CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

CryptoLocker – o nouă eră a cutremurelor informatice

Este vorba despre o nouă şi deosebit de periculoasă ameninţare pentru computere. Virusul CryptoLocker îmbracă o formă nouă de piraterie pe oceanul Internet, prin care se criptează fişierele de date şi apoi se cere o taxă de recuperare.

CryptoLocker a fost în luna septembrie 2013 vedeta numărul 1  în jungla informatică numită Internet pentru faptul că acest virus ia ca ostateci toate fişierele cu date promiţând „eliberarea” lor în cazul plăţii unei sume de bani. Cyber Spaţiul a fost invadat de temutul virus CryptoLocker care a început infectarea computerelor din întreaga lume.

Sunt patru lucruri importante de ştiut despre acest virus:

  1. Virusul este în principal răspandit prin e-mail, folosind imagini sau link-uri pentru a păcăli utilizatorul să ruleze malware-ul. E-mailurile infectate conţin fie un ataşament, fie un link pentru download. În cele mai multe cazuri email-urile sunt deghizate sub forma unei surse de livrare a unui serviciu sau sub formă de notificare.
  2. Când un computer este infectat, virusul va încerca să cripteze toate fişierele de pe hard disc, împreună cu orice discuri partajate mapate sau dispozitive USB.
  3. Deoarece datele sunt criptate de virus cu o cheie privată externă puternică, nu există nici o modalitate de a le decripta. Virusul va prezenta o opţiune de a plăti pentru decriptarea fişierelor. Plata nu reprezintă nici o garanţie că veţi avea acces la datele dumneavoastră şi că în viitor nu vi se va solicita o sumă şi mai mare.
  4. Singura posibilitatea de recuperare este prin restaurarea fişierelelor dintr-un backup anterior infectării, după eliminarea virusului de pe calculator.Crypto Locker este un virus de tip Ransomware, un tip de malware ce face un computer parţial sau integral neoperabil şi care promite că va şterge infecţia şi va reda funcţionalitatea calculatorului dacă victima va efectua un transfer de bani în contul bancar al criminalului IT. Spre deosebire de alte forme de Ransomware, care în ciuda reputaţiei lor de temut sunt în general inofensive şi destul de uşor de eliminat de către specialişti, sunt imposibil de inversat efectele CryptoLocker cu un software standard antivirus.

CryptoLocker nu este un software de tip virus în sensul clasic, consacrat, de până acum. Din acest motiv un antivirus obişnuit nu-l poate detecta. Ştergerea lui de pe computerul infectat nu rezolvă problema ci o adânceşte, iar efectele sale nu pot fi restaurate decât printr-un proces costisitor, mare consumator de timp şi de resurse la nivel de sistem. Acest lucru înseamnă pierderi uriaşe pentru firme, deoarece poate fi blocat întregul proces productiv o perioadă însemnată.

Există însă mai multe moduri prin care poţi fi infectat cu CryptoLocker. Cel mai frecvent întâlnite sunt:

  • deschiderea unui ataşament dintr-un e-mail
  • vizitarea unor site-uri web false sau compromise
  • prin descărcarea de conţinut sau software video
  • prin instalarea software-lui adiţional al unor pachete freeware, care pun bare suplimentare în browsere, aplicaţii de întreţinere a calculatorului, antiviruşi falşi, motoare de căutare care le înlocuiesc pe cele originale.

Criptarea fişierelor cu date de către CryptoLocker

Odată ce infecteaza un calculator, CryptoLocker utilizând metodele puternice RSA 2048 și AES 256, cu o pereche de chei, una publică stocată local şi una privată, stocată pe un server aleator, criptează fişierele cu date. Astfel, documentele Office, clipurile video, fotografiile, fişierele CAD, PDF, bazele de date DBF, toate devin inaccesibile. În final, când totul este criptat, apare un ecran de roşu care informează utilizatorii despre situaţia lor. Li se acordă 72 de ore pentru plata către creatorul malware-ului de a unei sume, de regulă 300$. După cele 72 de ore cheia de criptare privată de pe serverul remote se şterge, fişierele fiind inaccesibile pentru totdeauna. La fel se procedează şi dacă virusul este şters de pe computer. Diabolic, nu-i aşa?

crypto-locker virus pirat

crypto-locker virusul pirat

Deşi eliminarea virusului in sine CryptoLocker este relativ uşoară, singura modalitate de a decripta fişiere afectate de CryptoLocker este de a plăti de fapt răscumpărarea 300$ – ceea ce nu recomand. Sunt persoane care spun că au primit datele înapoi cu acest preţ. Cu toate acestea, din punct de vedere moral, a răspunde cerinţelor creatorilor de viruşi, care nu sunt altceva decât infractoril cibernetici, nu este o idee bună. În opinia mea nu trebuie încurajat un astfel de comportament. Nu numai că nu trebuie recompensat un comportament rău, ci nu există nici o garanţie că infractorii nu se vor întoarce la computerul infectat, după cum au promis sau că nu vor cere şi mai mulţi bani în viitor. Regula e clară: cu bandiţii nu se negociază!

Din păcate, pentru unele persoane şi mici afaceri nepregătite, infectarea aceasta e echivalentă cu un dezastru, identic cu un incendiu, cutremur sau calamitate care distruge datele vitale. După cum spun cei care au întâlnit acest tip de malware, singura metodă de a vă proteja şi a fi capabili de a recupera datele de la CryptoLocker, în faţa acestor noi tipuri de ameninţări, ce se vor îndesi în viitor,  trebuie să fie acţiunea în avans – adică prevenţia. Pentru a neutraliza efectul de taifun al lui CryptoLocker, oamenii, micile afaceri, instituţiile şi organizaţiile suficient de norocoase să nu fi fost infectate încă, ar trebui să facă:

  • Backup-uri regulate ale tuturor datelor importante, eventual cu un proces automatizat.
  • Să se asigure că pe toate computerele lor au System Restore pornit (care să permită restaurarea versiunilor anterioare ale fişierelor criptate). Această opţiune în sine poate fi o altă vulnerabilitate însă, în special în timpul devirusării, datorită conservării virusului în System Volume Information.
  • Să implementeze filtre firewall, sisteme de prevenire a intruziunilor, sisteme anti-spam şi număr minim de bare de butoane în browsere, pe toate computerele si serverele administrate
  • Să instruiască utilizatorii pentru a se evita deschiderea e-mail-urilor, a ataşamentelor (în special a fişierele zip) şi a link-urilor din e-mailuri atunci când nu sunt siguri de legitimitatea mesajului
    • Recomand să nu deschideţi ataşamentele de e-mail în cazul oricărei din următoarele situaţii:
      • dacă nu recunoaşteţi expeditorul
      • dacă nu recunoaşteţi formatul de fişier
      • dacă email-ul pare inţial a fi de la o companie legitimă (FedEx, Wells Fargo, UPS) dar cu care nu aveţi relaţii de colaborare, nu asteptaţi corespondenţă de la ei sau nu aţi utilizat niciodată adresa de e-mail cu acele companii.
  • Să evitaţi utilizarea serviciilor de e-mail publice nesigure de la Yahoo, Google , Microsoft şi AOL la locul de muncă
  • Să sporească atenţia la clic-urile pe link-uri, să nu descărcţi nimic de pe Internet, mai ales de pe social media.
  • Să păstraţi softul de bază actualizat la ultimele versiuni (Windows, Adobe, Java, Mozilla, IE, Chrome)
  • Să nu utilizaţi în reţea calculatoare care nu au un antivirus activ, cu semnăturile la zi
  • Să utilizaţi sisteme de filtrare a e-mail-urilor
  • Să revizuiţi politicile de securitate ale computerului sau reţelei
  • Să nu lucraţi în mod curent în conturi cu drept de administrator

Lista fişierelor afectate de Crypto Locker:

Până la această dată, au fost semnalate următoarele tipuri de fişiere afectate:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Nu vă amăgiţi!

Nu există metodă sigură de recuperare a fişierelor criptate. Nici un software antivirus nu este 100 % sigur. Cele mai multe soluţii anti-virus sunt capabile să identifice şi să prevină infecţia după câteva permutări cunoscute ale virusului. Acest lucru este dificil pentru că noi tulpini de virus sunt realizate în timp foarte scurt cu generarea de variante cu nume aleatoriu, greu de detectat. Unele rapoarte estimează că la fiecare câteva minute apare o noua variantă.

SOLUŢIA ÎMPOTRIVA VIRUSULUI CRYPTOLOCKER:

Backup! Backup! Backup!… Paranoia Backup!

ATENŢIE! Back-upul pe aceeaşi unitate de disc (arhivat) nu presupune eliminarea riscului, ci doar reducerea lui.

În industria IT e mai bine să previi, decât să combaţi – întocmai ca şi în medicină.

PS Ştiu că citeşti acest material… după. Măcar învaţă lecţia şi ajută şi pe alţii să nu treacă prin aşa ceva. Dacă consideri că articolul este util, lasă un comentariu şi înştiinţează-ţi prietenii şi cunoscuţii cu o apăsare de buton.

Îţi mulţumesc pentru vizită!

Share

2 Responses to CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

  • Eugen says:

    Teodor, ma bucur ca ai pus aceasta intrebare.
    Am incercat CryptoPrevent si am constatat ca nu este eficient in orice conditii, pe orice sistem de operare. Cu alte cuvinte, nu m-as baza pe el. Prefer sa imi modific singur si neechivoc, manual, politica locala de securitate, ceea ce invoca si el ca face.

    E de-a dreptul tragic sa fii victima. DOAR back-up te poate salva.

    Nu se pot bloca mecanismele de criptare pt ca fac parte din sistemul de operare iar CryptoPrevent nu stiu sa faca vre-ul log al tentativelor (esuate) de infectare.

  • Teodor Nica says:

    Vorbind de prevenție, vă întreb ce părerere aveți despre
    CryptoPrevent, care poate fi găsit la http://www.foolishit.com/vb6-projects/cryptoprevent/ și pe care l-am folosit.
    Nu am fost până acum victima unui atac Ransomware dar cred că blocarea mecanismelor de criptare pe care le folosește piratul face parte din primele măsuri de apărare pe care trebuie să le ia un navigator pe internet.
    Sper ca cititorii Dv. să nu cadă victimele lui CryptoLocker sau, eventual, să constate că au fost protejați de CryptoPrevent.
    Cu stimă,
    T.N.

Subscribe to our Newsletter

Anunţă prietenii

Share

RSS Stiri şi Evenimente din Oradea

  • Meci de polo caritabil de Crăciun 2017, pentru Vladimir, CSM DIGI Oradea vs Juniorii Clubului Progress 14/12/2017
    Vrem să vă vedem și pe voi în tribune.    14 Decembrie 2017 09:15  Evenimente Oradea vă lansează invitația de a veni Luni, 18 Decembrie 2017, de la ora 18:00, la meciul de polo caritabil organizat pentru susținerea cazului „Vladimir Angelman”. Mai toți știți câtă nevoie de noi are atât Vladimir cât și părinții lui, […]
  • Locuri de muncă vacante în Bihor: 13 – 19 Decembrie 2017 14/12/2017
    Sute de job-uri disponibile în județ.   14 Decembrie 2017 08:19 Dacă vă căutați un loc de muncă sau pur și simplu doriți să consultați ofertele disponibile pe piața muncii din Bihor, Agenția Județeană pentru Ocuparea Forței de Muncă (AJOFM) Bihor a emis o nouă listă a posturilor disponibile. În perioada 13 – 19 Decembrie 2017, în Bihor angajatorii dispun de […]
  • De vizitat: „Revoluția în imagini” la Muzeul Cetății și orașului Oradea 13/12/2017
    O nouă expoziție pe meterezele Muzeului Cetății   13 Decembrie 2017 18:00 În această Vineri, 15 Decembrie 2017, orele 12:00 suntem invitați în Palatul Princiar, Corp B, etaj II, sala 13, la vernisajul expoziției „Revoluția în imagini”. Invitația vine din partea Muzeul Cetății și Orașului Oradea, care în colaborare cu orădenii, a reușit să strângă fotografii […]
  • Încep depunerile cererilor de proiecte! 13/12/2017
    Proiectele pot deveni realitate.   13 Decembrie 2017 16:15 Începând cu data de 18 Decembrie 2017, Grupul de Acţiune Locală (GAL)Bihor de pe lângă Frontiera cu Ungaria dă startul primei sesiuni de cereri de proiecte. Cei care pot beneficia de sprijinul financiar nerambursabil pentru realizarea proiectului sunt entitățile publice (autorităţi publice locale şi asociaţiile acestora), […]
  • Concert de colinde special pentru vârstnicii singuri 13/12/2017
    Să nu-i uităm pe cei care ne-au îngrjit cu drag.   13 Decembrie 2017 14:59 Ca şi anul trecut, şi anul acesta, solistul de muzică populară ardelenească Ioan Bocșa, alături de Ansamblul de muzică tradițională românească „Icoane” a umplut de bucurie sufletele bunicilor de la Centrul de reintegrare de pe strada Vămii. Grupul de studenți și profesori […]