CryptoLocker  (Ransomware),  Cryptovirus, FileCoder, Locker, TorrentLocker, CTB Locker, TeslaCrypt 3.0 и др.

В последно време зачестяват случаите в които много наши клиенти се заразяват с  Ransomware.

Кратка история

Смята се, че за пръв път подобен вид е публикуван в Интернет на 5 септември 2013 г. От тогава претърпява значителни изменения на своите версии.

Как действат този тип заразявания ransomware?

CryptoLocker се размножава чрез заразени имейл прикачени файлове, и чрез съществуващ ботнет. Когато се активира зловредния софтуер, то той криптира някои видове файлове, съхранявани локално и монтирани мрежови устройства.

Подробности:

Обикновено чрез, електронна поща – като прикачен файл със Subject: Payment, Invoice, Shipping, information, Voicemail from, UPS Delivery, Order  – бъдете особено внимателни към подобни описания (към този момент). В бъдеще могат да измислят и други описания и начини за да ви подмамят да ги отворите.

Реални Subjects описания:

Invoice, Ref. 4853451,   Voicemail from 07730881627

След като отворите писмото и най-вече прикачения файл (обикновено , *.zip, *.zip.exe, *.pdf.exe, *.js.exe, *.txt.cmd и други варианти, като zip, rar файл защитен с парола. В тялото на съобщението е написана паролата която трябва да използвате при разархивирането на прикачения  файл.

След като „отворите“ прикачения файл или го стартирате започва самото заразяване. В много от случаите в зависимост от това с кой вирус сте се заразили, самото заразяване е невъзможно ако в момента на отварянето на прикачения файл нямата връзка с интернет.

След като системата (компютъра) бъде заразен започва процедурата по криптиране на файловете по следните маски от разширения:

3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, jpeg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx, bak, ldf, mdf. Js, txt.

Внимание: списъкът от файлови разширения може да е не пълен или различен от Вашият.

След това заразения компютър се свързва с управляващия сървър в „Интернет“ и изисква от него уникален ключ RSA. След това всеки файл, който подхожда по маска на разширението описано по-горе се шифрира с уникален 3DES ключ, който от своя страна се шифрира допълнително с публичния ключ RSA получен от управляващия сървър.

Криптиране: файловете се криптират с помощта на RSA-2048 или RSA-4096 битов ключ. Макар, че по мнението на някои анализатори истинския алгоритъм е RSA-1024 битов ключ.

Независимо от всичко, може да се твърди със сигурност, че методът на криптиране е наистина силен и почти невъзможен за декриптиране.

За какви операционни системи съществува?

За Windows и linux.

Може да съществува и за други операционни системи.

Начин на заразяване

През електронна поща с прикачен файл, заразен линк.

Реални примери:

CriptoLocker от 2016 година

CriptoLocker от 2016 година в архивиран zip файл

 

Email-cryptolocker

CriptoLocker в doc файл

 

CriptoLocker в zip файл

CriptoLocker в zip файл

 

Как се визуализира подобен вирус в Microsoft Security Essentials за Windows 7.

MSE-Criptolocker

Criptolocker прихванат от MSE

 

Как се визуализира подобен вирус в online услугата на virustotal.com

VirusTotal

VirusTotal

 

VirusTotal позволява проверка на файлове и съмнителни хиперлинкове (URL адреси).

 

След като системата бъде заразена ще се появи форма или ще се подмени картинката на фона на десктопа с предупреждение, че вашата система е заразена. Ще има и допълнително пояснение за това как могат да бъдат възстановени вашите файлове ако платите определена сума 100 до 500 $ в срок до определена дата (средна валидност на предложението 72 часа). Докато публичния ключ се копира върху заразения компютър, частния ключ може да бъде получен само чрез плащане в определен срок. След това сумата която трябва да се плати се увеличава. За версия 2 на Ransomware се предлага плащането да е само Bitcoin.

 

Добри новини за потребителите на PharmaStar

Когато работите с PharmaStar базата от данни е ексклузивно отворена от MS SQLсървъра. По тази причина файловете не могат да се копират, изтриват, манипулират или да се извърши друго действие с тях.

 

Начин за възстановяване

Не се препоръчва за не специалисти.

Необходимо е да се извлекат въпросните файлове на базата от данни PharmaStar.mdf и PharmaStar.ldf (това може да стане с Live дистрибуция или друг начин) след това файловете на базата от данни да се копират извън заразения хард диск (HDD).  Да се направи нова инсталация на PharmaStar и файловете на базата от данни да се прикачат върху чиста система.

 

Възстановяване на PharmaStar
След като сте запазили двата файла и сте подготвили чиста система, за възстановяване се обърнете към екипа на АПТЕЧНИ ПРОГРАМИ!

 

Съвети по превенция от заразяване с Ransomware:

  1. Използвайте Антивирусни решения които непрекъснато се актуализират и са в състояние да изпълняват активно сканиране на системата. Да имат проактивна защита.
  2. В никакъв случай не отваряйте прикачени файлове от непознати или съмнителни кореспонденти.
  3. В никакъв случай не отваряйте прикачени файлове от непознати или съмнителни кореспонденти на файлове защитени с парола.
  4. В никакъв случай не отваряйте прикачени файлове със следните разширения в края:
  • exe
  • com
  • vbs
  • cmd
  • bat
  • ps1
  • js
  • src

и други изпълними разширения

  1. Активирайте пълното изобразяване на разширенията в вашата операционна система.

За целта изберете:

Control panel -> Folder Option -> View -> и махнете отметката от „Hide extension for known file types”.

Folder Option

Folder Option

 

  1. Правете редовно копия на важната за вас информация която съхранявате на вашите компютри.
  2. Не споделяйте без нужда директории с права за писане ако няма такава нужда.
  3. Инспектирайте своите системи. Ако неможете сами обърнете се към специалисти.
  4. Използвайте облачни хранилища за съхранение на информация Използвайте ги в ръчен режим – това няма да ви позволи да копирате заразени файлове върху здравите:
  • Dropbox
  • Google drive
  • OneDrive
  • Yandex disk
  • Cloud mail.ru (Облако mail.ru)
  • Други доставчици на подобни услуги.
  • Собствен облак
  • Преносими устройства – flash USB памети. Използвайте тези памети само за тези цели и не ги използвайте на други компютри върху които нямате никакъв контрол.

 

Бъдете бдителни!

Някои казват, че сигурността е само илюзия!

 

Следва продължение по темата!