Internet

Otimači računara – Sve opasniji Ransomware!

Ransomware je maliciozni softver koji onemogućava pristup Vašem računaru ili fajlovima sve dok ne platite “otkup”.

Vremenom su ransomware-i su od relativno jednostavnih zlonamernih programa koji blokiraju ekran ucenjujući korisnike zaraženih računara, evoluirali u nešto mnogo opasnije – u kripto-malvere.

Tako je SophosLabs razvrstala ransomware malever u dve glavne grupe:

  1. Malver koji enkriptuje Vaše personalne fajlove/foldere (na pr. Sadržaj iz My Documents foldera – dokumenta, slike, baze podataka, video materijale…). Fajlovi su obrisani odmah po enkripciji i na njihovom mestu možete samo naći tekst fajl sa instrukcijama za plaćanje “otkupa”. Kod nekih varijanti možete videti i zaključan ekran ali je to ređi slučaj. Ovaj tip se zove “file encryptor” ransomware.
  2. Druga vrsta malvera kompletno zaključava ekran (prikazuje se slika preko celog ekrana koja blokira pristup bilo čemu drugom na računaru). Personalni fajlovi i folderi ovde nisu enkriptovani, jednostavno im ne možete prići. Ovaj tip se zove “WinLocker” ransomware.

  

Možete se susresti i sa “MBR ransomware”. Master Boot Record (MBR) je deo hard drajva kompjutera koji omogućava operativnom sistemu boo tup. MBR ransomware menja kompjuterski MBR tako da prekida normalni boot proces i postavlja se na ekran zahtev za otkup.

Kripto malveri kao što su CryptoLocker, CryptoDefence ili CryptoWall su u poziciji da traže od korisnika mnogo novca da bi im podaci bili vraćeni. SophosLabs je objavila video delovanja CryptoLocker-a koji možete pogledati.

Nedavno je otkriven još jedan kripto-malver nazvan Critroni (CTB-Locker) koji primarno cilja na korisnike u Rusiji. Ovaj malver se oslanja na jak metod enkripcije, ali i na Tor mrežu da bi sakrio svoju komunikaciju sa serverom za komandu i kontrolu. Reč o potpuno novoj familiji malvera koja nema mnogo zajedničkog sa drugim poznatim familijama ransomwarea. Postojeći ranosmwarei, ako uopšte koriste Tor, rade to na nesofisticirani način. Oni pokreću legitiman fajl tor.exe koji je dostupan za preuzimanje na oficijelnom sajtu Tor mreže. Ovaj malver ne koristi taj fajl. Umesto toga, ceo kod potreban za implementaciju interakcije sa anonimnom mrežom je statički ukompajliran u izvršni fajl malicioznog programa i pokreće se u zasebnom (paralelnom) procesu. Još jedna osobenost ovog ransomware-a je kompresija ciljanih fajlova pre šifrovanja. Svaki fajl se premešta na privremenu lokaciju gde se se vrši kompresija pa tek onda šifrovanje. Rezultat je šifrovanje fajla sa CTBL ekstenzijom, koja sadrži servisne informacije za dešifrovanje na početku fajla. Razlikuje se u pogledu kriptografskog metoda koji koristi, jer umesto kombinacije AES i RSA algoritama, koristi jedan od najsnažnijih algoritama – ECDH (Elliptic curve Diffie-Hellman). Ovaj malver se trenutno širi preko bot mreže Andromeda koja se koristi za širenje spama sa email crvom nazvanim Joleee, koji prima komandu da preuzme i pokrene kripto-malver na zaraženom računaru.

Kako računar bude zaražen ransomware-om

Sredstvo infekcijeKako…Sophos savet
SPAM emailOtvaranje email priloga (attachment) iz SPAM email.Za IT administratore:

Za krajnje korisnike (fizička lica):

  • Izbegavajte otvaranja priloga (attachment) iz mail-a koji ne očekujete.
  • Obratite pažnju na email-ove čiji prilozi ukazuju da morate brzo reagovati i brzo otvoriti attachement – bez obraćanja pažnje na izvor mail-a.
  • Proverite Vaš Sophos shield u sistemu.

    Sve je u redu Postoji problem

     

  • Pređite mišem preko štita i ukoliko se ne pojavi ‘On-access scanning: disabled’ sve je u redu.

    Sve je u redu 

    Postoji problem

  • Dvostrukim klikom na Sophos štit, otvorićete program. Sa leve strane, pod “Status” panelom trebalo bi da pronađete “Last updated” datum.

    Ovaj datum indukuje kada se desilo poslednje čekiranje sa update izvorom i u sync-u.
  • Kontaktirajte Vaš IT sektor ako imate bilo kakvih sumnji i nedoumica.
BotnetVaš računar je već zaražen sa malverom, a da toga niste ni svesni. Tako uklučeni u botnet, malver ima svrhu “upgrade” komande koja omogućava prevarantima da ažuriraju, zamene ili da dodaju novi malver na Vaš računar.Obezbedite da su svi vaši računari ažurirani i da im je aktivirano kompletno lokalno skeniranje ili skeniranje putem konzole.
Propust u operativnom sistemu ili softveruMalver koristi sigurnosne propuste u operativnom sistemu računara ili u instaliranim aplikacijama.Obezbedite da su svi vaši računari redovno ažurirani sa Microsoft zakrpama. Delovanje’Windows Update’ lokalno na regularnoj bazi je veoma važno. IT administratorima možemo ponuditi Sophos Patch sa kojim možete skenirati računare i utvrditi nedostajuće OS i softverske zakrpe.

Šta ako…

Ukoliko ste ipak imali nesreću da budete žrtva ransomware malvera, Sophos Vam može pomoći. Neophodno je da imate barem jedan originalni fajl i kriptovani fajt, koji moraju biti identične veličine, zatim Vam treba alat u kom ćete imati administrativna prava. Još jedan uslov se postavlja, a to je da dekriptovani fajl mora biti veći od 4KB. Kada alat proveri Vaš kriptovan i nekriptovan fajt, tada će skeniranjem probati da pronađe originalni fajl i da ga povrati. Evo i koraka:

  1. Preuzmite (Download) Sophos Ransomware Decrypter Tool:
    http://downloads.sophos.com/misc/RansomDecrypter.zip
  2. Otpakujte sadržaj iz Zip-ovanog fajla u neki od Vaših foldera. Fajl pod nazivom RansomDecrypter.exe će biti ekstrakovan.
  3. Pokrenite aplikaciju RansomDecrypter.exe Pročitajte i prihvatite End-User License Agreement.
  4. Kliknite na Start Scan. Zatim će Vas pitati da locirate kopiju nekriptovanog fajla većeg od 4KB. Jednom kada je fajl lociran, trebate kliknuti Open.
    Napomena: fajl koji ste izabrali mora imati svoj kriptovan fajl.
  5. Sledeće pitanje će se tražiti kriptovanu verziju prethodno odabranog fajla. Izabrani fajl će imati format kriptovanog dokumenta locked-original filename.random 4 character extension. Kada se locira fajl, još jednom kliknite na Open.
  6. Ukoliko ste sve uspešno uradili do sad, pojaviće Vam se još jedno pitanje. Kliknite OK.
  7. Izaberite lokaciju gde bi voleli da alat skenira. Ukoliko niste sigurni gde se fajl nalazi, najbolje je da počnete sa C drajvom u My Computer.
    Napomena: Alat će namerno preskočiti lokacije gde malver ne može da kriptuje fajlove.
  8. Na kraju će Vam biti prikazano koliko je fajlova skenirano i koliko je otključano (dekriptovano). Log fajl sa rezultatima će takođe biti kreiran na istoj lokaciji gde je i alat kao RansomDecrypter-1.0.0.3-YYYY-MM-DD_HH_MM.txt.

Za više informacija o malverima i zaštiti, slobodno kontaktirajte eksperte iz Smart-a, kao regionalnog distributera Sophos proizvoda za zaštitu. Kontakt telefon je 021 47 28 200.

Leave a Reply