alla tasuta TOR (The Onion Router) veebibrauseri. Suurem osa "Tumeda Veebi" saitidest on omavahel seotud veebilinkide abil, aga üsna märkimisväärne hulk on ühendatud ka läbi SSH võtmete ja FTP bännerite kaudu. Tor võrgus puuduvad faktiliselt täisväärtuslikud otsingusüsteemid ja erinevate ressursside leidmiseks kasutatakse linkide kogumikke ning üheks populaarseimaks neist on Hidden Wiki. Ka seesama Hidden Wiki langeb häkkerite regulaarsete rünnakute alla ja seepärast muudetakse ka tema aadressi pidevalt.

Perfektseid anonüümseid süsteeme EI OLE ja näiteks ka TOR võrk ning Tor brauser pole ses suhtes mingid erandid — seda juhul kui Sa ei taha, et "NEMAD" Sind leiaksid. Eriteenistused võivad ka TOR võrgus vajaliku isiku kindlaks teha. Sa ei saa seal "maa-aluses" internetis kõikjale ligi - on vaja teadmisi, kontosid, linke jne. Viimasel ajal väheneb üsna jõudsalt ka selle pimeda veebi, mis sisaldab erinevaid võrke (näiteks Tor, Freenet, I2P jne), ressursside hulk. Nende ressursside järsk vähenemine on seotud põhiliselt põrandaaluste küberrünnakute ja postiteenuse Sigaint töö lõpetamise tõttu.

"Paralleelne varjatud Pime Internet" ehk siis TOR (The Onion Relay).


"Sealpoolses internetis" kasutataksegi siis seda elektroonset valuutat — Bitcoin'i (BTC). Seepärast peavadki lunavara ohvrid laadima alla TOR brauseri ja selle kaudu siis oma lunaraha ära maksma.


Märkus: Kes tunneb selle Pimeda Veebi ja tema ressursside ning selle kohta, et kuidas sinna ligi saada, rohkem huvi, see mingu sinna.


Lunavara loojad lähevad veelgi kavalamaks, näiteks Cerber'i (siiani ühe edukama pahavara) üks uusim variant nagu ka enamik selliseid väljapressijaid, saadetakse teele petukirjade abil. Kuid sellise emaili saades ei ahvatleta kasutajat mingit faili alla laadima vaid selle asemel palutakse tal klikkida lingile, et seda faili kusagilt pilveruumist alla laadida. See link suunab ohvri Dropbox pilveruumi, kust laetakse automaatselt alla ise-lahtipakkiv Cerber pahavarale vajalik informatsioon.
Et aga vältida küberohu uurijate poolset avastamist ja monotooringut, kontrollib antud Cerber versioon eelnevalt seda et kas kasutaja ei tööta virtuaalmasinas, "liivakastis" või et kas selles masinas ei tööta teatud spetsiaalsed tarkvarad, - ja kui see avastatakse, siis see lunavara ei hakkagi tööle. Miks? Ikka sellepärast, et vältida antud pahavara koodi analüüsimist ja vastumeetmete rakendamist.
Iseavaneva (self-extracting) mehhanismi juurutamisel on võimalik see et selline lunavara fail ei paistagi pahavara olevat ja seda ei avasta isegi masina õppimise instrumendid.


Üks "rõõmusõnum" ka Skype äpi kasutajatele: Sa võid näiteks ka Skype äpi kaudu väljapressimise pahavara kaela saada. Skype äpi koduekraan -- esimene ekraan, mis kuvab tarkvara tarbija versiooni -- näitab võltsi, pahatahtlikku reklaami, mis esitleb end kui Flash veebilaienduse (plug-in) kriitilist värskendust. - Laed selle "kriitilise värskenduse" alla ja saad kaela lunavara! - pilt

Etteotsa


!!! Lunavara loomine läheb nüüd lausa "tööstuslikule" alusele: Selles samas Pimedas Veebis on loodud juba ka uut liiki ransomware-as-a-service (RaaS) platvormid ehk skeemid, mis pakuvad suvalisele registreeritud kasutajale (lollile isehakanud või laisale küberründajale) võimaluse saada samuti tükk rasvasest pirukast - seda tingimusel, et mistahes sellisel teel saadud kasum jagatakse suhtega 50/50. Ehk siis pool tulust läheb antud pahavara/teenuse loojale (või loojatele) ja ülejäänud pool selle lunavara allalaadijale. Taoline konkreetne skeem ilmus esmakordselt 2017. a. veebruaris ja see pakub kasutajatele Dot nimelist lunavara. Et seda pahavara Tor brauseri kaudu alla laadida, peab kasutaja end oma Bitcoin aadressiga registreeruma. Pärast seda antakse talle ka vastavad juhised ja soovitused.... (Sellistest ransomvare "teenustest" saab ka igasugust muud abi ja juhiseid. Saab ka oma lunavara vastava keelega kohandada jne, jne.)

See Dot pahavara paistab välja nagu iga teinegi legaalne tarkvara teenus:

See Dot pahavara paistab välja nagu iga teinegi legaalne tarkvara teenus.


Selline tasuta 'Dot ransomware' teenuse (või muu sarnase teenuse) pakkumine on mõlemale poolele kasulik: pahavara autorid saavad lihtsa meetodi oma "loomingu" levitamiseks ja isehakanud küberkurjategijad saavad oma käsutusse tasuta lunavara. See kõik teeb taolise väljapressimise pahavara leviku veelgi laialdasemaks ja tavakasutajatele ning firmadele suunatud oht suureneb kohe tunduvalt.
'Dot ransomware' on autorite poolt loomulikult kodeeritud, et ka tehniliselt haritud kasutajad ei saaks antud programmi ümber seadistada ja kogu tulu enda taskusse jätta :).

'Dot ransomware' teenus


Varem oli domineerivaks Locky perekonna lunavara, aga nüüdseks on tema roll tohutult langenud ja liidripositsiooni on haaranud Cerber lunavara. Miks? Seda seepärast et just Cerber perekonna pahavara hakati kasutama kui ransomware-as-a-service (RaaS) platvormi ja tema arendamiseks, eri versioonide väljatöötamiseks ning täiustamiseks hakati kaasama üha rohkem professionaalseid arendajaid (küberkurjategijaid). Cerberi selline partnerskeemi kaudu levitamine on viinud selleni, et nüüd saavad taolist pahavara ka tehniliselt mitte just kõige taibukamad kurjategijad kasutada.
Teiseks faktoriks, miks see Cerber nii populaarseks sai, on see et teda täiustatakse ja uuendatakse pidevalt, mis teeb tema avastamise väga raskeks. Ka Cerber pahavara (nagu ka suurem osa muust lunavarast) saabub Emaili kaudu. Kuid Cerberi puhul sisaldab antud email linki, mis suunab ohvri näiteks Dropbox pilveruumi, kust laetakse alla siis ise-lahtipakkiv Cerber pahvara.

Kuid paistab, et ka selle Locky pahavaraga pole vee asi kaugeltki lõppenud ja alates 2017 aasta aprillist on ta võimsamana ning raskesti avastatavana jällegi tagasi. Teda levitatakse endiselt emailide kaudu, aga nüüd kasutatakse antud pahavaraga nakatamiseks kirjadega kaasapandud PDF dokumente - pilt. Kui ohver laeb selle PDF faili alla ja avab ta, siis avatakse kohe ka teine dokument, milleks on Word dokument, mis küsib luba makrode käivitamiseks ja mida kasutataksegi seejärel lunavara allalaadimiseks.

Näiteks viirusele Petya põhinevat programm-väljapressijat levitati üle maailma - miljonid kompuutrid said kannatada. Jutt käib Petya lunavara uuest modifikatsioonist, mis identifitseeriti esmakordselt juba 2016. a. Seda viirust modifitseeriti ja nüüd sai tema nimeks PetrWrap.
Antud viiruse loojad propageerivad seda lunavara arvatavasti pimedas veebis (DarkNet'is) ja seda vahendajate abil, kes teenivad sellega igalt nakatatud seadmelt 85% makstud lunarahast. Ehk siis kindlustavad kogu infrastruktuuri, serverid ja lunaraha ülekandmise teed. Seda mudelit nimetataksegi siis RaaS (Ransomware as a Service) ja see lubab pahavara loojatel meelitada ettevõtlikke kasutajaid seda levitama.

Pimeda interneti "Ransomware-as-a-service" teenused on suunatud loomulikult ka Mac operatsioonisüsteemidega kompuutrite jaoks, seega pole nende madalama taseme ja väheste tehniliste oskustega küberpättide eest ka Mac OS arvutid kaitstud - pilt.


Lunavara–see on väga suur äri (mängus on miljonid $) ja selle peale kulutatakse palju ressursse, et leida antud tüüpi pahara levitamiseks uusi meetodeid. Lunavara üldine käitumine ei muutu, aga neid uuendatakse ja täiendatakse pidevalt ning see teeb antiviirustega nende blokeerimise üsna raskeks - siin peab kasutaja ISE väga hoolikas olema. Lunavara on nüüdseks niivõrd kohutav, et see sunnib teda väga-väga tõsiselt võtma. Ettevõtetel ja organisatsioonidel, kes varem ei pööranud turvaprobleemidele piisavat tähelepanu, on see väljapressimine avanud nüüd ka nende silmad.

Etteotsa



Kas Sinu masin on lunavaraga nakatatud? Sümptoomid (sümptomid).


Antud lunavara põhjustab järgmised sümptoomid:

• Sa ei saa ootamatult oma faile avada, Sa saad veateated või Sinu failid on valede laienditega.
• Sa ei saa oma kõvakettale üldse ligi.
• Sinu töölauale või enne süsteemi sissesaamist ilmub spetsiaalne sõnum, mis instrueerib Sind lunaraha maksmise ja masina lahtilukustamise asjus.
• Sind võidakse hoiatada ka selles et käivitati loendur ja kui lunaraha maksmise tähtaega ületatakse, siis järgnevad uued "karistused"....
• Sa ei saa sellist instrueerimise akent sulgeda.
• Sa võid saada ka sellised juhendid, näiteks nagu HOW TO DECRYPT FILES.TXT, YOUR_FILES_ARE_ENCRYPTED.HTML või siis DECRYPT_INSTRUCTIONS.HTML

Näiteks üsna uus taoline Petya nimeline lunavara (programm-väljapressija) ei tegele eraldi failide krüptimisega vaid krüpteerib hoobilt terve Sinu kõvaketta. Petya programm-väljapressijat levitatakse e-mailide kaudu ja nendes ei ole mingit manust allalaadimiseks. Selle asemel sisaldavad sellised e-mailid võlts-linki troojalasele (link suunab Sind näiteks sinna veebilehele, mis informeerib Sind sellest et Sulle "pakutakse" uut tasuvat tööd).
Pärast selle troojalase käivitumist muudab Petya süsteemi peabuudikirjet [Master Boot Record (MBR)] muutes selle töövõimetuks. Pärast kompuutri restarti ilmub ekraan, mis esitleb end kui Microsoft CHKDSK utiliiti, aga tegelikult alustab ta Sinu kõvaketta krüptimist mitte aga ketta vigade otsimise & parandamise protsessi. Pärast terve ketta krüptimise lõpetamist ilmub kolbaga ekraan, mis nõuab kasutajal suvalise klahvi vajutamist, et edasi minna:

Pärast terve ketta krüptimise lõpetamist ilmub kolbaga ekraan, mis nõuab kasutajal suvalise klahvi vajutamist, et edasi minna


Seejärel pakutakse võtme OSTMIST, et kasutaja saaks selle abil oma süsteemile uuesti ligi....

Õnneks on ka antud Petya-väljapressijale vastumürk leitud. See Petya ei ole serveriga ühenduses vaid ketta krüptimine toimub lokaalselt. Kannatanu peab järgima näiteks tollel veebilehel (ingl. keeles) äratoodud juhiseid.


Veel üks näide: Selle Petya pahavara loojad on nüüd välja lasknud ka uuema ja kavalamat tüüpi lunavara, mille nimeks on 'Mischa' ning mis hakkab tööle isegi siis kui kasutaja keelab UAC aknas tema käivitamise - pilt. Erinevalt Petya pahavarast, krüptib Mischa Ransomware Sinu failid ja nõuab seejärel nende lahtilukustamiseks vajaliku võtme eest lunaraha.
Seda pahavara levitatakse tavaliselt Emailide teel, mis teatab näiteks mingist "kasulikust" pakkumisest ja emailis sisaldav link suunab haneks tõmmatud kasutaja kusagile pilveruumi, kust saab selle "kasuliku" pakkumisega seotud PDF faili alla laadida. Antud allalaaditav fail ei ole tegelikult PDF fail vaid näeb selle moodi väja. Reaalselt on aga tegemist täitmis- ehk käsufailiga (.exe laiendiga), näiteks 'PDFHeaTööpakkumine.exe'. Selle faili ikoon on modifitseeritud PDF ikoonina ja ta näeb tõesti välja nagu tõelin PDF fail.

Kui kasutaja avab nüüd selle faili, siis ilmub UAC dialoogiaken, mis küsib, et kas antud programmi võib käivitada. Kui kasutaja klikib nupule 'Yes', siis käivitataksegi see 'Mischa' lunavara. Kui kasutaja klikib aga 'No', siis käivitatakse hoopis teine lunavara, mis ei nõua oma pahategudeks mingeid administraatori õigusi ja ta sooritab oma pahateod juba märksa kiiremini. Ühesõnaga see UAC turvavahend muudetakse kasutuks. Pärast tavaliste failide krüptimise lõpetamist, krüpteeritakse ka .exe failid ja kasutaja ei saa ka neid enam käivitada.

Mischa nõuab kompuutri dekrüpteerimise võtme eest 1.93 BTC, mis võrdub $875.

Üsna hiljuti saadeti oma röövkäikudele uus lunavara variant, mille nimeks on "ZCryptor" ("Ransom:Win32/ZCryptor.A") ja mis on võimeline iseennast paljundama ning ta levib ühelt kompuutrilt teisele kompuutrile mälupulga või isegi ka võrgudraivi kaudu. Nende pahalaste puhul kasutatakse võlts-installaatoreid, mis maskeeruvad tavaliselt Adobe Flash, aga ka Office makrode taha. Sattudes kompuutrisse, lisab väljapressija registsrisse võtme ja alustab seejärel failide krüptimist, lisades nende nimedele .zcrypt laiendi. Antud lunavara käitub ussi-stiilis ja on võimeline levima lähimatesse sihtmärkidesse. Varem võisid ransowared tungida küll ühistesse kaustadesse, aga teistele draividele ei olnud nad võimelised levima.

Vähe veel sellest, lunavara võib peale lauakompuutri nakatada ja lukustada ka Sinu Android mobiilse seadme, näiteks nutitelefoni või tahvelarvuti. Taoline pahavara on suunatud ka iOT seadmete lukusutamisele. Aga Android mobiilne lukustuskuva lunavara, tuntud kui FLocker, võib nakatada ja lukustada ka Android targa teleri (Android Smart TV). Selline lunavara saabub tavaliselt kas SMS või siis kuritahtliku lingi kaudu, sest targad telerid jooksutavad ka veebibrauserit. Esialgu on selliste lunavarade vastu ka rohi leitud: kasutaja võib oma nakatunud seadme ühendada kompuutriga ja käivitada ADB shell'i ning seejärel kasutada 'pm clear %pkg%' käsku, kus %pkg% viitab pahavara paketi nimele. See tapab lunavara protsessi ja lukustab seadme lahti. Pärast seda võib antud rakendusele antud adminõigused deaktiveerida ja äpi uninstallida. Siin ei jää muud üle kui et soovida Android seadmete kasutajatele palju õnne :)


Kas ikka maksta siis kui Sinu kompuuter on lunavaraga nakatatud? Asi läheb üha lõbusamaks. Nüüd on välja ilmunud ka amatöörid, kes üritavad sellest cryptoransomware trendist hõlpsalt tulu teenida. Nad nõuavad lunaraha "krüptitud" failide eest, aga tegelikult olid need failid pakettkäsuga juba puhtalt ära kustutatud. Kui see toimub, siis ilmub ekraanile JPEG formaadis sõnum, mis näeb välja nagu iga teinegi lunavara sõnum, aga pärast seda tehakse sund-restart ja Sinu kõik failid KUSTUTATAKSE. Ühtegi Sinu faili ei krüptita—kõik nad kustutatakse - pilt. Mingit failide krüptimist ei toimunud ja sellise lunavara poolt väljahõisatud varjatud partitisiooni ka ei eksisteeri - kõik on palju lihtlabasem - vähe vaeva ja raha tiksub. Pärast lunaraha maksmist ei saagi Sinu faile taastada.
Sellise võlts-lunavara levitajate töö on palju lihtsam, kustuta lihtsalt faile ja raha tuleb. Taoliste tegelinskite askeldamine ei meeldi loomulikult lunavara "ausatele" levitajatele–nende "reputatsioon" on nüüd rikutud. Kuid ega see nii paha polegi, nende "ausate või seaduslike varaste" äri hakkab alla käima :).

Ja kui tegemist ei olegi amatööridest petistega, siis ei ole kaugeltki kindel see et Sa pärast lunaraha maksmist saad oma failid dekrüptida, st muuta need jälle kasutamiskõlblikeks. Üks liik sellist pahavara, mis levib kõikides masinates alates Windowsist ja lõpetades Mac kompuutritega, krüptib esmalt failid ning kettad ja seejärel esitab lunaraha nõude:

...sorry...


Kuid makstes selle lunaraha ära, ei ole kaugeltki garanteeritud see et kasutaja saab oma failid tagasi, vaatamata sellele et kui suur või väike see makstud summa oli. Sellise lunavara sõnum algab "We are so sorry..." ja seejärel jõuad oma lugemisega naeruväärse 222 Bitcoin ($247,000) lunaraha nõudeni - vaata eelmist pilti. See uus lunavara e variant muudab ka Linux masinad, pärast failide krüptimist ja lunaraha nõuet, buutimisvõimetuteks. Ja kui kannataja ronibki sügavale oma taskusse ja maksab selle nõutud summa ära, siis on vähe tõenäoline, et ründaja dekrüptib tema failid uuesti lahti.
Failid krüptitakse kasutades Triple-DES'i ja rakendades seda 4096-baidistele failiblokkidele, kus iga faili krüptimisel kasutatakse erinevaid 64-bitise krüpteerimise võtmeid. Kuid lunavara ei hoia krüptovõtmeid alles ja seda nii ei lokaalselt ega ka C&C serverites, mis tähendab seda et nakatatud masinad on pärast restarti buutimisvõimetud ning lunaraha äramaksmine oli täiesti kasutu.

Etteotsa



Kuidas selliseid väljapressijaid tulevikus vältida?

Kuna lunavara on pahavara, siis pead tema vältimiseks kasutama samasuguseid meetmeid nagu ka muude pahavarade suhtes. Olulist rolli mängib siin ka oma tervest süsteemist või siis olulistest andmetest RESERVKOOPIA (reservkoopiate) tegemine. Et vältida lunavara ootamatut kaelasadamist, oleks soovitatav:

* Windows 7 on nii lunavara kui ka muus suhtes märksa ebaturvalisem operatsioonisüsteem kui seda Windows 10 on. Seega oleks aeg Windows 10 süsteemile üle minna ja seda saab ka praegu ning ka edaspidi täiesti TASUTA teha. Kuidas? Juhiste lingid sellest on minu Win 10 pealehe sisukorras ja ka mujal. Windows 10 puhul tuleks tundmatute veebsaitide vaatamiseks kasutada Edge brauserit, mis on märksa turvalisem veebilehitseja.

* Windows XP tugi on juba ammu lõppenud ja peale selle lunavara ohu, on seal neid "turvaauke" nüüdseks küll- ja küll.

* Ka Windows Vista tugi on lõppenud ja seega oleks aeg Win 10 peale üle minna.

* ÄRA LÜLITA 'WINDOWS UPDATE' VAHENDIT VÄLJA (isegi mitte ajutiselt); eriti hoolsad peavad ses suhtes Win 7 jooksutajad olema. Lae alla ja installeeri kõik värskendused (updates).

* Töötada piiratud õigustega Standardse Kasutajakonto (Standard User) all. Kuigi osa lunavara pahalasi ei peagi enda sigaduste teostamiseks omama administraatori õigusi, on standardse kasutajakonto all töötamine ikkagi üsna heaks lahenduseks - seda ka muud liiki pahavara suhtes.


* Mitte avada kahtlasi E-maile ja mitte klikkida nendes igasugustele "ahvatlevatele" ning võlts-saitidesse suunavatale linkidele...

Mitte avada kahtlasi E-maile ja mitte klikkida nendes igasugustele "ahvatlevatele" ning võlts-saitidesse suunavatale linkidele


...rääkimata igasuguste manuste allalaadimisest ning käivitamisest/avamisest. Sellised emailid on enamjaolt ingliskeelsed või siis vigases inglise keeles (Russia...), aga on nähtud juba ka taolisi vigadega eestikeelseid emaile; sellised emailid sisaldavad tavaliselt "Last warning (...)", "Corresponding Invoice", "Invoice", "Payment", "Final version of the report" jne tiitleid. Emailidega kaasapandud manusteks on tavaliselt .zip failid (sh ka parooliga kaitstud ZIP failid), aga ka muud failid, näiteks PDF ja .doc failid. "Pahade" poolt saadetud emailid võivad sisaldada ka "kurjale veebsaidile" suunavaid linke. Mõned näited sellistest lunavara sisaldavatest Emailidest: näide 1,................. näide 2,.................. näide 3 ..............ja............. näide 4. Ka Gmail filtreerimise mehhanism, mis on ette nähtud pahavara varajaseks avastamiseks ja selle kasutajateni jõudmise blokeerimiseks, ei tööta just mitte kõige paremini. Pahavara levitajad on õppinud ka seda filtreerimist petma, näiteks jagades "sõna-triggers" pooleks (või viies osa sellest eraldi reale). See töötab väga hästi MS Office dokumentide pahatahtlike makrodega. Näide sõnaga "powershell" - pilt.

Ära mine igasuguste rämpsposti kampaaniate õnge: Sinu postkasti võib potsatada näiteks mingi rämpsposti kampaania, millega on kaasas parooliga kaitstud .zip arhiiv, mis sisaldab mingit dokumenti. Selline email sisaldab lihtsat teemat (subjekti), näiteks nagu "Howdy" või "Hello" ja emaili keha sisaldab näiteks puhkuse ostudega seotud teemasid, näiteks "your order should be delivered today" ning "Statement is attached". ZIP arhiivi parooliks on tavaliselt "6666":

Ära mine igasuguste rämpsposti kampaaniate õnge


Pärast ekstraktimist, käivitab see dokumendi fail pahavara makro koodi (TrojanDownloader:O97M/Donoff) ja see Donoff on Troojalase allalaadija, mis laeb alla ning installibki pahavara (näiteks Cerber ransomware) ja edasi läheb asi juba ludinal - loomulikult Sinu kahjuks :) Lõpptulemusena ilmub Sinu ekraanile tapeedina alltoodud taustapilt koos "lustliku" juhisega:

Cerber ransomware


...ja veel üks näide taolise manusega e-mailist:

...ja veel üks näide taolise manusega e-mailist


Sa võid ka näiteks sellise Emaili saada, mis tulevat otse kellegilt "Microsoft Security Office töötajalt" :). Pikk kiri teatab, et kuidas nad muretsevad Sinu pangaoperatsioonide turvalisuse pärast, sest Sinu pangaskäimisi luuravat nüüd jälk pahavara. Ja üleüldse on nad väga tegusad töötajad, kes jälgivad automatiseeritud süsteemide abil neid pangaoperatsioone üle maailma. Kuna Sinu süsteem olevat pahavara- või millegi taolisega nakatatud, siis on seetõttu ka Sinu tegevused ses asjus ajutiselt blokeeritud.
Et nüüd Sind vaesekest "abistada", siis pakutakse Sulle MS enda "ametlikust serverist" ühe dokumendi allalaadimist, mis sisaldavat siis kõiki vajalikke juhiseid. Kui nüüd kasutaja laeb selle .doc faili alla ja käivitab, siis teadagi mis juhtuma hakkab. Olematu abi asemel saadakse kaela hoopis tõeline pahavara jne... - pilt. (Sinu mingeid operatsioone ei oldud blokeeritud ja Microsoft ei tegele taoliste lollustega.)

'Phishing' (fishing) ehk siis andmepüügi-rünnakute uus tase: Häkkerid on õppinud nüüd ka üsna kogenud kasutajate petmise ära, koostades üsnagi tõepäraseid andmepüügi e-maile. Olles tunginud ohvri kompuutrisse, uurivad kurjategijad esmalt kasutaja poolt ärasaadetud emailide kausta. Seejärel koostavad nad võlts-teate, mis sisaldab sama nimega manust ja korrates kirja teemat. Manusena kaasapandud fail oleks nagu PDF-dokument, aga tegelikult on see üks pilt, millele klikkides jõuab ohver võlts-veebilehele, näiteks Google sisselogimise veebsaiti. Ohver ei märka, et brauseri aadressiriba sisaldab data:text/html eesliidet (prefix'it) ja et Google logo on märksa madalama resolutsiooniga. Peale selle puudub antud aadressiribal ka sertifikaadi turvaindikaator (pilt). Vaatamata sellele, on see Google võlts-veebileht tema originaaliga üsnagi sarnane. Kui ohver sisestab seal võltsitud veebilehel nüüd oma konto andmed, siis on kompromiteeritud tema kõik Google teenustega seotud asjad:

Uus tase...


Ja loomulikult saadetakse endiselt teele ka igasuguseid "Sa oledki juba väga rikas või saad siis kohe ülirikkaks õnnepurikaks" ahvatleva sisuga emaile, mis pole küll otseselt lunavara pahavaraga seotud (võib olla?), aga oma rahast võid ikkagi ilma jääda - juhul Sa kui õnge lähed. Ning ikka- ja jälle leidub piisavalt palju lolle, kes taolisi sõnumeid usuvad. Mis nende pettasaanute ajudes küll toimus? Kui nad avasid sellise emaili, siis ahnus lämmatas neil igasuguse mõtlemisvõime ja tagajärjed on juba ette teada - pilt.

Ja eriti debiilsed emailid, näiteks sellise sisuga: pilt.

2016. a. seisuga hõivasid rämpsposti (spam) kogumahust ransomwarega seotud emailid tervelt 40% ja see trend aina kasvab.




Märkus: Väike vihje veebis surfamiseks ja ennast võltssaitide eest kaitsmiseks:

Kui Sa näed näiteks Chrome brauseri aadressiribal kirja 'Secure', siis tähendab see seda et ühendus Sinu brauseri ja veebsaidi vahel, millega Sa oled ühendust võtnud, on krüptitud. Kuid see ei tähenda veel alati seda et antud domeen on turvaline, usaldusväärne või et ta ei sisalda pahavara jne.

Seega mitte kõik https:// protokolliga ja "Secure" kirjaga veebsaidid EI OLE turvalised, ohutud, usaldusväärsed, ei sisalda pahavara jne. Ja seda seepärast et kehtivaid SSL sertifikaate väljastatakse ka kurikaelte poolt loodud 'phishing' / 'fishing' (andmepüügi) veebsaitidele. Üheks selliste sertifikaatide väljastajaks on näiteks tasuta, avatud ja automatiseeritud LetsEncrypt teenus.

SSL sertifikaat


Kõige lihtsam moodus end taoliste pahatahtlike saitide eest kaitsmiseks on vaadata oma brauseri aadressiriba ja lugeda sealt antud momendil avatud veebsaidi domeeninime. Näiteks kui Sa näed seal https://secure5.apple.com-shop-account-signin täisnime, siis on tegemist kurikaelte saidiga, kes esinevad lihtsalt Apple nime all. Sellisel juhul sulge kohe brauser ja ära sellist veebsaiti enam kunagi külasta.

Oluline on see et Sa vaataksid aadressiribal avatud saidi tipptaseme domeeninime, mis asub 'https://' ja järgmise kaldkriipsu (/) vahel. Juhul kui see URL jätkub kohe pärast tipptaseme domeeninime (näiteks kohe .com, .net, .edu, .ee, .info, .gov, org jne järel) kuni esimese kaldkriipsuni, siis on tegemist võltssaidiga:

Küberkurjategijate võltssait: https://secure5.apple.com-shop-account-signin
Turvaline veebsait: https://landfield.pri.ee/Win_10/Win_10.html

Järgmise näite puhul on tegemist turvalise veebsaidiga ja see ei ole küberkurjategijatega seotud. Kuid Sinu ühendus sinna veebsaiti ei ole krüptitud ja turvaline, Sa ei tohi sinna oma sensitiivseid andmeid sisestada (paroole, krediitkaardi andmeid, PIN koode jne):

Kuid Sinu ühendus sinna veebsaiti ei ole krüptitud ja turvaline


Fishing veebsaidid oma võltsitud SSL-sertifikaatidega muutuvad üha massilisemaks. Seega roheline lukk, millega tähistatakse brauserite aadressirbadel seda et antud veebsait töötab HTTPS protokolliga, ei garanteeri veel seda et see veebsait on turvaline. Seepärast tuleb iga veebsaidi puhul, kuhu on vaja konfidentsiaalseid andmeid sisestada, kontrollida eelnevalt selle saidi domeeninime õigsust — võltsitud domeeninime puhul on selles nimes üks või mitu valet tähte.

HTTPS protokoll

HTTPS olemasolu ei tähenda veel seda et antud veebsait on turvaline või autentne: roheline lukk ja SSL-sertifikaat näitavad ainult seda et Sinu brauseri ning vaadatava veebsaidi vaheline ühendus on krüptitud, aga samas võib see sait olla nii legitiimne kui ka võltsitud - tuleb ka domeeninimi üle kontrollida.


Uuendatud: Alates Chrome 69 versioonist, mis ilmus välja 4. septembril 2018, kaovad veebibrauseri aadressiribalt need meile juba tuttavad roheline lukk ja sõna "Secure" ära (seda isegi siis kui antud veebileht on turvaline).
Kuid need krüptitud veebsaidid on endiselt sama turvalised nagu nad seda alati on olnud, aga nüüd Google lihtsalt puhastas oma brauseri kasutajaliidest. Google arvates peaks iga veebileht, mis kasutab seda HTTPS krüptimist, olema turvaline. Nüüdsest hoiatab Chrome Sind ainult siis kui kasutatakse seda standardset HTTP ühendust ja alles sel juhul ilmub ka see vana "Not Secure" teade. Kui Sa seda "Not Secure" teadet ei näe, siis Sa vaatad parasjagu turvalise ühendusega (HTTPS protokolliga) veebsaiti, vaata järgnevat pilti:

HTTPS protokolliga




* Ära kliki reklaamidele ja ka taolistele teadetele nagu näiteks "A Media Player update is required to play this content" või "Please install FLV HD to continue".

* Lae alla või värskenda oma Adobe Flash Player'it ainult tema ametliku veebsaidi kaudu. Kompromiteeritud veebsaitide ja sotsiaalvõrgustike kaudu levitatakse troojalast, mis maskeerib end Adobe Flash Player'i värskenduse taha. Sellise troojalase sihtmärgiks on põhiliselt Android opsüsteemiga nutitelefonid ja tahvelarvutid. Pärast antud troojalase installeerimist, peidab ta end Saving Battery teenuse taha ja küsib kasutajalt laiendatud õigusi süsteemi üle. Saades antud õigused, alustab ta oma pahategude kordaviimist....

* !!! Sinu kompuuter on 99% võimeline dekodeerima ja lugema igat audio ning video faili. Kui Sul palutakse installeerida mingit "uut koodekit (codec)", siis on midagi paha juba lahti.

* On loodud ka sellised võlts-veebsaidid, kus genereeritakse fiktiivne väljaujuv aknake, mis teatab antud veebsaidi valest kuvamisest. Põhjuseks tuuakse aga mingi fondi puudumist (näiteks "HoeflerText" fondi). Kui naiivne kasutaja klikib nüüd seal teates asuvale "Update" ("Uuenda") nupule, siis ongi tal lunavara kaelas - pilt. (Alla laaditakse JavaScript fail, mille nimeks on Win.JSFontlib09.js ja mis on ette nähtud Locky lunavara paigaldamiseks. Teisel juhul, antud nupule klikkides, laaditakse alla Font Chrome.exe ja kui kasutaja käivitab selle, siis installitakse tema masinasse kaughalduse NetSupport Manager rakendus. Sellised kaughalduse utiliidid muutuvad üha populaarsemaks, sest nendega saab mugavamalt ja märksa rohkem kurja teha - ka muid sigadusi peale selle raha nõudmise!) ÄRA KLIKI IGASUGUSTELE KAHTLASTELE NUPPUDELE, Sinu süsteem ja brauserid ei vaja mingeid täiendavaid fonte, plugineid (laiendusi), koodekeid jms! Kui Sa avastad oma süsteemis ootamatult mingi kaughalduse tarkvara, näiteks sellesama NetSupport Manager'i, siis on kurikaeltega tegu.

* Kasutada head reaalajas skaneerivat antiviirust.

* Uuendada oma installitud tarkvara ja draivereid (värskendused & lapid); kasuta selleks näiteks tasuta Secunia 'Personal Software Inspector' (Secunia PSI) tarkvara, aga selle tugi lõpeb 20.04.2018 ning seepärast soovitan alternatiivina väga häid SUMo ...................ja....................... DUMo vastavaid programme (nende koduleht).

*** VARU- EHK RESERVKOOPIATE LOOMINE (Yes: backup, backup, backup! ): Et kaitsta oma kompuutrit kõikide pahalaste ja eriti viimasel ajal ohtliku lunavara eest, on eriti oluline luua oma tervest süsteemist või siis kõige tähtsamatest failidest varukoopiad ning salvestada nad välistele andmekandjatele, näiteks välistele USB ketastele. Seejärel ühenda need välised andmekandjad oma kompuutrist lahti, sest lunavara võib krüptida ka kompuutriga ühendatud USB meedia. Enne reservkoopiate loomist skaneeri oma süsteemi ka pahavara suhtes ja tee seda kohe mitme pahavaratõrje programmiga. Oma eriti olulisi ja sensitiivseid andmeid ei maksaks ka "pilves" hoida vaid salvestada need välisele USB meedilae (või peita madratsi alla).

* Ära installeeri igasuguseid kahtlasi ja brauserite testimata laiendusi (pugineid) ja seda eriti juhul kui mingi veebsait ise palub Sul seda teha!

* Kasuta lunavara elimineerimise või nende eemaldamise instrumente - sellest rohkem kohe allpool.

Etteotsa



'Lunavara' dekrüptimise ja elimineerimise instrumendid:

1) Juhul kui Sinu kompuuter on juba nakatatud mingi lunavaraga ja kui Sa ei saa oma kürptitud failidele (või kõvakettale) enam ligi, siis mine kõigepealt sinna ID Ransomware veebsaiti ning identifitseeri see lunavara tüüp, mis nakatas just Sinu kompuutri. Lihtsalt leia see lunaraha nõudmise märkus (st fail, mis näitab väljapressija & lunaraha maksmise infot) ja laadi see antud veebsaiti üles - "Ransom Note" sektsiooni kaudu. Sa võid peale selle sinna veebsaiti laadida üles ka mingi krüptitud faili näite - paremal pool asuva "Sample Encrypted File" sektsiooni kaudu.

See tasuta veebsait-teenus tuvastab antud momendil (2016 märts) 55 erinevat lunavara tüüpi ja need on: 7ev3n, AutoLocky, BitMessage, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Radamant v2.1, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt.

Märkus: Praegu on kõige levinumad järgmised lunavarad: CryptoWall (41,04%), Locky (34,36%), Cerber (24,17%), TorrentLocker (0,24%) ja TeslaCrypt (0,09%).


2) Kui Sul õnnestus oma kompuutrit nakatanud lunavara ülaltoodud veebsaidis identifitseerida, siis otsi internetist üles just see dekrüpteerimise instrument, mis sobib just Sinu kompuutrit nakatanud lunavara tüübile. Antud momendil (2016 märts) on kättesaadavad järgmist tüüpi dekrüptimise instrumendid:

* Petya nimelise lunavara jaoks, mis krüptis terve Sinu kõvaketta. See Petya ei ole serveriga ühenduses vaid ketta krüptimine toimub lokaalselt. Kannatanu peab järgima näiteks tollel veebilehel (ingl. keeles) äratoodud juhiseid.

* Emsisoft lasi välja Decrypter for AutoLocky instrumendi. AutoLocky on uus lunavara, mis üritab imiteerida keerulisemat Locky väljapressijat, aga ta ei ole nii võimekas.

* Dekrüptija HydraCrypt ja UmbreCrypt ransomwarede jaoks - lae see alla sealt.

* Operation Global III ransomware dekrüptimise vahend - juhend.

* TeslaCrypt Decryption Tool aitab dekrüpteerida TeslaCrypt ransomware poolt krüptitud failid.

* TeslaDecoder võib aga dekrüptida kõik TeslaCrypt 3.x ja 4.x. ransomware versioonid. Siia kuuluvad .micro, .xxx, .ttt, .mp3 laienditega ja ka need failid, mida ei nimetatud ümber. Allalaadimise link (on samuti sealsamas veebilehel).

* Lukusta lahti oma failid, mis olid krüptitud Decrypt Protect ransomware poolt, selle instrumendiga.

* 'Trend Micro AntiRansomware Tool 2.0' aitab Sul saada tagasi kompuutri omanikuks - link.

* Lae alla AntiRansomware Tool 3.0 ja kasuta USB mälupulga abi, et eemaldada lunavara.

* HitmanPro.Kickstart tasuta lunavara eemaldamise instrument lubab Sul käivitada kompuutri USB mälupulga kaudu ja eemaldada pahavara, mis lukustas Sinu masina.

* Kaspersky Ransomware Decryptor dekrüptib automaatselt kõik failid, mis krüptiti CoinVault ja Bitcryptor lunavarade poolt.

* Ka Anvi Rescue Disk aitab Sul leida ja eemaldada krüpto-ransomware pahalasi.

* Emsisoft Globe Ransomware Decrypter taastab (dekrüptib) Globe3 lunavara poolt krüptitud failid ja seda Globe3 "kõikides võimalikes variantides".

* Kaspersky WindowsUnlocker spetsiaalset anti-malware intsrumenti võib kasutada sel juhul kui Sinu Windowsi kompuuter on lunavara poolt lukustatud ja Sa ei saa enam sellele ligi - sel juhul kasutagi seda Kaspersky Rescue Disk'i, mille Sa olid CD/DVD või USB meediale viinud. Kui Sul seda Kaspersky WindowsUnlocker meediat ei ole, siis loo ta mingis teises kompuutris ja seejärel asu oma lukustatud kompuutri kallale. 'Kaspersky WindowsUnlocker' eemaldab süsteemi blokeeriva pahavara ja lubab Sul juurdepääsu oma opsüsteemile. Ta puhastab antud pahavara poolt nakatatud Windowsi Registri, seega ta puhastab ainult Registri ja ei käivita failide suhtes mingit aktsiooni!

Kaspersky Rescue Disk


Kaspersky WindowsUnlocker: Allalaadimises ja juhised.

* Android nutitelefonide ja tahvlite kaitsmiseks võib kasutada näiteks Trend Micro Mobile Security Personal Edition antiviirust - Sa võid ta alla laadida Google Play veebsaidist.
* AVG lasi välja kuus uut tasuta dekrüptimise instrumenti, mis dekrüptivad antud momendil Apocalypse, BadBlock, Crypt888, Legion, SZFLocker ja TeslaCrypt ransomwarega nakatanud süsteeme - link.
* Trend Micro Ransomware Screen Unlocker Tool: Trend Micro lasi välja süsteemi lahtilukustamise instrumendi, mille abiga saad ligi oma süsteemile, mis oli ekraani lukustamise lunavara poolt totaalselt lukustatud. Kasuta mingit teist kompuutrit, lae see Ransomware Screen Unlocker Tool Trend Micro™ veebsaidist alla ja loo buutiv USB meedia - pilt. Seejärel pane pahavaraga nakatatud kompuutri BIOS/UEFI menüüs oma arvuti alglaadimise seadmeks USB meedia (first boot device). Torka see USB mälupulk usb porti ja tee kompuutri restart. Pärast seda saadki oma kasutajakontole ligi.
Pärast süsteemi sisselogimist, stardib see instrument automaatselt ja Sa saad käivitada süsteemi skaneerimise ning just antud pahavarast puhastamise - pilt. (See instrument elimineerib ainult ekraani lukustamise lunavara. Ta ei dekrüpti Sinu failie, juhul kui need olid krüptitud märksa ohtlikuma lunavara variandi poolt. See instrument ei asenda Sinu regulaarset antiviirustarkvara.)

*** Europol, Dutch Police, Intel Security ja Kaspersky Lab käivitasid nüüd ühise initsiatiivi, et võidelda ühtse tiimina lunavara ning väljapressijate vastu. Selle projekti nimeks on 'No More Ransom' ja see asub NoMoreRansom.org veebiportaalis. Kasutajad võivad seal ligi saada vajalikule informatsioonile ja ka tasuta instrumentidele, millede abil saab oma andmeid taastada, mis olid lunavara poolt krüptitud:

Selle projekti nimeks on 'No More Ransom' ja see asub NoMoreRansom.org veebiportaalis.


No More Ransom




*** 'RansomFree' anti-ransomware instrument: See Cybereason turvafirma poolt loodud tasuta RansomFree anti-ransomware instrument tuvastab ja blokeerib lunavara (Windows 7 ning Windows 10 masinates). Turvafirma väidab, et antud vahend peatab 99% lunavaradest ja isegi need, mida pole veel nähtud (st kasutatud).

Pärast antud instrumendi installimist luuakse Sinu ketta juurkausta ja ka näiteks ProgramData kausta juhuslike nimedega kaustad, mis on ette nähtud lunavara ärapetmiseks ehk söödaks. Nende kaustade nimed koosnevad juhuslikest sümbolitest ja nende hulgas on ka ~, { ja ! - pilt. Kuna need sümbolid on ASCII tabelis madalal, siis hakatakse esmalt just neid lunavara poolt krüptima. Kui Sa avad sellise kausta, siis näed tema sees juhuslikult loodud erinevat tüüpi faile - pilt. Ja veel üks näide nendest kaustadest: pilt ...............ja................... pilt. ÄRA NEID KAUSTASID KUSTUTA!

Kui Sinu kompuuter on väljapressija poolt nakatatud ja kui lunavara alustab nüüd failide krüptimist, siis RansomFree programm peatab selle protsessi. Ta väljastab ekraanile hoiatava teate, kus kliki nupule Yes:

Ta väljastab ekraanile hoiatava teate, kus kliki nupule Yes


See anti-ransomware instrument võib reaalajas joosta koos Sinu teise tavalise antiviirusega, mingeid konflikte ei teki. Ta hõivab ka üsna vähe Sinu kompuutri ressursse ja sellega muret ei ole. Kui Sa värskendad oma süsteemi ('Settings > Update & security > Windows Update' kaudu) või kui Sa värskendad oma äppisid Windows Store kaudu või värskendad/uuendad näiteks Chrome brauserit, siis juhul kui sellega tekib probleeme, lülita see RansomFree anti-lunavara programm ajutiselt välja: teed all tema ikoonil paremklõpsu ja valid ilmuvast hüpikmenüüst "Pause..." käsu.

Lae ta alla sealt.


*** Proovi ka väga kasulikke päästeplaate: 'Bootable Antivirus Rescue Disks' ehk siis buutimisvõimelised 'Rescue Disk' (või Rescue CD / Rescue System) päästeplaadid (Win XP, Vista, Win 7, Win 8 / 8.1 ja Win 10). Linuxi distroode graafiliste kasutajaliideste kaudu saab ka muid süsteemi parandamise instrumente kasutada & ligipääsu ka oma Windowsi failidele jne, jne.



PS! Emsisoft lasi välja mitu lunavara dekrüptimise instrumenti ja antud momendil on need järgmised (neid lisandub sinna edaspidi veel juurde):

Decrypter for Nemucod
Decrypter for DMALocker2
Decrypter for HydraCrypt
Decrypter for DMALocker
Decrypter for CrypBoss
Decrypter for Gomasom
Decrypter for LeChiffre
Decrypter for KeyBTC
Decrypter for Radamant
Decrypter for CryptInfinite
Decrypter for PClock
Decrypter for CryptoDefense
Decrypter for Harasom
Emsisoft Decrypter for NemucodAES


Sa võid neid alla laadida ja saada ka detailseid juhiseid Emisoft ametlikust veebsaidist.






Minu esimene viirus....



PS! USA president Trump'i "lõbusad mängud":

PS! USA president Trump'i lõbusad "maailmalõpu mängud".
Never leave a key in a classified lockbag in the presence of non-cleared people.


OMG, what's next? BREAKING: Trump accidentally punches nuke codes into Android phone (!) when twitter asks "What's happening".



Rõõmusõnum ka maailmalõpu ootajatele: Suurbritannia aatomiallveelaevad kasutavad siiamaani ebaturvalist Windows XP operatsioonisüsteemi. Sealsed ametlikud isikud teatavad selle peale, et ohtu polevat, sest viirused ei pääse ligi kuna "sõjakäigul" olles võrguühedus puudub. Kuid Windows XP nakatamine pole antud juhul mingi probleem siis kui viirused on juba allveelaevas olemas ja seejärel aktiveeritakse nad allveelaeva patrullretke ajal (või "sõjakäigu" alguses) - pilt.

Etteotsa




< Tagasi Windows 10 pealehele ja sisukorda

 

 

Saada ka enda tuttavale lugemiseks!

Kui Sa saadad meili, siis on Sinu saadetavas kirjas selle lehe aadress juba
olemas ja muu saad ise juurde lisada.

Sisesta siia saaja e-mail aadress:

 

 

elaja koju .|. .|. .|. .|. About Us .|. .|. .|. .|. About Me .|. .|. .|. .|. Site Map .|. .|. .|. .|. POSTKASTI EI OLE! Sorry, no mailbox | © Tõnis Laanpõld & Co Eesti Vabariik 2015 (16/17/18)