Despre codul Jigsaw și cum ransomware-ul devine mai agresiv având noi abilități


Fără nici o îndoială, infractorii au găsit un mecanism în ransomware care să le permită să obțină beneficii semnificative, cu un efort redus. Informațiile stocate pe calculatoare sunt mult mai importante decât ne gândim, deși există mulți utilizatori care își dau seama de acest lucru, doar în momentul în care le pierd.

Din acest motiv, nu este o surpriză faptul că, de câteva luni, am fost martorii unor valuri constante de variante care solicită o răscumpărare. Unele dintre aceste variante sunt cunoscute de o lungă perioadă de timp, cum ar fi Cryptolocker, TeslaCrypt și TorrentLocker, dar vedem în continuare apariția unor noi variante care doresc o parte din câștig.

Criptarea și ștergerea fișierelor

Jigsaw2

Acest nou lot de programe include Jigsaw care solicită o răscumpărare, o variantă detectată de către ESET ca MSIL/Filecoder.Jigsaw, ce are multe trăsături specifice ce îl fac să iasă în evidență. Pentru început, fundalul tipic al ecranului sau imaginea care vă informează că fișierele au fost criptate a fost înlocuită cu o imagine a păpușii Billy, unul dintre semnele distinctive ale seriei de filme Saw.

Pe aceasta imagine este afișată o explicație pentru utilizator cu privire la ce s-a întâmplat cu fișierele lor, ca și cum ar avea de-a face cu unul dintre testele din bine-cunoscuta saga de groază. Există, de asemenea, instrucțiunile necesare pentru a plăti răscumpărarea, ce însumează 150 de dolari în Bitcoins.

În plus față de această grafică, amenințarea reală a acestei variante ransomware este că în fiecare oră câte un fișier criptat este șters. Astfel timpul devine un factor cheie în cazul în care doriți să vă recuperați fișierele. De fapt, dacă încercați să opriți procesul sau reporniți sistemul, Jigsaw va șterge 1.000 de fișiere, limitând astfel acțiunile pe care utilizatorul le poate face în încercarea de a-și recupera datele, fără a plăti răscumpărarea.

În mod surprinzător, spre deosebire de alte variante care dau detalii complete despre cum să plătească răscumpărarea în Bitcoins, Jigsaw oferă numai un link unde puteți obține detalii despre plată. Acest lucru ne face să credem că autorul ransomware-ul nu este un profesionist, față de cei care au produs celelalte variante.

Din fericire, pentru utilizatorii care au fost afectați de Jigsaw, un instrument împreună cu instrucțiunile pentru restaurarea fișierelor criptate sunt deja disponibile. Vă recomandăm să urmați pașii prezentați în aceste link-uri pentru a împiedica infractorii să facă bani din informațiile stocate pe sistemele utilizatorilor.

O dezvoltare continuă

Jigsaw este doar un exemplu din numeroasele teste pe care creatorii de malware le fac în legătură cu ransomware-ul. În acest caz, am întâlnit o situație nouă și anume ștergerea fișierelor, pentru a alarma și mai tare victimele – căutarea noilor metode de amenințare, produc rezultate continuu.

În momentul de față, aceasta este una dintre cele mai profitabile amenințări pentru ei și, din cauza naturii sale agresive, multe companii și cercetători, precum noi, analizează noi variante în fiecare zi, pentru a afla cum să decripteze fișierele.

Ar trebui să ne așteptăm ca ei să adauge noi strategii și chiar o rafinare mai mare, în anumite cazuri concrete în viitorul apropiat. În afară de asta, am văzut cum se răspândește ransomware-ul din habitatul său natural de Windows și dispozitive Android la alte sisteme, cum ar fi Linux și Mac OS X și nu a existat nici o dovadă privind Internetul Obiectelor.

Odată cu trecerea timpului, utilizatorii sunt din ce în ce mai conștiincioși și, drept urmare, infractorii folosesc diferite tehnici (altele decât bine-cunoscutele atașamente dăunătoare din e-mail). Acestea includ utilizarea de kituri exploit pe site-uri legitime și chiar pe site-urile vizitate de milioane de utilizatori în fiecare zi, care să le permită să își extindă activitățile infracționale și să-și găsească noi victime.

Prin urmare, trebuie să fim atenți și să privim dincolo de mijloacele tradiționale de atac, astfel încât să fim pregătiți atunci când ne confruntăm cu mai multe tehnici ingenioase. Utilizatorii nu pot continua să fie cea mai slabă verigă din lanțul de securitate IT, iar noi trebuie să anticipăm mișcările infractorilor.

Noi trebuie să luăm măsuri pentru a reduce amenințările de acest tip, începând cu a face o copie de rezervă a fișierelor noastre cele mai importante, a avea o soluție de securitate capabilă să detecteze variante noi care solicită o răscumpărare în timp ce ele apar și să punem în aplicare politici de securitate ale companiei pentru a preveni echipamentele infectate să afecteze resursele partajate în rețeaua organizației.

Dacă aplicăm aceste măsuri – multe dintre ele fiind evidente – vom câștiga o mare parte din lupta împotriva ransomware-ului. Dar pentru a face acest lucru, trebuie să începem imediat și să fim la curent cu noile amenințări în timp ce ele apar, astfel încât să le putem aborda cu succes.
Creditele imaginii: ©Tomomi Wong/Flickr

 

JOSEP ALBORS
CORESPONDENT INDEPENDENT

Georgiana May 5, 2016

Lasa un comentariu