Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

11 lucruri pe care le puteți face pentru protecția împotriva ransomware, inclusiv Cryptolocker

2016-03-07

Ransomware este un software malițios pe care infractorii cibernetici îl utilizează pentru a ține calculatorul dvs. sau fișierele de pe calculator în scopul de a cere o răscumpărare pentru a le recupera. Din păcate, ransomware-ul devine o modalitate din ce în ce mai populară pentru autorii de malware de a stoarce bani de la companii și de la consumatori. Există o mulțime de variante de ransomware ce pot ajunge pe mașina unei persoane, dar, ca de fiecare dată, aceste tehnici se reduc la tactici de inginerie socială sau la folosirea unor vulnerabilități software pentru a fi instalate în tăcere pe mașina victimei.

De ce este demn de remarcat Cryptolocker?

O amenințare cu ransomware specifică despre care s-a vorbit foarte mult timp este Cryptolocker (detectat de către ESET drept Win32/Filecoder – verificați baza de cunoștințe de la ESET pentru informații actualizate privind detectarea Cryptolocker și a altor tipuri de ransomware). Autorii Cryptolocker au trimis acest ransomware la nu număr foarte mare de oameni, vizând în special SUA și Maria Britanie. Precum un infractor notoriu, acest malware a fost asociat cu o varietate de alți actori răi – troieni backdoor, downloadere, autori de spam, hoți de parole, ad-clickere și like-ul. Cryptolocker poate ajunge singur (de obicei prin e-mail) sau prin intermediul unui backdoor sau a unui downloader, drept o componentă suplimentară.

Vă puteți întreba de ce discuția legată de Cryptolocker a căpătat o asemenea importanță în această familie de ransomware – în esență, aceasta se datorează faptului că autorii Cryptolocker au fost atât de agili și persistenți. A existat un efort concentrat pentru a pompa variante noi, ținând pasul cu schimbările tehnologiilor de protecție și vizând anumite grupuri de-a lungul timpului.

Încă din septembrie 2013, autorii acestui malware au trimis valuri de e-mailuri spam care vizau grupuri diferite. Majoritatea grupurilor țintă s-au aflat în Statele Unite și în Marea Britanie, dar nu există vreo limită geografică pentru cei care pot fi afectați, iar mulți oameni din exteriorul acestei zone vizate au fost țintiți. Inițial, e-mailurile au vizat utilizatorii de acasă, apoi tinzând spre companii.

De asemenea, malware-ul se răspândește prin intermediul porturilor RDP lăsate deschise la Cryptolocker poate afecta și fișierele utilizatorului aflate pe unități corelate, cu o literă destinată de unitate (ex. D:, E:, F: ). Poate fi vorba de un hardisk extern, fiind incluse în această categorie și stick-urile USB sau un folder din rețea sau din Cloud. Pot fi, de asemenea, criptate fișierele din folderul Dropbox mapate local.

Zeci de mii de mașini au fost afectate, deși se estimează că infractorii au trimis milioane de e-mailuri. Cel mai bun scenariu ar fi ca destinatarii să fi eliminat, pur și simplu, e-mailurile rău intenționate fără a le deschide, în locul păstrării acestora nedeschise.

Acei oameni care au fost afectați au avut un număr mare de fișiere criptate. Acele fișiere sunt în primul rând formate populare de date, fișiere pe care le-ar deschide cu un program (precum Microsoft Office, Adobe, iTunes sau alte programe de muzică). Autorii acestui malware utilizează două tipuri de criptare: Fișierele sunt protejate de la sine cu criptare 256-bit AES. Cheile generate de acest prim proces de criptare sunt apoi protejate cu criptare 2048-bit RSA, iar inițiatorul codului malware păstrează cheia privată care ar putea permite ca cele două chei de pe mașina utilizatorului și fișierele protejate să fie decriptate. Cheia de decriptare nu poate fi folosită prin forță brută sau colectată din memoria calculatorului afectat. Infractorii sunt singurii care au, în aparență, cheia privată.

Ce se poate face?

Pe de o parte, ransomware-ul poate fi înfricoșător – fișierele criptate pot fi, în esență, deteriorate, fără a putea fi reparate. Dar, dacă aveți sistemul pregătit corespunzător, veți avea parte doar de o situație neplăcută. Mai jos găsiți câteva sfaturi care vă vor ajuta să împiedicați ca ransomware-ul să vă strice ziua:

  1. Faceți backup la date
    Cel mai important lucru care vă va ajuta la învingerea unei probleme cu ransomware este actualizarea în mod regulat a copiei de rezervă. În cazul în care sunteți atacat cu ransomware, puteți pierde acel document început de dimineață, dar dacă puteți restaura sistemul sau puteți curăța mașina și reveni la versiunea pe care o aveați, aveți șanse să stați liniștiți. Cryptolocker va cripta, de asemenea, fișierele de pe unitățile conectate. Aici sunt incluse orice unități externe precum stick-urile USB sau rețele și fișiere stocate în cloud. Prin urmare, aveți nevoie de un regim de backup regulat pe o unitate externă sau pe un serviciu de backup, care să deconectat atunci când nu realizează o copie de rezervă.

Următoarele trei sfaturi țin de comportamentul lui Cryptolocker – acestea nu pot fi generale, dar pot ajuta la îmbunătățirea siguranței generale prin pași mici, pentru a preveni diferite tehnici malware comune.

  1. Afișați extensiile ascunse de fișiere
    O modalitate frecventă prin care Cryptolocker ajunge este printr-un fișier cu extensia “.PDF.EXE”, bazându-se pe comportamentul implicit de la Windows de a ascunde extensiile cunoscute ale fișierelor. Astfel, vor fi mai ușor de identificat fișierele suspecte.
  1. Filtrarea executabilelor în e-mail
    Dacă scanerul de mail la nivel de gateway are abilitatea de a filtra fișierele în funcție de extensie, ați putea alege respingerea e-mailurilor trimise cu fișiere de tip “.EXE” sau refuzarea acelor e-mailuri cu două extensii (“*.*.EXE”). În cazul în care aveți nevoie în mod legitim să faceți schimb de fișiere executabile în mediul dvs. de lucru și refuzați primirea e-mailurilor ce conțin fișiere executabile, puteți trimite/primi fișiere de tip ZIP (protejate cu parole, desigur) sau prin intermediul serviciilor de cloud.
  1. Dezactivați fișierele care rulează din folderele AppData/LocalAppData
    Puteți crea reguli în Windows sau prin intermediul software-ului de prevenire a intruziunii, pentru a nu permite un anumit comportament notabil utilizat de Cryptolocker, care rulează executabilul din folderele App Data sau Local App Data. Dacă (din anumite motive), aveți software-ul legitim setat să nu ruleze din zona obișnuită de Program Files, ci din App Data, va fi nevoie să excludeți aceasta de la regulă.
  1. Utilizați Kit-ul de prevenție pentru Cryptolocker
    Kit-ul de prevenție împotriva Cryptolocker este un utilitar creat de Third Tier care automatizează procesul de creare a unei politici de grup pentru a dezactiva fișierele care rulează din folderele App Data și Local App Data, precum și dezactivarea fișierelor executabile astfel încât să nu ruleze din directorul Temp diferite utilități de dezarhivare. Acest utilitar este actualizat, pe măsură ce sunt descoperite noi tehnici pentru Cryptolocker. Prin urmare, este indicat să verificați periodic pentru a vă asigura că aveți ultima variantă disponibilă. În cazul în care aveți nevoie să realizați excepții de la aceste reguli, puteți consulta acest document, unde este explicat acest proces.
  1. Dezactivați RDP
    Malware-ul Cryptolocker/Filecoder accesează adesea mașinile țintă utilizând Remote Desktop Protocol (RDP), un utilitar de la Windows ce permite altora să acceseze desktop-ul de la distanță. În cazul în care nu este nevoie de utilizarea RDP, puteți dezactiva această funcție pentru a proteja mașina de Filecoder și de alte variante de exploatare a RDP-ului. Pentru instrucțiuni legate de realizarea acestui lucru, puteți consulta articolul corespunzător:
  1. Realizați patch-uri și actualizări pentru software
    Următoarele două sfaturi legate de malware sunt mai mult generale, aplicându-se atât pentru Cryptolocker, cât și pentru orice altă amenințare cu malware. Autorii de malware se bazează de obicei pe oameni care rulează software-uri depășite cu vulnerabilități cunoscute, pe care le pot exploata pentru a obține acces pe ascuns la sistemul dvs. Se poate diminua considerabil potențialul problemelor cauzate de ransomware dacă se aplică o practică de actualizare frecventă a software-ului. Unii furnizori lansează actualizări de securitate în mod regulat (Microsoft și Adobe emit în a doua zi de marți în fiecare lună), dar există, de obicei, actualizări neprogramate în caz de urgență.

Activați actualizările automate, dacă puteți sau accesați direct site-ul web al furnizorului, din moment ce autorii de malware apelează, de asemenea, la mascarea creațiilor sub forma unor notificări de actualizare a software-ului.

  1. Utilizați o suită de securitate cu reputație
    Este întotdeauna o idee bună să aveți un software anti-malware și un software firewall pentru a vă putea ajuta la identificarea amenințărilor sau a unui comportament suspect. Autorii de malware trimit adesea variante noi, pentru a evita detecția, astfel încât sunt importante ambele straturi de protecție. În acest moment, cele mai multe variante de malware se bazează pe instrucțiuni de la distanță cu scopul de a-și realiza intențiile malițioase. În cazul în care întâmpinați o variantă de malware atât de nouă încât trece de software-ul anti-malware, aceasta poate fi încă depistată de firewall atunci când se încearcă o conectare la serverul de comandă și control (C&C) pentru primirea instrucțiunilor de criptare a fișierelor.

Dacă ați rulat deja un fișier ransomware fără a fi efectuat din timp oricare dintre măsurile de precauție menționate anterior, opțiunile sunt puțin mail imitate. Dar nu totul este pierdut. Sunt unele lucruri pe care le-ați putea face astfel încât este posibil să contribuiți la atenuarea pagubelor, în special în cazul în care ransomware-ul în discuție este Cryptolocker:

  1. Deconectați-vă de la WiFi sau de la rețea imediat
    Dacă rulați un fișier pe care îl suspectați că ar putea fi unul de tip ransomware, dar nu ați identificat încă ecranul ransomware caracteristic și dacă puteți acționa rapid, se poate opri comunicarea cu serverul C&C înainte de terminarea criptării pentru toate fișierele. Dacă efectuați deconectarea de la rețea imediat, daunele ar putea fi diminuate. Pentru a se realiza criptarea tuturor fișierelor este nevoie de timp, astfel că se poate opri această criptare înainte ca aceasta să reușească distorsionarea fișierelor. Tehnica aceasta nu este pe deplin ușor de manevrat și ați putea să nu fiți destul de norocoși sau în măsură să acționați mai rapid decât malware-ul, însă deconectarea de la rețea poate fi o tactică mai bună decât să nu faceți nimic.
  1. Apelați la System Restore pentru a reveni la o stare a sistemului curată
    În cazul în care aveți activată funcția de System Restore pe mașina dvs. cu Windows, veți putea readuce sistemul la o stare cunoscută ca fiind sigură. Din nou, trebuie să fiți mai rapid decât malware-ul. Noile versiuni de Cryptolocker pot avea abilitatea de a șterge fișierele “Shadow” din System Restore, ceea ce înseamnă că acele fișiere nu vor mai exista atunci când veți încerca să înlocuiți versiunile afectate de malware. Cryptolocker ca începe procesul de ștergere în momentul în care un fișier executabil este rulat, astfel încât va fi nevoie să acționați foarte repede, deoarece executabilele pot fi pornite ca parte a unui proces automat. Cu alte cuvinte, fișierele executabile pot fi rulate fără ca dvs. să fiți conștient de acest lucru, ca parte obișnuită a operațiunilor din sistemul dvs. Windows.
  1. Setați ceasul BIOS înapoi
    Cryptolocker are un cronometru pentru plată, setat în general la 72 de ore, iar după ce timpul s-a scurs, prețul pentru cheia de decriptare va crește considerabil. (Prețul poate varia deoarece un bitcoin are o valoare destul de volatilă.) Puteți cumva să “învingeți ceasul”, prin setarea ceasului de la BIOS la o oră înainte ca fereastra cu cele 72 de ore să apară. Sfatul este de a nu plăti prețul cerut pentru ransomware. Plătirea infractorilor poate duce la recuperarea datelor, dar au existat cazuri în care cheia de decriptare nu a ajuns niciodată sau nu a reușit decriptarea corespunzătoare a fișierelor. În plus, acest lucru încurajează comportamentul infracțional! Cererea de răscumpărare nu este o practică legitimă în afaceri, iar autorii de malware nu sunt obligați în nici un fel să respecte promisiunile – aceștia pot lua banii fără a returna ceva în schimb, deoarece nu va exista nicio reacție în cazul în care infractorii nu reușesc să livreze.


Leave a Reply

Your email address will not be published. Required fields are marked *