Amenințarea informatică de tip ”ransomware” reprezintă la ora actuală clasa cu cea mai rapidă rată de creștere. Clasa de amenințări de tip ”ransomware” se bazează pe așa-numiții ”encriptori” – troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc. Pentru a decripta aceste fișiere, infractorii cibernetici solicită o plată, de multe ori o sumă semnificativă cuprinsă între 300 și 800 Euro. Cele mai întâlnite aplicații de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker.
După ce virusul este lansat, acesta se autocopiată în zone ale sistemului de operare și se adaugă pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit);
- Virusul caută toate unitățile fixe, mobile și de rețea conectate (hard disk-uri interne și externe, telefoane mobile, servere, stick-uri, carduri de memorie etc) pentru a identifica fișiere ale căror extensii se potirvesc cu cele programate: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt;
- Pasul următor este să cripteze fișierele găsite. Metodele de criptare sunt: RSA și AES 265;
- În continuare, afișează o fereastră prin care se solicită răscumpărare și conține o listă de fișiere care au fost criptate. De obicei, infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins (monedă digitală creată în anul 2009 care este operată de către o autoritate descentralizată (neguvernamentală);
- Pe desktopul sistemului, virusul setează o imagine relevantă cu text în diferite limbi prin care este descrisă infecția și modalitatea prin care fișierele pot fi decriptate;
Această clasă de mallware folosește algoritmi de criptare a fișierelor foarte puternici (utilizează chei publice și private pe 256 de biți). Fără a avea la dispoziție cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fișierelor în forma lor inițială.
Această clasă de mallware poate fi distribuită prin mai multe metode:
- Site-uri rău intenționate sau site-uri legitime compromise care odată accesate, instalează aplicația prin procese ascunse;
- Transmiterea de mesaje electronice care conțin atașamente infectate sau link-uri către site-uri care instalează automat mallware. Un exemplu de astfel de email este genul care vă păcălește făcându-vă să credeți că a fost transmis de la o companie de livrări care spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reușit. Un astfel de mesaj este practic ”irezistibil” și după deschiderea și accesarea link-ului sau atașamentului, virusul se autoinstalează în sistemul dvs;
- Aplicația poate fi descărcată manual, utilizatorul fiind păcălit că, de fapt, instalează ”software folositor”.
Soluții:
- Protejați-vă sistemele informatice prin instalarea unor aplicații antivirus recunoscute și actualizați-le frecvent!Soluțiile antivirus gratuite sau promoționale oferite online nu sunt recomandate.
- Dacă nu folosiți opțiunea Windows de acces la distanță (remote desktop), dezactivați-o!
- Activați opțiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor!
- Nu dezactivați opțiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows!
- Verificați cu atenție expeditorii mesajelor electronice înainte de a le deschide!
- Blocați orice trafic online către următoarele domenii: com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com!
- Nu accesați site-uri care nu prezintă încredere și nu dați click pe link-uri primite de la surse necunoscute!
- Nu descărcați programe care nu prezintă încredere sau software piratat!
- Creați copii de rezervă ale fișierelor și păstrați-le pe servere de tip Cloud sau pe suporți de stocare a datelor detașabili pe care să-I utilizați numai cand fișierele vă sunt necesare!
Referințe:
http://malwaretips.com/blogs/remove-cryptowall-3-0-virus/
https://msisac.cisecurity.org/daily-tips/cryptowall-indicators.cfm
http://support.eset.com/kb3433/
http://www.securityweek.com/rig-exploit-kit-used-deliver-cryptowall-ransomware