CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

CryptoLocker – o nouă eră a cutremurelor informatice

Este vorba despre o nouă şi deosebit de periculoasă ameninţare pentru computere. Virusul CryptoLocker îmbracă o formă nouă de piraterie pe oceanul Internet, prin care se criptează fişierele de date şi apoi se cere o taxă de recuperare.

CryptoLocker a fost în luna septembrie 2013 vedeta numărul 1  în jungla informatică numită Internet pentru faptul că acest virus ia ca ostateci toate fişierele cu date promiţând „eliberarea” lor în cazul plăţii unei sume de bani. Cyber Spaţiul a fost invadat de temutul virus CryptoLocker care a început infectarea computerelor din întreaga lume.

Sunt patru lucruri importante de ştiut despre acest virus:

  1. Virusul este în principal răspandit prin e-mail, folosind imagini sau link-uri pentru a păcăli utilizatorul să ruleze malware-ul. E-mailurile infectate conţin fie un ataşament, fie un link pentru download. În cele mai multe cazuri email-urile sunt deghizate sub forma unei surse de livrare a unui serviciu sau sub formă de notificare.
  2. Când un computer este infectat, virusul va încerca să cripteze toate fişierele de pe hard disc, împreună cu orice discuri partajate mapate sau dispozitive USB.
  3. Deoarece datele sunt criptate de virus cu o cheie privată externă puternică, nu există nici o modalitate de a le decripta. Virusul va prezenta o opţiune de a plăti pentru decriptarea fişierelor. Plata nu reprezintă nici o garanţie că veţi avea acces la datele dumneavoastră şi că în viitor nu vi se va solicita o sumă şi mai mare.
  4. Singura posibilitatea de recuperare este prin restaurarea fişierelelor dintr-un backup anterior infectării, după eliminarea virusului de pe calculator.Crypto Locker este un virus de tip Ransomware, un tip de malware ce face un computer parţial sau integral neoperabil şi care promite că va şterge infecţia şi va reda funcţionalitatea calculatorului dacă victima va efectua un transfer de bani în contul bancar al criminalului IT. Spre deosebire de alte forme de Ransomware, care în ciuda reputaţiei lor de temut sunt în general inofensive şi destul de uşor de eliminat de către specialişti, sunt imposibil de inversat efectele CryptoLocker cu un software standard antivirus.

CryptoLocker nu este un software de tip virus în sensul clasic, consacrat, de până acum. Din acest motiv un antivirus obişnuit nu-l poate detecta. Ştergerea lui de pe computerul infectat nu rezolvă problema ci o adânceşte, iar efectele sale nu pot fi restaurate decât printr-un proces costisitor, mare consumator de timp şi de resurse la nivel de sistem. Acest lucru înseamnă pierderi uriaşe pentru firme, deoarece poate fi blocat întregul proces productiv o perioadă însemnată.

Există însă mai multe moduri prin care poţi fi infectat cu CryptoLocker. Cel mai frecvent întâlnite sunt:

  • deschiderea unui ataşament dintr-un e-mail
  • vizitarea unor site-uri web false sau compromise
  • prin descărcarea de conţinut sau software video
  • prin instalarea software-lui adiţional al unor pachete freeware, care pun bare suplimentare în browsere, aplicaţii de întreţinere a calculatorului, antiviruşi falşi, motoare de căutare care le înlocuiesc pe cele originale.

Criptarea fişierelor cu date de către CryptoLocker

Odată ce infecteaza un calculator, CryptoLocker utilizând metodele puternice RSA 2048 și AES 256, cu o pereche de chei, una publică stocată local şi una privată, stocată pe un server aleator, criptează fişierele cu date. Astfel, documentele Office, clipurile video, fotografiile, fişierele CAD, PDF, bazele de date DBF, toate devin inaccesibile. În final, când totul este criptat, apare un ecran de roşu care informează utilizatorii despre situaţia lor. Li se acordă 72 de ore pentru plata către creatorul malware-ului de a unei sume, de regulă 300$. După cele 72 de ore cheia de criptare privată de pe serverul remote se şterge, fişierele fiind inaccesibile pentru totdeauna. La fel se procedează şi dacă virusul este şters de pe computer. Diabolic, nu-i aşa?

crypto-locker virus pirat

crypto-locker virusul pirat

Deşi eliminarea virusului in sine CryptoLocker este relativ uşoară, singura modalitate de a decripta fişiere afectate de CryptoLocker este de a plăti de fapt răscumpărarea 300$ – ceea ce nu recomand. Sunt persoane care spun că au primit datele înapoi cu acest preţ. Cu toate acestea, din punct de vedere moral, a răspunde cerinţelor creatorilor de viruşi, care nu sunt altceva decât infractoril cibernetici, nu este o idee bună. În opinia mea nu trebuie încurajat un astfel de comportament. Nu numai că nu trebuie recompensat un comportament rău, ci nu există nici o garanţie că infractorii nu se vor întoarce la computerul infectat, după cum au promis sau că nu vor cere şi mai mulţi bani în viitor. Regula e clară: cu bandiţii nu se negociază!

Din păcate, pentru unele persoane şi mici afaceri nepregătite, infectarea aceasta e echivalentă cu un dezastru, identic cu un incendiu, cutremur sau calamitate care distruge datele vitale. După cum spun cei care au întâlnit acest tip de malware, singura metodă de a vă proteja şi a fi capabili de a recupera datele de la CryptoLocker, în faţa acestor noi tipuri de ameninţări, ce se vor îndesi în viitor,  trebuie să fie acţiunea în avans – adică prevenţia. Pentru a neutraliza efectul de taifun al lui CryptoLocker, oamenii, micile afaceri, instituţiile şi organizaţiile suficient de norocoase să nu fi fost infectate încă, ar trebui să facă:

  • Backup-uri regulate ale tuturor datelor importante, eventual cu un proces automatizat.
  • Să se asigure că pe toate computerele lor au System Restore pornit (care să permită restaurarea versiunilor anterioare ale fişierelor criptate). Această opţiune în sine poate fi o altă vulnerabilitate însă, în special în timpul devirusării, datorită conservării virusului în System Volume Information.
  • Să implementeze filtre firewall, sisteme de prevenire a intruziunilor, sisteme anti-spam şi număr minim de bare de butoane în browsere, pe toate computerele si serverele administrate
  • Să instruiască utilizatorii pentru a se evita deschiderea e-mail-urilor, a ataşamentelor (în special a fişierele zip) şi a link-urilor din e-mailuri atunci când nu sunt siguri de legitimitatea mesajului
    • Recomand să nu deschideţi ataşamentele de e-mail în cazul oricărei din următoarele situaţii:
      • dacă nu recunoaşteţi expeditorul
      • dacă nu recunoaşteţi formatul de fişier
      • dacă email-ul pare inţial a fi de la o companie legitimă (FedEx, Wells Fargo, UPS) dar cu care nu aveţi relaţii de colaborare, nu asteptaţi corespondenţă de la ei sau nu aţi utilizat niciodată adresa de e-mail cu acele companii.
  • Să evitaţi utilizarea serviciilor de e-mail publice nesigure de la Yahoo, Google , Microsoft şi AOL la locul de muncă
  • Să sporească atenţia la clic-urile pe link-uri, să nu descărcţi nimic de pe Internet, mai ales de pe social media.
  • Să păstraţi softul de bază actualizat la ultimele versiuni (Windows, Adobe, Java, Mozilla, IE, Chrome)
  • Să nu utilizaţi în reţea calculatoare care nu au un antivirus activ, cu semnăturile la zi
  • Să utilizaţi sisteme de filtrare a e-mail-urilor
  • Să revizuiţi politicile de securitate ale computerului sau reţelei
  • Să nu lucraţi în mod curent în conturi cu drept de administrator

Lista fişierelor afectate de Crypto Locker:

Până la această dată, au fost semnalate următoarele tipuri de fişiere afectate:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Nu vă amăgiţi!

Nu există metodă sigură de recuperare a fişierelor criptate. Nici un software antivirus nu este 100 % sigur. Cele mai multe soluţii anti-virus sunt capabile să identifice şi să prevină infecţia după câteva permutări cunoscute ale virusului. Acest lucru este dificil pentru că noi tulpini de virus sunt realizate în timp foarte scurt cu generarea de variante cu nume aleatoriu, greu de detectat. Unele rapoarte estimează că la fiecare câteva minute apare o noua variantă.

SOLUŢIA ÎMPOTRIVA VIRUSULUI CRYPTOLOCKER:

Backup! Backup! Backup!… Paranoia Backup!

ATENŢIE! Back-upul pe aceeaşi unitate de disc (arhivat) nu presupune eliminarea riscului, ci doar reducerea lui.

În industria IT e mai bine să previi, decât să combaţi – întocmai ca şi în medicină.

PS Ştiu că citeşti acest material… după. Măcar învaţă lecţia şi ajută şi pe alţii să nu treacă prin aşa ceva. Dacă consideri că articolul este util, lasă un comentariu şi înştiinţează-ţi prietenii şi cunoscuţii cu o apăsare de buton.

Îţi mulţumesc pentru vizită!

Share

2 Responses to CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

  • Eugen says:

    Teodor, ma bucur ca ai pus aceasta intrebare.
    Am incercat CryptoPrevent si am constatat ca nu este eficient in orice conditii, pe orice sistem de operare. Cu alte cuvinte, nu m-as baza pe el. Prefer sa imi modific singur si neechivoc, manual, politica locala de securitate, ceea ce invoca si el ca face.

    E de-a dreptul tragic sa fii victima. DOAR back-up te poate salva.

    Nu se pot bloca mecanismele de criptare pt ca fac parte din sistemul de operare iar CryptoPrevent nu stiu sa faca vre-ul log al tentativelor (esuate) de infectare.

  • Teodor Nica says:

    Vorbind de prevenție, vă întreb ce părerere aveți despre
    CryptoPrevent, care poate fi găsit la http://www.foolishit.com/vb6-projects/cryptoprevent/ și pe care l-am folosit.
    Nu am fost până acum victima unui atac Ransomware dar cred că blocarea mecanismelor de criptare pe care le folosește piratul face parte din primele măsuri de apărare pe care trebuie să le ia un navigator pe internet.
    Sper ca cititorii Dv. să nu cadă victimele lui CryptoLocker sau, eventual, să constate că au fost protejați de CryptoPrevent.
    Cu stimă,
    T.N.

Subscribe to our Newsletter

Anunţă prietenii

Share

RSS Stiri şi Evenimente din Oradea

  • Temperaturile scad și revin la cote normale! Meteo 20 – 27 Octombrie 2017 20/10/2017
    Temperaturi obișnuite pentru această perioadă!   20 Octombrie 2017 18:03 În acest weekend încă mai avem parte de temperaturi plăcute și soare, însă, de luni, se reîntorc zilele reci și ploile, astfel că ne vom relua umbrelele și paltonașele puțin mai groase. Confițiile meteorologice prognozate pentru următoarele zile sunt: Vineri, 20 Octombrie 2017: temperatura maximă […]
  • Centenar Mărăşti – Mărăşeşti – Oituz, vernisaj expoziție și prelegeri istorice, în Oradea! 20/10/2017
    În cinstea unor momente importante.   20 Octombrie 2017 16:55 Biblioteca Județeană „Gheorghe Șincai” din Oradea va găzdui vernisajul expoziției, dar și prelegerea istorică dedicată Centenarului „Mărăşti – Mărăşeşti – Oituz”. Manifestarea are loc Marți, 24 Octombrie 2017, de la ora 12:00 – în holul bibliotecii va fi deschisă expoziția, iar mai apoi, în amfiteatrul […]
  • Duminică, meci de fotbal Club Atletic Oradea – Progresul Sâniob 20/10/2017
    Sportivii orădenii au nevoie de susținerea noastră!   20 Octombrie 2017 14:10 La finalul acestei săptămâni avem invitația de a participa la un meci de fotbal pe Stadionul Municipal „Iuliu Bodola” din Oradea. Duminică, 22Octombrie 2017, de la ora 15:00, Clubul „Atletic” (CA) Oradea joacă împotriva formației Progresul Sâniob. Partida este importantă pentru Liga a V-a, […]
  • Sâmbătă: premiere la Şcoala de Arte ,,Francisc Hubic” 20/10/2017
    Talentul nu rămâne nerăsplătit.   20 Octombrie 2017 11:30 Datorită participării exemplare la concursul de muzică clasică ,,Virtuózok”, din Ungaria, Mészáros Levente va fi premiat Sâmbătă, 21 Octombrie 2017, ora 11:00, la Şcoala de Arte ,,Francisc Hubic” de baritonul Molnár Levente. Mészáros Levente, absolvent al clasei de canto clasic din cadrul Şcolii de Arte ,,Francisc […]
  • De vizitat: Expoziţia de artă contemporană „REPERAJ 2” 20/10/2017
    Invitaţie pentru fiecare dintre noi.   20 Octombrie 2017 09:23 Sâmbătă, 21 Octombrie 2017, ora 18:00, la Galeria de Artă din Cetatea Oradea, Corp C va avea loc vernisajul expoziţiei de artă contemporană „REPERAJ 2”. Lucrările expuse aparţin unor plasticieni din ţară: Oradea, Cluj, Iaşi, Bucureşti şi străinătate: Ungaria şi Germania cum ar fi: Corina […]