Сигурни сме, че едва ли има човек, интересуващ се от информационна сигурност, който да не е разбрал за множеството заплахи от типа ransomware. Тези модерни и изключително прецизни зловредни кодове се разпространяват все по-честно в най-различни региони по света. В основата им стои заключването на файловете на компютъра и изискването на откуп за тяхното възстановяване.В последните дни към лабораториите на ESET заваляха хиляди оплаквания за разпространение на зловреден код от този тип в различни райони по света, но основно от Латинска Америка и Източна Европа (включително България). Фалшив имейл, претендиращ че съдържа факс съобщение, всъщност не е нищо по различно от кампания за разпространение на зловредния код, чиято крайна цел е да криптира файлове и да изисква откуп. Няма да ви изненадаме като ви кажем, че откупът се изисква в биткойни (крипто-валута използвана в интернет).
Сега ще ви разкажем малко повече за последната кампания, която разпространява варианта CTB-Locker Ransomware, причинил главоболие на хиляди потребители. Според данните, с които рапзолагаме, Полша, Чехия и Мексико са най-силно засегнати от заразата, но в много други страни тя продължава да се развива. Въпреки, че отсъства от графиката по-долу, България също е една от страните, където има заразени с вируса потребители..
Атаката започва с фалшив имейл в електронната пощенска кутия на потребителя. В него се твърди, че съдържа факс съобщение в прикачен файл, който бива разпознат от ESET като Win32/TrojanDownloader.Elenoocka.A. И тук идва най-важният момент – ако отворите този файл, вашатаантивирусна програма спира да ви защитава и модификация на Win32/FileCoder.DA ще бъде свалена на компютъра ви. Това, което следва, е повече от ясно: криптиране на вашите файлове, които (за съжаление) ще изгубите завинаги. Освен ако не платите и се надявате на съвестта на престъпниците. Тук ние съветваме – не плащайте каквото и да било. Ние не преговаряме с хакери.
Този тип ransomware действа аналогично на други познати зловредни кодове като VirLock, CryptoLocker, TorrentLocker, FileCoder. Разликата идва от различните криптиращи алгоритми, от които идват и различните наименования. Файловете, които този тип зловредни кодове заключват съвсем не са случайни – това са специални разширения като mp4, .pem, .jpg, .doc, .cer, .db, или с други думи –всички онези файлове, които могат да бъдат значими за потребителя. След като криптирането приключи, вируса показва съобщение, в което иска откуп. То има различни форми – като wallpaper на екрана, Windows прозорец или нещо друго. В последния вариант съобщението излиза на немски, холандски, италиански и английски.
Находчивоста на хакерите стига още по-далеч. За да убедят потребителите, че могат да възстановят техните файлове ако платят, кибер-престъпниците предлагат демонстрация как работи „безплатно“.
След като потребителите видят демонстрацията, хакерите им показват къде трябва да бъдат изпратени биткойните (BTC). Те дори предлагат и обмяна на биткойни в случай, че потребителят не разполага с такива.
Друг интересен детайл от CTB-Locker е този, че не само показва съобщението на различни езици, но показва и подходяща валута за съответния език. Така например, ако е избран английски, сумата е в долари. Откупът е 8 биткойна, които към 20.01.2015 се равняват на 1680 долара. За съжаление е факт, че криптиращите техники използвани от CTB-Locker правят невъзможно възстановяването на файловете. Въпреки това, има някои неща, които потребителите и компаниите могат да направят:
- Ако разполагате с решение за сигурност на мейл сървъри, включете филтрирането по файлове разширения. Това ще ви позволи да блокирате зловредни файлове с разширения като .scr, като това използвано от Win32/TrojanDownloader.Elenoocka.A.
- Избягвайте да отваряте прикачени файлове от имейли със съмнителни източници. Уверете се, че всички в компанията са уведомени за това;
- Поддържайте решенията си за сигурност актуализирани, за да могат ефективно да се справят с последните заплахи.
- Осъществявайте периодичен бек-ъп на информацията си.
*Може да разгледате и препоръките дадени от българския екип на ESET тук.