Politistii vranceni avertizeaza: Internauti, protejati-va calculatoarele! * AMENINŢĂRI INFORMATICE DE TIP ”RANSOMWARE” *

lia

Descriere

Ameninţarea informatică de tip ”ransomware” reprezintă la ora actuală clasa cu cea mai rapidă rată de creştere. Clasa de ameninţări de tip ”ransomware” se bazează pe aşa-numiţii ”encriptori” –  troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc. Pentru a decripta aceste fişiere, infractorii cibernetici solicită o plată, de multe ori o sumă semnificativă, cuprinsă între 300 şi 800 Euro.

Cele mai întâlnite aplicaţii de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker.

Infectare:

  • După ce virusul este lansat, acesta se autocopiată în zone ale sistemului de operare şi se adaugă, pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit);
  • Virusul caută toate unităţile fixe, mobile şi de reţea conectate (hard disk-uri interne şi externe, telefoane mobile, servere, stick-uri, carduri de memorie etc) pentru a identifica fişiere ale căror extensii se potrivesc cu cele programate: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt;
  • Pasul următor este să cripteze fişierele găsite. Metodele de criptare sunt: RSA şi AES 265;
  • În continuare, afişează o fereastră prin care se solicită răscumpărare şi conţine o listă de fişiere care au fost criptate. De obicei, infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins (monedă digitală creată în anul 2009 care este operată de către o autoritate descentralizată (neguvernamentală);
  • Pe desktopul sistemului, virusul setează o imagine relevantă cu text în diferite limbi prin care este descrisă infecţia şi modalitatea prin care fişierele pot fi decriptate;

Această clasă de mallware foloseşte algoritmi de criptare a fişierelor foarte puternici (utilizează chei publice şi private  pe 256 de biţi). Fără a avea la dispoziţie cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fişierelor  în forma lor iniţială.

Propagare:

Această clasă de mallware poate fi distribuită prin mai multe metode:

  • Site-uri rău intenţionate sau site-uri legitimecompromise care odată accesate, instalează aplicaţia prin procese ascunse;
  • Transmiterea de mesaje electronice care conţin ataşamente infectate sau link-uri către site-uri care instalează automat mallware. Un exemplu de astfel de email este genul care vă păcăleşte făcându-vă să credeţi că a fost transmis de la o companie de livrări care spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reuşit. Un astfel de mesaj este practic ”irezistibil” şi după deschiderea şi accesarea link-ului sau ataşamentului, virusul se autoinstalează în sistemul dvs;
  • Aplicaţia poate fi descărcată manual, utilizatorul fiind păcălit că, de fapt, instalează ”software folositor”.

Soluţii:

 

  • Protejaţi-vă sistemele informatice prin instalarea unor aplicaţii antivirus recunoscute şi actualizaţi-le frecvent! Soluţiile antivirus gratuite sau promoţionale oferite online nu sunt recomandate.
  • Dacă nu folosiţi opţiunea Windows de acces la distanţă (remote desktop), dezactivaţi-o!
  • Activaţi opţiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor!
  • Nu dezactivaţi opţiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows!
  • Verificaţi cu atenţie expeditorii mesajelor electronice înainte de a le deschide!
  • Blocaţi orice trafic online către următoarele domenii: com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com!
  • Nu accesaţi site-uri care nu prezintă încredere şi nu daţi click pe link-uri primite de la surse necunoscute!
  • Nu descărcaţi programe care nu prezintă încredere sau software piratat!
  • Creaţi copii de rezervă ale fişierelor şi păstraţi-le pe servere de tip Cloud sau pe suporţi de stocare a datelor detaşabili, pe care să-i utilizaţi numai când fişierele vă sunt necesare!

Referinţe:

http://malwaretips.com/blogs/remove-cryptowall-3-0-virus/

https://msisac.cisecurity.org/daily-tips/cryptowall-indicators.cfm

http://support.eset.com/kb3433/

http://www.securityweek.com/rig-exploit-kit-used-deliver-cryptowall-ransomware

http://www.enigmasoftware.com/cryptowallransomware-removal/

http://www.investopedia.com/terms/b/bitcoin.asp

Biroul de Presa al Inspectoratului Judetean de Politie Vrancea

Editare online: Lia Dumitru

Anunțuri

Un gând despre &8222;Politistii vranceni avertizeaza: Internauti, protejati-va calculatoarele! * AMENINŢĂRI INFORMATICE DE TIP ”RANSOMWARE” *&8221;

Lasă un răspuns

Te rog autentifică-te folosind una dintre aceste metode pentru a publica un comentariu:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s