Član
- Učlanjen(a)
- 05.01.2012
- Poruka
- 62
Cryptolocker ransomware inficirao PC računare
Najgori oblik ransomware-a do sada je zarazio oko četvrt miliona Windows računara, navodi se u izveštaju bezbednosnih istraživača.
Cryptolocker šifruje podatke korisnika, a zatim zahteva naknadu da opozovete to šifrovanje uz odbrojavanje sata. Dell Secureworks navodi da je situacija najgora u SAD i Velikoj Britaniji. Takođe se navodi da su sajber kriminalci sada ciljaju kućne korisnike nakon što su se inicijalno fokusirali na poslovne korisnike. Ova firma je dostavila spisak Web domena za koji se smatra da su korišćeni za širenje koda, ali se upozorava da se situacija menja iz dana u dan.
Ovakav vid štetnih softvera postoji najranije od 1989. godine, ali ovaj najnoviji primer je posebno problematičan zbog načina na koji čini fajlove nedostupnim. “Umesto da koristi prilagođenu kriptografsku implementaciju kao i mnogi drugi zlonamerni softveri, Cryptolocker koristi jaku, nezavisnu sertifikovanu kriptografiju koju nudi Microsoft CryptoAPI,“ navodi se u izveštaju.
“Korišćenjem implementacije zvuka i sledeći najbolje prakse, autori malware-a su stvorili snažan program koji je teško zaobići.“ Prve verzije Cryptolocker-a pojavile su se na netu 5. septembra. Rani primeri širili su se preko spam mejlova koji zahtevaju od korisnika da klikne na ZIP arhivu identifikovanu kao žalbu kupca organizaciji primaoca. Kasnije je distribuiran preko malware u prilogu e-pošte koji tvrdi da je došlo do problema obrade čekova.
Klikom na dati link preuzima se trojanac pod nazivom Gameover Zeus, koji zauzvrat instalira na računaru žrtve Cryptolocker. Do sredine decembra, Dell Secureworks je naveo da je zaraženo između 200.000 i 250.000 računara. Od toga, „najmanje 0,4%, a verovatno i mnogo više“ složilo se sa zahtevom za otkup, koji trenutno može biti plaćen samo preko Bitcoin i MoneyPak servisa.
“Navodi žrtava koje su izabrale da plate otkupninu ukazuju na to da Cryptolocker obezbeđuje plaćanje instrukcija za dešifrovanje datoteka i deinstaliranje malware-a“, navodi Dell Secureworks. Pored toga, navodi se da plaćanje može da se izvrši u okviru nekoliko minuta ili proces može trajati i nekoliko nedelja.
Međutim, Trend Micro, druga firma za bezbednost, upozorava da povinovanje zahtevu za otkup samo dodatno ohrabruje dalje širenje Cryptolocker-a i sličnih štetnih softver, i tvrdi da nema garancija za dobijanje podataka nazad.
Dell predlaže da računari budu blokirani i da ne bude dozvoljena komunikacija sa velikim brojem naziva domena koji se povezuju sa širenjem Cryptolocker-a, a predloženo je i pet koraka kojih bi svi korisnici trebalo da se pridržavaju: instaliranje softvera koji blokira izvršna polja i kompresovane arhive pre nego što stignu do e-mail sandučića, proveravanje dozvole dodeljene deljenom mrežnom disku da ograniči broj ljudi koji mogu da vrše modifikacije, redovno vršenje back-up podataka na sredstva skladištenja van mreže, kao što su Blu - Ray i DVD-ROM diskovi.
Diskovi prikačeni na mrežu i cloud servis ne računaju se budući da Cryptolocker može tamo pristupiti i izvršiti šifrovanje datoteke koje je tamo uskladištena. Sledeći korak je podešavanje seta alata za upravljanje softverom tako da spreči Cryptolocker i druge sumnjive programe da pristupe određenim kritičnim direktorijumima. Takođe je veoma važno izvršiti podešavanje Group Policy Objects da se ograniče ključevi registra - baze podataka koje sadrže podešavanja koja koristi Cryptolocker tako da je malware u stanju da započne proces šifrovanja.
It svet
Najgori oblik ransomware-a do sada je zarazio oko četvrt miliona Windows računara, navodi se u izveštaju bezbednosnih istraživača.
Cryptolocker šifruje podatke korisnika, a zatim zahteva naknadu da opozovete to šifrovanje uz odbrojavanje sata. Dell Secureworks navodi da je situacija najgora u SAD i Velikoj Britaniji. Takođe se navodi da su sajber kriminalci sada ciljaju kućne korisnike nakon što su se inicijalno fokusirali na poslovne korisnike. Ova firma je dostavila spisak Web domena za koji se smatra da su korišćeni za širenje koda, ali se upozorava da se situacija menja iz dana u dan.
Ovakav vid štetnih softvera postoji najranije od 1989. godine, ali ovaj najnoviji primer je posebno problematičan zbog načina na koji čini fajlove nedostupnim. “Umesto da koristi prilagođenu kriptografsku implementaciju kao i mnogi drugi zlonamerni softveri, Cryptolocker koristi jaku, nezavisnu sertifikovanu kriptografiju koju nudi Microsoft CryptoAPI,“ navodi se u izveštaju.
“Korišćenjem implementacije zvuka i sledeći najbolje prakse, autori malware-a su stvorili snažan program koji je teško zaobići.“ Prve verzije Cryptolocker-a pojavile su se na netu 5. septembra. Rani primeri širili su se preko spam mejlova koji zahtevaju od korisnika da klikne na ZIP arhivu identifikovanu kao žalbu kupca organizaciji primaoca. Kasnije je distribuiran preko malware u prilogu e-pošte koji tvrdi da je došlo do problema obrade čekova.
Klikom na dati link preuzima se trojanac pod nazivom Gameover Zeus, koji zauzvrat instalira na računaru žrtve Cryptolocker. Do sredine decembra, Dell Secureworks je naveo da je zaraženo između 200.000 i 250.000 računara. Od toga, „najmanje 0,4%, a verovatno i mnogo više“ složilo se sa zahtevom za otkup, koji trenutno može biti plaćen samo preko Bitcoin i MoneyPak servisa.
“Navodi žrtava koje su izabrale da plate otkupninu ukazuju na to da Cryptolocker obezbeđuje plaćanje instrukcija za dešifrovanje datoteka i deinstaliranje malware-a“, navodi Dell Secureworks. Pored toga, navodi se da plaćanje može da se izvrši u okviru nekoliko minuta ili proces može trajati i nekoliko nedelja.
Međutim, Trend Micro, druga firma za bezbednost, upozorava da povinovanje zahtevu za otkup samo dodatno ohrabruje dalje širenje Cryptolocker-a i sličnih štetnih softver, i tvrdi da nema garancija za dobijanje podataka nazad.
Dell predlaže da računari budu blokirani i da ne bude dozvoljena komunikacija sa velikim brojem naziva domena koji se povezuju sa širenjem Cryptolocker-a, a predloženo je i pet koraka kojih bi svi korisnici trebalo da se pridržavaju: instaliranje softvera koji blokira izvršna polja i kompresovane arhive pre nego što stignu do e-mail sandučića, proveravanje dozvole dodeljene deljenom mrežnom disku da ograniči broj ljudi koji mogu da vrše modifikacije, redovno vršenje back-up podataka na sredstva skladištenja van mreže, kao što su Blu - Ray i DVD-ROM diskovi.
Diskovi prikačeni na mrežu i cloud servis ne računaju se budući da Cryptolocker može tamo pristupiti i izvršiti šifrovanje datoteke koje je tamo uskladištena. Sledeći korak je podešavanje seta alata za upravljanje softverom tako da spreči Cryptolocker i druge sumnjive programe da pristupe određenim kritičnim direktorijumima. Takođe je veoma važno izvršiti podešavanje Group Policy Objects da se ograniče ključevi registra - baze podataka koje sadrže podešavanja koja koristi Cryptolocker tako da je malware u stanju da započne proces šifrovanja.
It svet
