CryptoLocker (Ransomware), Cryptovirus, FileCoder, Locker, TorrentLocker, CTB Locker, TeslaCrypt 3.0 и др.
В последно време зачестяват случаите в които много наши клиенти се заразяват с Ransomware.
Кратка история
Смята се, че за пръв път подобен вид е публикуван в Интернет на 5 септември 2013 г. От тогава претърпява значителни изменения на своите версии.
Как действат този тип заразявания ransomware?
CryptoLocker се размножава чрез заразени имейл прикачени файлове, и чрез съществуващ ботнет. Когато се активира зловредния софтуер, то той криптира някои видове файлове, съхранявани локално и монтирани мрежови устройства.
Подробности:
Обикновено чрез, електронна поща – като прикачен файл със Subject: Payment, Invoice, Shipping, information, Voicemail from, UPS Delivery, Order – бъдете особено внимателни към подобни описания (към този момент). В бъдеще могат да измислят и други описания и начини за да ви подмамят да ги отворите.
Реални Subjects описания:
Invoice, Ref. 4853451, Voicemail from 07730881627
След като отворите писмото и най-вече прикачения файл (обикновено , *.zip, *.zip.exe, *.pdf.exe, *.js.exe, *.txt.cmd и други варианти, като zip, rar файл защитен с парола. В тялото на съобщението е написана паролата която трябва да използвате при разархивирането на прикачения файл.
След като „отворите“ прикачения файл или го стартирате започва самото заразяване. В много от случаите в зависимост от това с кой вирус сте се заразили, самото заразяване е невъзможно ако в момента на отварянето на прикачения файл нямата връзка с интернет.
След като системата (компютъра) бъде заразен започва процедурата по криптиране на файловете по следните маски от разширения:
3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, jpeg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx, bak, ldf, mdf. Js, txt.
Внимание: списъкът от файлови разширения може да е не пълен или различен от Вашият.
След това заразения компютър се свързва с управляващия сървър в „Интернет“ и изисква от него уникален ключ RSA. След това всеки файл, който подхожда по маска на разширението описано по-горе се шифрира с уникален 3DES ключ, който от своя страна се шифрира допълнително с публичния ключ RSA получен от управляващия сървър.
Криптиране: файловете се криптират с помощта на RSA-2048 или RSA-4096 битов ключ. Макар, че по мнението на някои анализатори истинския алгоритъм е RSA-1024 битов ключ.
Независимо от всичко, може да се твърди със сигурност, че методът на криптиране е наистина силен и почти невъзможен за декриптиране.
За какви операционни системи съществува?
За Windows и linux.
Може да съществува и за други операционни системи.
Начин на заразяване
През електронна поща с прикачен файл, заразен линк.
Реални примери:
Как се визуализира подобен вирус в Microsoft Security Essentials за Windows 7.
Как се визуализира подобен вирус в online услугата на virustotal.com
VirusTotal позволява проверка на файлове и съмнителни хиперлинкове (URL адреси).
След като системата бъде заразена ще се появи форма или ще се подмени картинката на фона на десктопа с предупреждение, че вашата система е заразена. Ще има и допълнително пояснение за това как могат да бъдат възстановени вашите файлове ако платите определена сума 100 до 500 $ в срок до определена дата (средна валидност на предложението 72 часа). Докато публичния ключ се копира върху заразения компютър, частния ключ може да бъде получен само чрез плащане в определен срок. След това сумата която трябва да се плати се увеличава. За версия 2 на Ransomware се предлага плащането да е само Bitcoin.
Добри новини за потребителите на PharmaStar
Когато работите с PharmaStar базата от данни е ексклузивно отворена от MS SQLсървъра. По тази причина файловете не могат да се копират, изтриват, манипулират или да се извърши друго действие с тях.
Начин за възстановяване
Не се препоръчва за не специалисти.
Необходимо е да се извлекат въпросните файлове на базата от данни PharmaStar.mdf и PharmaStar.ldf (това може да стане с Live дистрибуция или друг начин) след това файловете на базата от данни да се копират извън заразения хард диск (HDD). Да се направи нова инсталация на PharmaStar и файловете на базата от данни да се прикачат върху чиста система.
Съвети по превенция от заразяване с Ransomware:
- Използвайте Антивирусни решения които непрекъснато се актуализират и са в състояние да изпълняват активно сканиране на системата. Да имат проактивна защита.
- В никакъв случай не отваряйте прикачени файлове от непознати или съмнителни кореспонденти.
- В никакъв случай не отваряйте прикачени файлове от непознати или съмнителни кореспонденти на файлове защитени с парола.
- В никакъв случай не отваряйте прикачени файлове със следните разширения в края:
- exe
- com
- vbs
- cmd
- bat
- ps1
- js
- src
и други изпълними разширения
- Активирайте пълното изобразяване на разширенията в вашата операционна система.
За целта изберете:
Control panel -> Folder Option -> View -> и махнете отметката от „Hide extension for known file types”.
- Правете редовно копия на важната за вас информация която съхранявате на вашите компютри.
- Не споделяйте без нужда директории с права за писане ако няма такава нужда.
- Инспектирайте своите системи. Ако неможете сами обърнете се към специалисти.
- Използвайте облачни хранилища за съхранение на информация Използвайте ги в ръчен режим – това няма да ви позволи да копирате заразени файлове върху здравите:
- Dropbox
- Google drive
- OneDrive
- Yandex disk
- Cloud mail.ru (Облако mail.ru)
- Други доставчици на подобни услуги.
- Собствен облак
- Преносими устройства – flash USB памети. Използвайте тези памети само за тези цели и не ги използвайте на други компютри върху които нямате никакъв контрол.
Бъдете бдителни!
Някои казват, че сигурността е само илюзия!
Следва продължение по темата!
Leave A Comment