Cum previi infectările cu ransomware, temuţii viruşi care criptează date şi cer taxă de răscumpărare

Autori: Aurelian Mihai, Liviu - Andrei Mihai 15.03.2015
Cum previi infectările cu ransomware, temuţii viruşi care criptează date şi cer taxă de răscumpărare

Una dintre cele mai periculoase forme de malware, vizând în mod direct datele utilizatorilor cu scopul estorcării unor sume de bani care pot ajunge la mii de dolari în cazul companiilor desemnate de hackeri ca fiind ţinte cu potenţial, ransomware-ul  prezintă provocări majore pentru producătorii antivirus, nevoiţi să apeleze la euristici agresive pentru a se asigura că utilizatorii nu le sunt afectaţi. Din păcate oricât de bun ar fi programul antivirus folosit, recuperarea tuturor fişierelor compromise in urma infectării cu ransomware nu este deloc garantată, prevenţia rămânând singura metodă de protecţie cu adevărat eficace.

Un tip de malware capabil să şteargă colecţia de poze şi documente din memoria dispozitivului, lăsând în urmă versiuni criptate care pot fi deschise numai cu ajutorul unei chei de acces, ransomware-ul reprezintă varianta digitală a jafurilor cu luare de ostateci.

Dacă primele forme de ransomware apelau la metode relativ rudimentare, criptând fişierele utilizatorilor folosind chei de criptare unice, relativ uşor de recuperat pentru producători antivirus, care au şi furnizat utilitare pentru dezinfectare capabile să recupereze integral fişierele blocate, nu acelaşi lucru poate fi spus despre variantele mult mai sofisticate (ex. Cryptowall), care generează chei de criptare unice pentru fiecare dispozitiv infectat, pe care te trimit mai departe unui server de colectare aflat în posesia atacatorilor. De cele mai multe ori fişierele criptate în acest mod nu mai pot fi recuperate, prejudiciul adus utilizatorilor şi companiile afectate fiind considerabil.

Mesajul afişat de malware-ul Cryptowall

În funcţie de variantă, această formă de malware poate fi răspândită exploatând vulnerabilităţi ale browser-ului web, declanşate la vizitarea unui website compromis, sau prin instalarea din neatenţie a unei extensii sau componentă plugin propusă la vizitarea unui website. O altă modalitate mai puţin în trend, dar foarte eficace de executare automată a viruşilor pe computerele victimelor şi de criptare a conţinutului acestora, este ataşarea fişierelor infectate la mesaje email formulate convingător, uneori chiar personalizate pentru ţinta aleasă. Aceasta este şi metoda preferată de Cryptowall, o versiune avansată a Cryptolocker care criptează documentele din computerele infectate şi cere apoi bani de la utilizator, în schimbul cheii de decriptare. Fişierul infectat ataşat la mesajul email foloseşte extensia .chm, asociată formatului HTML compilat – un tip de fişier aparent inofensiv, folosit în mod normal pentru a livra manuale de utilizare şi aplicaţii software. În realitate, aceste fişiere sunt interactive şi rulează o serie de tehnologii ce includ JavaScript, putând redirecţiona utilizatorul către o adresă externă. După simpla deschidere a fişierului .chm acesta execută diverse acţiuni în mod independent, scopul final fiind producerea unei infectări.

Fişier .CHM livrat ca ataşament la un mesaj email

Relativ nou apărut şi foarte periculos, Trojan.DownLoad3.35539 (variantă CTB-Locker) este răspândit prin mesaje email ca ataşament în arhivă ZIP, conţinând un fişier cu extensie .SCR. Dacă fişierul este deschis, programul infectat extrage pe hard disk un document RTF pe care îl afişează pe ecran. Între timp, în fundal este descărcat programul de criptare de pe un server aflat sub controlul atacatorilor. Odată decomprimat şi pornit, acesta  trece la scanarea dispozitivelor de stocare în căutarea documentelor personale ale utilizatorului, pe care le sechestrează înlocuind originalul cu versiuni criptate. Odată ce misiunea a fost îndeplinită, utilizatorul este întâmpinat cu un mesaj solicitând plata unei taxe de răscumpărare.

Mesajul afişat de Trojan.DownLoad3.35539

Cum previi infecţia cu Cryptowall şi alte forme de ransomware similare

Urmând recomandările experţilor BitDefender, utilizatorii de rând şi administratorii de sistem pot diminua considerabil riscul de infectare, cât şi daunele provocate de aceasta, ţinând cont de câteva reguli de bază:

  • Foloseşte o soluţie de securitate informatică actualizată constant şi capabilă de scanare activă
  • Programează back-up-ul fişierelor – local (pe unul sau mai multe hard disk-uri externe ce nu rămân conectate permanent la PC sau în reţeaua locală), sau folosind un serviciu de stocare cloud
  • Evită vizitarea site-urilor necunoscute, nu accesa link-uri sau fişiere incluse ca ataşament la mesaje email cu origine incertă şi nu furniza informaţii personale pe chat-uri publice sau forumuri. Uneori, este posibil ca mesaje cu ataşamente infectate să fie primite inclusiv de la adrese cunoscute, dacă PC-ul aflat la celălalt capăt a fost compromis, sau adresa email a fost adăugată în mod abuziv la câmpul Expeditor.
  • Implementează/activează o soluţie de blocare a reclamelor şi filtre antispam
  • Foloseşte un web browser cu suport pentru virtualizare, sau dezactivează complet suportul pentru redarea de conţinut Flash
  • Angajatorii ar trebui să-şi instruiască angajaţii privind identificarea tentativelor de inginerie socială şi phishing folosind mesaje email

 

De asemenea, administratorii de sistem trebuie să întărească politicile de grup pentru a bloca execuţia virusului din locaţii specifice. Acest lucru poate fi realizat pe Windows Professional sau Windows Server Edition.

Cum arată editorul Local Security Policy

Opţiunea Software Restriction Policies poate fi găsită în editorul Local Security Policy. După accesarea butonului New Software Restriction Policies de sub Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate ’’Dissallowed’’:

  • “%username%\\Appdata\\Roaming\\*.exe”
  • “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe”
  • C:\\\\*.exe
  • “%temp%\\*.exe”
  • “%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
  • “%userprofile%\\*.exe”
  • “%username%\\Appdata\\*.exe”
  • “%username%\\Appdata\\Local\\*.exe”
  • “%username%\\Application Data\\*.exe”
  • “%username%\\Application Data\\Microsoft\\*.exe”
  • “%username%\\Local Settings\\Application Data\\*.exe”

Folosirea acestor mecanisme ar trebui să limiteze sau să blocheze Cryptowall, însă pentru şi mai multă protecţie, Bitdefender ne propune Cryptowall Immunizer. Acţionând ca mecanism suplimentar de protecţie ce funcţionează în paralel cu soluţia antivirus pornită permanent, utilitarul permite utilizatorilor să-şi imunizeze computerele şi să blocheze orice încercare de criptare a fişierelor înainte ca aceasta să aibă loc.