Vizand in mod direct datele utilizatorilor cu scopul sustragerii unor sume mari de bani, una dintre cele mai periculoase forme de malware, ransomware-ul prezinta provocari majore pentru producatorii antivirus, fortati sa apeleze la procedee metodologice agresive pentru a se asigura ca utilizatorii nu sunt afectati. Din nefericire, oricat de bun ar fi programul antivirus utilizat, recuperarea tuturor fisierelor compromise in urma infectarii cu ransomware nu este deloc garantata, preventia mentinandu-se unica modalitate de protectie cu adevarat eficace.
Un tip de malware capabil sa stearga colectia de poze si documente din memoria dispozitivului, lasand in urma versiuni criptate care pot fi deschise doar prin intermediul unei chei de acces, ransomware-ul reprezinta varianta digitala a jafurilor cu luare de ostatici.
Daca cele dintai forme de ransomware apelau la metode relativ rudimentare, criptand fisierele utilizatorilor folosind chei de criptare unice, relativ facil de recuperat pentru producatorii antivirus, care au furnizat utilitare pentru dezinfectare, capabile sa recupereze in mod integral fisierele blocate, nu acelasi lucru poate fi spus despre variantele mult mai sofisticate (ex. Cryptowall), care genereaza chei de criptare unice pentru fiecare dispozitiv infectat, pe care le trimit mai departe unui server de colectare aflat in posesia atacatorilor. De cele mai multe ori, fisierele criptate in acest mod nu mai pot fi recuperate, prejudiciul adus utilizatorilor si companiilor afectate fiind considerabil.
In functie de versiune, aceasta forma de malware poate fi raspandita exploatand vulnerabilitati ale browser-ului web, activate la vizitarea unui website compromis, sau prin instalarea din greseala a unei extensii sau componenta plugin propusa la vizitarea unui website. O alta modalitate mai putin cunoscuta de executare automata a virusilor pe computerele victimelor si de criptare a continutului acestora este atasarea fisierelor infectate la mesaje email formulate convingator, uneori chiar personalizate pentru tinta aleasa. Aceasta este metoda preferata de Cryptowall, o versiune avansata a Cryptolocker, care cripteaza documentele din computerele infectate si, apoi, cere bani de la utilizator, in schimbul cheii de decriptare. Fisierul infectat, atasat la mesajul email, utilizeaza extensia .chm, asociata formatului HTML compilat, un tip de fisier aparent inofensiv, folosit in mod normal pentru a livra manuale de utilizare si aplicatii software. De fapt, aceste fisiere sunt interactive si ruleaza o serie de tehnologii ce includ JavaScript, avand posibilitatea de a redirectiona utilizatorul catre o adresa externa. Dupa simpla deschidere a fisierului .chm, acesta executa diverse actiuni in mod independent, obiectivul final fiind producerea unei infectari.
Relativ nou, Trojan.DownLoad3.35539 (varianta CTB-Locker) este raspandit prin mesaje email, ca atasament in arhiva ZIP, continand un fisier cu extensie .SCR. Daca fisierul este deschis, programul infectat extrage pe hard disk un document RTF pe care il afiseaza pe display. Intre timp, in background, este downloadat programul de criptare de pe un server aflat sub controlul atacatorilor. Odata decomprimat si activat, acesta trece la scanarea dispozitivelor de stocare in căutarea documentelor personale ale utilizatorului, pe care le sechestreaza, substituind originalul cu versiuni criptate. Dupa ce misiunea a fost indeplinita, utilizatorul este anuntat printr-un mesaj ca trebuie sa faca plata pentru rascumpararea datelor personale.
Cum previi infectarea cu Cryptowall si cu alte forme de ransomware similare?
Urmand indicatiile expertilor BitDefender, utilizatorii obisnuiti si administratorii de sistem pot diminua considerabil riscul de infectare, cat si pagubele provocate de aceasta, tinand cont de cateva reguli de baza:
- Utilizeaza o solutie de securitate informatica actualizata in mod constant si capabila de scanare activa.
- Programeaza back-up-ul fisierelor pe unul sau mai multe hard disk-uri externe ce nu raman conectate permanent la PC sau in reteaua locala sau folosind un serviciu de stocare cloud.
- Evita vizitarea site-urilor necunoscute, nu accesa link-uri sau fisiere incluse ca atasament la mesaje email cu origine nesigura si nu furniza informatii personale pe chat-uri publice sau forum-uri. Cateodata, este posibil ca mesaje cu atasamente infectate sa fie primite inclusiv de la adrese cunoscute, daca PC-ul aflat la celalalt capat a fost compromis, sau adresa email a fost adaugata abuziv la campul Expeditor.
- Implementeaza/activeaza o solutie de blocare a reclamelor, precum si filtre antispam.
- Foloseste un web browser cu suport pentru virtualizares sau dezactiveaza complet suportul pentru redarea de continut Flash.
- Angajatorii ar trebui sa isi instruiasca angajatii in ceea ce priveste identificarea tentativelor de inginerie sociala si phishing, folosind mesaje email.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"
Totodata, administratorii de sistem trebuie sa consolideze politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional sau Windows Server Edition. Optiunea Software Restriction Policies poate fi intalnita in editorul Local Security Policy. Dupa accesarea butonului New Software Restriction Policies de sub Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate “Dissallowed”:
Utilizarea acestor mecanisme ar trebui sa limiteze sau sa blocheze Cryptowall, dar pentru o mai multa protectie, Bitdefender ne propune Cryptowall Immunizer. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu solutia antivirus activata in mod permanent, utilitarul permite utilizatorilor sa isi imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor, inainte ca aceasta sa aiba loc.