În ultimii ani, a fost dificil să vorbim despre securitatea calculatoarelor fără a aduce în discuție cuvântul "Cryptowall". În luna februarie, Hollywood Presbyterian Medical Center a fost lovit de acest cod software malițios și forțat să plătească răscumpărarea cerută de atacatori pentru a obține accesul la date foarte importante despre clienți.

Mulți nu înțeleg pe deplin natura virusării, confruntându-se doar cu rezultatul ei, care constă într-un volum mare de fișiere criptate. Atunci când urmăriți cum s-a produs infectarea, detaliile pe care le descoperiți sunt aproape la fel de importante ca faptul că ați aflat că sunteți afectat de ea. Această situație ne amintește ideea conform căreia "Un gram de prevenție cântărește mai mult  decât greutatea întregului proces de vindecare." Învățând cum să prevină aceste infracțiuni managerii IT vor economisi mult timp și vor fi mult mai liniștiți.

Ce este Cryptowall?

Cryptowall este o infectare care vă codifică fișierele importante stocate, astfel încât acestea nu pot fi utilizate decât dacă este plătită o răscumpărare către atacator. Fișierele afectate conțin documente personale, cum ar fi imagini, documente și PDF-uri. În mod normal, în timpul atacului nu se criptează fișierele Windows, deoarece atacatorii își doresc ca dispozitivul să fie operațional pentru a se plăti răscumpărarea. Codul malițios utilizează Windows Encryption pentru a cripta până la 2 GB de fișiere, care sunt ulterior imposibil de accesat.

De multe ori, în mediile business, serverul este afectat. Cu toate acestea, infecția provine inițial de la un calculator client și afectează mai apoi unitățile drive ale utilizatorului. Identificarea utilizatorului de la care s-a propagat inițial infectarea poate fi dificilă, deși de multe ori proprietarul documentelor generate de tip Help_Decrypt sau Restore_Files este utilizatorul de la care a început infectarea. De la dispozitivul acelui utilizator, veți putea investiga sistemul și înregistrările din regiștrii, putând să localizați orice fișiere compromise și eventual, o cheie de criptare în cazul în care atacatorul a fost neglijent sau PC-ul a fost deconectat rețeaua electrică în timp ce infectarea a fost activă.

Există numeroase variante ale acestui cod; noi, echipa  ESET,  detectăm infecția ca fiind un Filecoder. Pot fi mai multe posibilități și infectări, care au același rezultat final al fișierelor criptate, cum ar fi Teslacrypt, Cryptowall 1.0-4.0 și chiar unele programe care includ module tip pop-up în stil SAAS (Software as a Service), cu scopul de a facilita transmiterea mesajelor și instrucțiunilor de la atacatori pentru a vă determina să plătiți. Anul trecut, un hacker tânăr, Tox, a elaborat un site ascuns care a creat chiar asta, Ransomware ca un Serviciu. Site-ul a oferit posibilitatea utilizatorilor să creeze un virus Crypto și să îl distribuie în schimbul unei cote părți din răscumpărare. Datorită publicității obținute, Tox a fost vândut în cele din urmă site-ul pentru suma de 5.000 $, potrivit unui raport publicat pe BusinessInsider.com.

De ce am fost infectat?

Primul lucru care sunt întrebat atunci când mă confruntăm cu un site infectat este "Cum?". Cum a trecut acea amenințare de sistemul meu de apărare și cum a infectat serverele?  Există mai multe variante, dar cea mai frecventă cauză vizează aplicațiile slabe care rulează în sistem. Acesta este motivul pentru care, aproape de fiecare dată, accesez în primul rând secțiunea de programe Add / Remove. Aici sunt în mod normal întâmpinat de o recomandare de a actualiza Adobe sau Java. Chiar si cu o soluție antivirus, aceste aplicații cu o securitate slabă pot fi atacate folosind un buffer overflow sau alte mijloace care fac aplicația în sine să execute codul malițios.

Însă mai înspăimântător este faptul că unele kituri de exploatare nu lasă fișierele pe sistem, cum ar fi Angler și Nuclear Exploit. Acestea pot livra încărcături de coduri malware de tip Cryptowall, Teslacrypt, sau alte variante, prin disimularea codurilor javascript pe site-urile infectate printr-un atac "drive-by download" sau cu ajutorul fișierelor macro în Outlook sau prin mijlocirea altor clienți emailuri pentru a infecta sistemul, lăsând în urmă doar fișierele Help_Decrypt sau Help_Your_Files odată ce procesul de criptare al fișierelor a început. Chiar mai rău, acestea sunt foarte ușor de folosit și oricine le poate cumpăra. Patch managementul este cheia prin care vă puteți apăra de asemenea infectări.

Recuperare și Prevenție

Dacă ați fost afectat de virus, va trebui să vă curățați sistemul, să vă recuperați documentele și să puneți totul în ordine. Aceste sfaturi vă vor ajuta la prevenirea acestor tipuri de infecții și să repuneți sistemul pe picioare în cazul în care vă întâlniți cu această situație.

• Antivirus – Sperăm că aveți deja un program instalat, dar asigurați-vă că protecția antivirus este solidă, actualizată și că rulează. Uneori, utilizatorul de la care a început infecția nu a avut soluția antivirus actualizată timp de luni de zile, lăsându-se vulnerabil în fața atacurilor care, în altă situație, ar fi putut fi stopate. Veți dori să vă asigurați, de asemenea, că politicile stabilite pentru soluția dvs. antivirus au setările corespunzătoare pentru a bloca aceste infecții.

• Software-ul de Backup  – este o bună soluție de suport ar trebui să ofere suport pentru versioning, astfel încât să puteți obține o copie conformă a fișierelor. În cazul în care nu oferă suport de acest fel, și rulați un alt back-up s-ar putea să restaurați fișiere criptate sau fișierele pot fi înlocuite cu o copie criptată. Puteți încerca să rulați un program de tipul Shadow Explorer pentru a naviga prin volumele Windows Shadow pe Windows Server 2008 și versiunile mai noi, dar de multe ori sunt șterse pentru a face opțiunea de a plăti răscumpărarea mai tentantă.

• Instruirea angajaților – Unul dintre cei mai mari vectori de atac pentru un hacker este baza utilizatorilor finali. Am identificat o cantitate mare de emailuri phishing cu atașamente malițioase, care ar fi putut fi evitate cu ajutorul unei educații corespunzătoare sau al politicilor în vigoare. Aceste atacuri cer utilizatorilor să acceseze un fișier, infectănd ulterior rețeaua sau dispozitivul, în funcție de virus. De cele mai multe ori, acestea sunt blocate de sistemele anti-spam din rețea sau la nivelul clientului email al utilizatorului. În cazul în care un element nu este blocat de protecția antivirus / anti-spam, atunci este la alegerea utilizatorului dacă deschide un atașament sau nu. De multe ori, e-mail-urile par legitime îndemnând să fie citite, cu toate acestea de exemplu, Bank of America nu obișnuiește să trimită un fișier ZIP sau orice fel de atașament. Pe măsură ce utilizatorii finali constituie cea mai mare bază de utilizatori în orice organizație, instruirea lor asupra riscurilor internetului reprezintă o necesitate. Nu vă puteți aștepta de la un nou utilizator să fie 100% protejat în mediul online, fără să i se facă mai întâi o pregătire cu privire la utilizarea conformă a internetului și ce ar trebui să acceseze în timpul orelor de lucru. Instruirea utilizatorilor ar trebui să facă parte din cadrul de securitate și ar trebui să fie revizuit periodic.

• Restricționarea unor drepturi și acces limitat la software - De multe ori, atunci când un utilizator își schimbă poziția, ia cu el și drepturile pe care le avea. În loc de a fi modificate toate privilegiile care se potrivesc noului loc de muncă, administratorii adaugă noile drepturile corespunzătoare, oferindu-le mai multe permisiuni decât au nevoie. În calitate de administrator, am tendința de a oferi angajaților doar drepturilor de care au nevoie. Dacă apare ceva neașteptat, noi drepturi sunt adăugate. În acest fel, utilizatorul este restricționat de la a rula fișiere, deoarece nu ar avea permisiunea de a face acest lucru; sau sistemul de operare ar restricționa ca infectarea să instaleze încărcătura malițioasă și aceasta să devină activă.
  Același lucru se poate spune despre sistemul de operare, deoarece utilizatorul ar trebui să aibă doar suficiente permisiuni pe sistem cât să-și facă treaba. Există mai multe tipuri de restricții, cum ar fi cea referitoare la accesarea datelor din aplicații și chiar unele care sunt pre-construite ca un GPO (Group Policy Object) pentru a preveni infiltrarea codului Cryptowall sau a variantelor sale, dar va trebui să testați și să calibrați pentru a obține restricțiile ideale pentru situația dumneavoastră.

Michael Aguilar

Michael Aguilar este Business Product Technical Lead la ESET America de Nord. El studiază pentru examenul CISSP și are o certificare Security+ precum și o certificare Usable Security Certification de la  Universitatea  Maryland - Cyber Security Center via Coursera.org. El este în prezent responsabil pentru lucrul cu clienții de mari dimensiuni din ESET America de Nord și lucrează cu dezvoltatori ESET, echipa QA și inginerii de suport pentru a rezolva problemele cu care se confruntă clienții într-un mod rapid și eficient. Michael este activ pe Spiceworks și pe diverse forumuri de securitate uitându-se continuu la noii vectori de amenințare și cautând cele mai bune metode pentru a adresa aceste riscuri.