Poliţia AVERTIZEAZĂ: O nouă metodă de ÎNŞELĂCIUNE ia amploare. VIRUSUL de tip ”ransomware” face ravagii pe internet

Scris de  Sâmbătă, 26 Septembrie 2015 03:00
Evaluaţi acest articol
(15 voturi)

Ameninţarea informatică de tip ”ransomware” reprezintă la ora actuală clasa cu cea mai rapidă rată de creştere. Clasa de ameninţări de tip ”ransomware” se bazează pe aşa-numiţii ”encriptori” -  troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc.

Pentru a decripta aceste fişiere,  infractorii cibernetici solicită o plată, de multe ori o sumă semnificativă cuprinsă între 300 şi 800 Euro.

Cele mai întâlnite aplicaţii de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker.

Infectare:

- După ce virusul este lansat, acesta se autocopiată în zone ale sistemului de operare şi se adaugă pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit);

Virusul caută toate unităţile fixe, mobile şi de reţea conectate (hard disk-uri interne şi externe, telefoane mobile, servere, stick-uri, carduri de memorie etc) pentru a identifica fişiere ale căror extensii se potrivesc cu cele programate: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt;

- Pasul următor este să cripteze fişierele găsite. Metodele de criptare sunt: RSA şi AES 265;

- În continuare, afişează o fereastră prin care se solicită răscumpărare şi conţine o listă de fişiere care au fost criptate. De obicei, infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins (monedă digitală creată în anul 2009 care este operată de către o autoritate descentralizată (neguvernamentală);

- Pe desktopul sistemului, virusul setează o imagine relevantă cu text în diferite limbi prin care este descrisă infecţia şi modalitatea prin care fişierele pot fi decriptate;

Această clasă de mallware foloseşte algoritmi de criptare a fişierelor foarte puternici (utilizează chei publice şi private  pe 256 de biţi). Fără a avea la dispoziţie cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fişierelor  în forma lor iniţială.

Propagare

Această clasă de mallware poate fi distribuită prin mai multe metode:

- Site-uri rău intenţionate sau site-uri legitime compromise care odată accesate, instalează aplicaţia prin procese ascunse;

- Transmiterea de mesaje electronice care conţin ataşamente infectate sau link-uri către site-uri care instalează automat mallware. Un exemplu de astfel de email este genul care vă păcăleşte făcându-vă să credeţi că a fost transmis de la o companie de livrări care spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reuşit. Un astfel de mesaj este practic ”irezistibil” şi după deschiderea şi accesarea link-ului sau ataşamentului, virusul se autoinstalează în sistemul dvs;

- Aplicaţia poate fi descărcată manual, utilizatorul fiind păcălit că, de fapt, instalează ”software folositor”.

Soluţii

- Protejaţi-vă sistemele informatice prin instalarea unor aplicaţii antivirus recunoscute şi actualizaţi-le frecvent!Soluţiile antivirus gratuite sau promoţionale oferite online nu sunt recomandate.

- Dacă nu folosiţi opţiunea Windows de acces la distanţă (remote desktop), dezactivaţi-o!

- Activaţi opţiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor!

- Nu dezactivaţi opţiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows!

- Verificaţi cu atenţie expeditorii mesajelor electronice înainte de a le deschide!

- Blocaţi orice trafic online către următoarele domenii: yoyosasa.com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com!

- Nu accesaţi site-uri care nu prezintă încredere şi nu daţi click pe link-uri primite de la surse necunoscute!

- Nu descărcaţi programe care nu prezintă încredere sau software piratat!

- Creaţi copii de rezervă ale fişierelor şi păstraţi-le pe servere de tip Cloud sau pe suporţi de stocare a datelor detaşabili pe care să-i utilizaţi numai cand fişierele vă sunt necesare!

Citit 3768 ori Ultima modificare Vineri, 25 Septembrie 2015 16:34

1 comentariu