CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

CryptoLocker – o nouă eră a cutremurelor informatice

Este vorba despre o nouă şi deosebit de periculoasă ameninţare pentru computere. Virusul CryptoLocker îmbracă o formă nouă de piraterie pe oceanul Internet, prin care se criptează fişierele de date şi apoi se cere o taxă de recuperare.

CryptoLocker a fost în luna septembrie 2013 vedeta numărul 1  în jungla informatică numită Internet pentru faptul că acest virus ia ca ostateci toate fişierele cu date promiţând „eliberarea” lor în cazul plăţii unei sume de bani. Cyber Spaţiul a fost invadat de temutul virus CryptoLocker care a început infectarea computerelor din întreaga lume.

Sunt patru lucruri importante de ştiut despre acest virus:

  1. Virusul este în principal răspandit prin e-mail, folosind imagini sau link-uri pentru a păcăli utilizatorul să ruleze malware-ul. E-mailurile infectate conţin fie un ataşament, fie un link pentru download. În cele mai multe cazuri email-urile sunt deghizate sub forma unei surse de livrare a unui serviciu sau sub formă de notificare.
  2. Când un computer este infectat, virusul va încerca să cripteze toate fişierele de pe hard disc, împreună cu orice discuri partajate mapate sau dispozitive USB.
  3. Deoarece datele sunt criptate de virus cu o cheie privată externă puternică, nu există nici o modalitate de a le decripta. Virusul va prezenta o opţiune de a plăti pentru decriptarea fişierelor. Plata nu reprezintă nici o garanţie că veţi avea acces la datele dumneavoastră şi că în viitor nu vi se va solicita o sumă şi mai mare.
  4. Singura posibilitatea de recuperare este prin restaurarea fişierelelor dintr-un backup anterior infectării, după eliminarea virusului de pe calculator.Crypto Locker este un virus de tip Ransomware, un tip de malware ce face un computer parţial sau integral neoperabil şi care promite că va şterge infecţia şi va reda funcţionalitatea calculatorului dacă victima va efectua un transfer de bani în contul bancar al criminalului IT. Spre deosebire de alte forme de Ransomware, care în ciuda reputaţiei lor de temut sunt în general inofensive şi destul de uşor de eliminat de către specialişti, sunt imposibil de inversat efectele CryptoLocker cu un software standard antivirus.

CryptoLocker nu este un software de tip virus în sensul clasic, consacrat, de până acum. Din acest motiv un antivirus obişnuit nu-l poate detecta. Ştergerea lui de pe computerul infectat nu rezolvă problema ci o adânceşte, iar efectele sale nu pot fi restaurate decât printr-un proces costisitor, mare consumator de timp şi de resurse la nivel de sistem. Acest lucru înseamnă pierderi uriaşe pentru firme, deoarece poate fi blocat întregul proces productiv o perioadă însemnată.

Există însă mai multe moduri prin care poţi fi infectat cu CryptoLocker. Cel mai frecvent întâlnite sunt:

  • deschiderea unui ataşament dintr-un e-mail
  • vizitarea unor site-uri web false sau compromise
  • prin descărcarea de conţinut sau software video
  • prin instalarea software-lui adiţional al unor pachete freeware, care pun bare suplimentare în browsere, aplicaţii de întreţinere a calculatorului, antiviruşi falşi, motoare de căutare care le înlocuiesc pe cele originale.

Criptarea fişierelor cu date de către CryptoLocker

Odată ce infecteaza un calculator, CryptoLocker utilizând metodele puternice RSA 2048 și AES 256, cu o pereche de chei, una publică stocată local şi una privată, stocată pe un server aleator, criptează fişierele cu date. Astfel, documentele Office, clipurile video, fotografiile, fişierele CAD, PDF, bazele de date DBF, toate devin inaccesibile. În final, când totul este criptat, apare un ecran de roşu care informează utilizatorii despre situaţia lor. Li se acordă 72 de ore pentru plata către creatorul malware-ului de a unei sume, de regulă 300$. După cele 72 de ore cheia de criptare privată de pe serverul remote se şterge, fişierele fiind inaccesibile pentru totdeauna. La fel se procedează şi dacă virusul este şters de pe computer. Diabolic, nu-i aşa?

crypto-locker virus pirat

crypto-locker virusul pirat

Deşi eliminarea virusului in sine CryptoLocker este relativ uşoară, singura modalitate de a decripta fişiere afectate de CryptoLocker este de a plăti de fapt răscumpărarea 300$ – ceea ce nu recomand. Sunt persoane care spun că au primit datele înapoi cu acest preţ. Cu toate acestea, din punct de vedere moral, a răspunde cerinţelor creatorilor de viruşi, care nu sunt altceva decât infractoril cibernetici, nu este o idee bună. În opinia mea nu trebuie încurajat un astfel de comportament. Nu numai că nu trebuie recompensat un comportament rău, ci nu există nici o garanţie că infractorii nu se vor întoarce la computerul infectat, după cum au promis sau că nu vor cere şi mai mulţi bani în viitor. Regula e clară: cu bandiţii nu se negociază!

Din păcate, pentru unele persoane şi mici afaceri nepregătite, infectarea aceasta e echivalentă cu un dezastru, identic cu un incendiu, cutremur sau calamitate care distruge datele vitale. După cum spun cei care au întâlnit acest tip de malware, singura metodă de a vă proteja şi a fi capabili de a recupera datele de la CryptoLocker, în faţa acestor noi tipuri de ameninţări, ce se vor îndesi în viitor,  trebuie să fie acţiunea în avans – adică prevenţia. Pentru a neutraliza efectul de taifun al lui CryptoLocker, oamenii, micile afaceri, instituţiile şi organizaţiile suficient de norocoase să nu fi fost infectate încă, ar trebui să facă:

  • Backup-uri regulate ale tuturor datelor importante, eventual cu un proces automatizat.
  • Să se asigure că pe toate computerele lor au System Restore pornit (care să permită restaurarea versiunilor anterioare ale fişierelor criptate). Această opţiune în sine poate fi o altă vulnerabilitate însă, în special în timpul devirusării, datorită conservării virusului în System Volume Information.
  • Să implementeze filtre firewall, sisteme de prevenire a intruziunilor, sisteme anti-spam şi număr minim de bare de butoane în browsere, pe toate computerele si serverele administrate
  • Să instruiască utilizatorii pentru a se evita deschiderea e-mail-urilor, a ataşamentelor (în special a fişierele zip) şi a link-urilor din e-mailuri atunci când nu sunt siguri de legitimitatea mesajului
    • Recomand să nu deschideţi ataşamentele de e-mail în cazul oricărei din următoarele situaţii:
      • dacă nu recunoaşteţi expeditorul
      • dacă nu recunoaşteţi formatul de fişier
      • dacă email-ul pare inţial a fi de la o companie legitimă (FedEx, Wells Fargo, UPS) dar cu care nu aveţi relaţii de colaborare, nu asteptaţi corespondenţă de la ei sau nu aţi utilizat niciodată adresa de e-mail cu acele companii.
  • Să evitaţi utilizarea serviciilor de e-mail publice nesigure de la Yahoo, Google , Microsoft şi AOL la locul de muncă
  • Să sporească atenţia la clic-urile pe link-uri, să nu descărcţi nimic de pe Internet, mai ales de pe social media.
  • Să păstraţi softul de bază actualizat la ultimele versiuni (Windows, Adobe, Java, Mozilla, IE, Chrome)
  • Să nu utilizaţi în reţea calculatoare care nu au un antivirus activ, cu semnăturile la zi
  • Să utilizaţi sisteme de filtrare a e-mail-urilor
  • Să revizuiţi politicile de securitate ale computerului sau reţelei
  • Să nu lucraţi în mod curent în conturi cu drept de administrator

Lista fişierelor afectate de Crypto Locker:

Până la această dată, au fost semnalate următoarele tipuri de fişiere afectate:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Nu vă amăgiţi!

Nu există metodă sigură de recuperare a fişierelor criptate. Nici un software antivirus nu este 100 % sigur. Cele mai multe soluţii anti-virus sunt capabile să identifice şi să prevină infecţia după câteva permutări cunoscute ale virusului. Acest lucru este dificil pentru că noi tulpini de virus sunt realizate în timp foarte scurt cu generarea de variante cu nume aleatoriu, greu de detectat. Unele rapoarte estimează că la fiecare câteva minute apare o noua variantă.

SOLUŢIA ÎMPOTRIVA VIRUSULUI CRYPTOLOCKER:

Backup! Backup! Backup!… Paranoia Backup!

ATENŢIE! Back-upul pe aceeaşi unitate de disc (arhivat) nu presupune eliminarea riscului, ci doar reducerea lui.

În industria IT e mai bine să previi, decât să combaţi – întocmai ca şi în medicină.

PS Ştiu că citeşti acest material… după. Măcar învaţă lecţia şi ajută şi pe alţii să nu treacă prin aşa ceva. Dacă consideri că articolul este util, lasă un comentariu şi înştiinţează-ţi prietenii şi cunoscuţii cu o apăsare de buton.

Îţi mulţumesc pentru vizită!

Share

2 Responses to CryptoLocker – Remarcabilul virus pirat care cere bani pentru eliberarea fişierelor luate ostatic

  • Eugen says:

    Teodor, ma bucur ca ai pus aceasta intrebare.
    Am incercat CryptoPrevent si am constatat ca nu este eficient in orice conditii, pe orice sistem de operare. Cu alte cuvinte, nu m-as baza pe el. Prefer sa imi modific singur si neechivoc, manual, politica locala de securitate, ceea ce invoca si el ca face.

    E de-a dreptul tragic sa fii victima. DOAR back-up te poate salva.

    Nu se pot bloca mecanismele de criptare pt ca fac parte din sistemul de operare iar CryptoPrevent nu stiu sa faca vre-ul log al tentativelor (esuate) de infectare.

  • Teodor Nica says:

    Vorbind de prevenție, vă întreb ce părerere aveți despre
    CryptoPrevent, care poate fi găsit la http://www.foolishit.com/vb6-projects/cryptoprevent/ și pe care l-am folosit.
    Nu am fost până acum victima unui atac Ransomware dar cred că blocarea mecanismelor de criptare pe care le folosește piratul face parte din primele măsuri de apărare pe care trebuie să le ia un navigator pe internet.
    Sper ca cititorii Dv. să nu cadă victimele lui CryptoLocker sau, eventual, să constate că au fost protejați de CryptoPrevent.
    Cu stimă,
    T.N.

Subscribe to our Newsletter

Anunţă prietenii

Share

RSS Stiri şi Evenimente din Oradea

  • O nouă ediție YouthSpeak Forum, săptămâna viitoare la Universitatea din Oradea 21/10/2019
    Dezbateri constructive.   21 Octombrie 2019 13:40 Joi, 31 Octombrie, Biblioteca Universității din Oradea va găzdui conferința YouthSpeak Forum. Aflată la cea de-a doua ediție, ea cuprinde prezentări și dezbateri pe teme de actualitate privind tineretul și dezvoltarea personală și profesională, participanții urmând să aibă în față mai mult speakeri profesioniști. Evenimentul va avea loc […]
  • Classic Unlimited revine în Oradea cu muzică de calitate 21/10/2019
    Cultură pentru toți.   21 Octombrie 2019 10:00 Turneul Classic Unlimited se află la cea de-a treia ediție, iar în acest an pianistul Bogdan Vaida va poposi în Oradea pe 24 Octombrie. Astfel, Joi, începând cu ora 19:00, suntem invitați la două ore de muzică bună în Studio Act, pe strada Crinului 2, în program […]
  • Muzeul Țării Crișurilor ne așteaptă cu expoziții interesante 20/10/2019
    Un complex cultural incitant!   20 Octombrie 2019 10:30 Bihorenii și turiștii au ce vizita în materie de muzee, în orașul nostru! În săptămâna 21 – 27 Octombrie 2019, la Muzeul Ţării Crişurilor – Complex muzeal se pot vizita următoarele expoziţii: În sediul din Str. Armatei Române nr. 1/A: Expoziţia Naţională de Artă Naivă din România, organizată de Asociaţia […]
  • Ai gânduri de nuntă? Trebuie să treci pe la MOJO Wedding Expo, de la ERA Park Oradea! 19/10/2019
    Casă de Piatră!   19 Octombrie 2019 14:00   Se apropie ziua cea mare și încă mai ai multe de pregătit? ERA Park îți sare-n ajutor și dă startul unei noi ediții MOJO Wedding Expo, un super târg de nunți care se va desfășura în perioada 25 – 27 Octombrie, sub cupola centrului comercial. Zeci […]
  • Muzeul Orașului Oradea – Complex Cultural ne așteaptă cu expoziții interesante 19/10/2019
    Un spațiu cultural incitant!   19 Octombrie 2019 10:30   Cetatea Oradea reprezintă un centru cultural complex și găzduiește Muzeul Orașului Oradea. Iată ce expoziții vor putea vizita bihorenii și turiștii în săptămâna  Octombrie 2019: Expoziții temporare: – „Schițe și mecanisme, în realitate și jocuri virtuale. Leonardo da Vinci” – „Jucăriile Epocii de Aur” — „Sibiu 100” […]