Παρασκευή, 8 Νοεμβρίου 2013

CryptoLocker , CryptorBit , CryptoDefence - Επικίνδυνοι ιόι που κλειδώνουν τα αρχεία σας - ΚΑΘΑΡΙΣΜΟΣ - ΑΦΑΙΡΕΣΗ - ΑΝΤΙΜΕΤΩΠΙΣΗ

CryptoLocker , CryptorBit , CryptoDefence - Επικίνδυνοι ιόι που κλειδώνουν τα αρχεία σας  - ΚΑΘΑΡΙΣΜΟΣ - ΑΦΑΙΡΕΣΗ - ΑΝΤΙΜΕΤΩΠΙΣΗ

Το κακόβουλο λογισμό είναι μια έννοια συνυφασμένη με την πληροφορική εδώ και πάρα πολλά χρόνια. Τα είδη των κακόβουλων προγραμμάτων έχουν εξελιχθεί από τον απλό ιό που δεν άφηνε τον υπολογιστή να ξεκινήσει, σε κάτι το οποίο είναι σχετικά καινούργιο και πολύ επικίνδυνο στα "προγράμματα πληρωμής λύτρων" (ransomware). Τα προγράμματα πληρωμής λύτρων δημιουργούν μια κατάσταση ομηρίας στον υπολογιστή σας - πρόσφατο παράδειγμα ο "ιός της αστυνομίας" ο οποίος δεν επέτρεπε την πρόσβαση στον υπολογιστή σας έως ότου να πληρώσετε το "πρόστιμο" που σας αναλογούσε.

Cryptolocker

Αυτές τις μέρες εντοπίστηκε ένα νέο κακόβουλο πρόγραμμα πληρωμής λύτρων το Cryptolocker, το οποίο κλειδώνει τα προσωπικά σας αρχεία και ζητάει λεφτά για να τα ξεκλειδώσει. Το πρόγραμμα αυτό δεν πρέπει να το αγνοήσετε, μιας και κρυπτογραφεί τα αρχεία σας δημιουργώντας ένα AES κλειδί 256 bit. Αυτό το κλειδί χρησιμοποιεί την μεθοδολογία του δημόσιου/ιδιωτικού κλειδιού, έχοντας το ένα στον υπολογιστή σας και το άλλο σε κάποιο διακομιστή που χρησιμοποιεί ο "απαγωγέας".

Το κλειδί λόγω της πολυπλοκότητας του αλγόριθμου δεν είναι δυνατόν να σπαστεί η να γίνει προσπάθεια παραβίασης με την μέθοδο bruteforce αφού θα χρειαζόταν άπειρος χρόνος για κάτι τέτοιο λόγω του μεγάλου αριθμού πιθανών συνδυασμών.

Μία μέθοδος με την οποία μπορεί να σώσετε τα αρχεία σας είναι η άμεση επαναφορά συστήματος πατώντας το F8 δείτε εδώ για οδηγίες.

http://windows.microsoft.com/el-gr/windows7/products/features/system-restore

Η επαναφορά συστήματος μπορεί και να μην έχει κανένα αποτέλεσμα.



Το μήνυμα που βλέπει ο χρήστης

Ο τρόπος με τον οποίο μολύνεται ο υπολογιστής σας είναι μέσω κοινωνικής μηχανικής (εξαπάτησης), μιας και ο χρήστης-θύμα λαμβάνειένα μήνυμα ηλεκτρονικού ταχυδρομείου από έναν δήθεν δυσαρεστημένο πελάτη, ο οποίος του έχει επισυνάψει ένα αρχείο το οποίο τον προτρέπει να ανοίξει να διαβάσει το λόγο για τον οποίο είναι δυσαρεστημένος. Όπως καταλαβαίνετε, το κακόβουλο πρόγραμμα αυτό απευθύνεται σε εργασιακά περιβάλλοντα των οποίων η απώλεια αρχείων κοστίζει περισσότερα από τα $300 τα οποία ζητάει ο "απαγωγέας" για να σας δώσει το ιδιωτικό κλειδί το οποίο θα ξεκλειδώσει τα αρχεία σας. Το πρόγραμμα λοιπόν το οποίο ανοίγει ο χρήστης που δέχεται την επίθεση, είναι στην ουσία ένα πρόγραμμα ανάκτησης αρχείων από το διαδίκτυο (downloader) το οποίο και κατεβάζει το Cryptolocker, το οποίο σαρώνει όλους τους δίσκους στον υπολογιστή σας, ακόμα και τους δικτυακούς για αρχεία τύπου *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c και θα καταγράψει τα αρχεία τα οποία έχει κρυπτογραφήσει στο HKEY_CURRENT_USER\Software\CryptoLocker\Files, καταχώρηση που θα χρησιμοποιήσει μετά για να δείξει στο χρήστη ποια αρχεία έχουν κλειδώσει και να επιταχύνει την διαδικασία αποκρυπτογράφησης.

ΠΡΟΣΟΧΗ: Το επικίνδυνο με το συγκεκριμένο πρόγραμμα απαγωγής αρχείων δεν είναι τόσο ότι θα δε θα έχετε πρόσβαση στα αρχεία σας, αλλά αν δεν πληρώσετε σε προκαθορισμένο χρόνο, τότε το πρόγραμμα θα προχωρήσει στην διαγραφή των αρχείων σας από τον σκληρό σας δίσκο.

- Αυτό που προτείνεται από τις εταιρίες καταπολέμησης κακόβουλων προγραμμάτων καθώς και από πεπειραμένους χρήστες στο διαδίκτυο είναι η ύπαρξη αντίγραφου ασφαλείας το οποίο δεν θα το έχετε συνδεδεμένο πουθενά(offline backup), μιας και ακόμα δεν έχει βρεθεί κάποια μέθοδος καταπολέμησης της συγκεκριμένης απειλής.

- Επίσης κάντε backup ιδιαίτερα σημαντικά αρχεία ένα ακόμα αντίγραφο σε DVD

- Μην ανοίγετε e-mail με ύποπτο περιεχόμενο ακόμα και όταν ο αποστολέας είναι γνωστός.

- Επίσης πρέπει να έχετε πάντα ενημερωμένο τον browser και τον flash player. Όσον αφορά την java κλειστή κατά την περιήγηση στο διαδίκτυο (addon για FF: QuickJava) και ένα antimalware με real time έλεγχο των αρχείων και οποιασδήποτε ύποπτης συμπεριφοράς (πχ malwarebytes) το οποίο θα λειτουργεί παράλληλα με το antivirus.

- Σε καμία περίπτωση μην πληρώσετε το ποσό! Σε κάποιους έχει λειτουργήσει και έχουν επανέλθει τα αρχεία (για μικρό χρονικό διάστημα και μετά κλειδώνουν ξανά) και σε κάποιους δεν λειτούργησε


Ενας τρόπος που παρέχει αρκετή προστασία ώστε να μην μολυνθεί ο υπολογιστής σας είναι το παρακάτω πρόγραμμα

Για την καταπολέμηση του CryptoLocker και του Zbot πρέπει να δημιουργήσετε κανόνες αποκλεισμού (Path Rules( ώστε να μην επιτρέπεται η εκτέλεση τους. Για να δημιουργήσετε αποκλεισμού λογισμικού, μπορείτε να το κάνετε μόνοι σας (που δεν είναι εύκολο για απλούς χρήστες) η μπορείτε να χρησιμοποιήσετε το CryptoPrevent.



Πως να χρησιμοποιήσετε το CryptoPrevent Tool:

Η FoolishIT LLC δημιούργησε ένα δωρεάν πρόγραμμα για που αυτόματα δημιουργεί κανόνες αποκλεισμού λογισμού στο σύστημα σας. Είναι πολύ εύκολο στη χρήση για λειτουργικά συστήματα Windows XP SP 2 και άνω και εμποδίζει το CryptoLocker και το Zbot να εγκατασταθούν στο σύστημα σας.



CryptoPrevent

CryptoPrevent

Το CryptoPrevent έχει και την επιλογή whitelist για το προσθέσετε ήδη υπάρχοντα προγράμματα στις τοποθεσίες %AppData% η %LocalAppData%. Αυτή η επιλογή θα εξασφαλίσει ότι οι περιορισμοί δεν θα επηρεάσουν αξιόπιστες εφαρμογές που ήδη υπάρχουν στον υπολογιστή μας. Για την χρησιμοποιήσετε την επιλογή επιλέξτε την λειτουργία Whitelist EXEs already located in %appdata% / %localappdata% πριν πατήσετε την επιλογή Block.

Μπορείτε να κατεβάσετε το CryptoPrevent από την παρακάτω σελίδα:

    http://www.foolishit.com/download/cryptoprevent/

Για περισσότερες πληροφορίες πως να χρησιμοποιήσετε το CryptoPrevent δείτε την παρακάτω σελίδα:

    http://www.foolishit.com/vb6-projects/cryptoprevent/

Μόλις τρέξετε το πρόγραμμα απλά κάντε κλικ στην επιλογή Block για να προσθέσετε τους κανόνες περιορισμού λογισμικού. Αν το CryptoPrevent προκαλεί προβλήματα σε αξιόπιστες εφαρμογές τότε δείτε παραπάνω πως να ενεργοποιήσετε συγκεκριμένες εφαρμογές. Μπορείτε επίσης να απενεργοποιήσετε τους κανόνες περιορισμού κάνοντας κλικ στην επιλογή Undo button.


Παρακάτω μπορείτε να διαβάσετε περισσότερα για το πως λειτουργεί το κακόβουλο πρόγραμμα CryptoLocker καθώς και τρόπους αντιμετώπισής του.

http://blog.emsisoft.com/2013/09/10/cryptolocker-a-new-ransomware-variant/

http://www.bleepingcomputer.com/forums/t/506924/cryptolocker-hijack-program/


CryptorBit

Στο ίδιο μοτίβο με τον CryptoLocker και τον CryptoDefense, ένας τρίτος ιος που ζητάει λύτρα (ransomware) το Cryptobit έκανε την εμφάνιση του. Το CryptorBit κρυπτογραφεί τα αρχεία σας και ζητούσε αρχικά $500 σε Bitcoins, αν και τώρα έχει ρίξει πολύ τις απαιτήσεις του μετά την υποτίμηση του Bitcoin.



Χρησιμοποιώντας μεθόδους για να πείσει του χρήστες, εγκαθίσταται στον υπολογιστή π.χ μέσω ενός ψεύτικου μηνύματος για εγκατάσταση αναβάθμισης στο Flash Player η μέσω ψεύτικου προγράμματος antivirus. Αφού εγκατασταθεί το CryptorBit καταστρέφει τα πρώτα 512 η 1024 bytes από όλα τα αρχεία δεδομένων ανεξάρτητα απο την κατάληξη τους (.jpg .mp3. .avi)

To Cryptobit παρακάμπτει την πολιτική ασφαλείας του συστήματος (Group Policy settings) που έχει δημιουργηθεί για να προστατεύει το σύστημα από τέτοια μόλυνση (δείτε παραπάνω στο Cryptolocker) Το Cryptobit επίσης εγκαθιστά στο σύστημα λογισμικό cryptocoin miner για να αντλήσει ψηφιακά νομίσματα και να τα αποθηκεύσει στο ψηφιακό πορτοφόλι του δημιουργού του.

Το CryptorBit εμφανίστηκε πέρισυ τον Δεκέμβριο και μετά από αναβάθμιση του λογισμικού του οι επιθέσεις αυξάνονται. Οπως και στον Cryptolocker το Antivirus δεν μπορεί να προσφέρει σημαντική προστασία.

Ο ιός μπορεί να απομακρυνθεί με ασφάλεια από το σύστημα είτε με την επαναφορά του συστήματος η με το Malwarebytes η το Kaspersky Resque Disk αλλά δεν υπάρχει ακόμα ολοκληρωμένος τρόπος επαναφοράς των κρυπτογραφημένων σας αρχείων.

 
CryptorDefense

Το CryptoDefense είναι το τρίτο ransomware πρόγραμμα που κυκλοφόρησε γύρω στα τέλη του Φλεβάρη 2014, που απευθύνεται σε όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8 Όταν ένας υπολογιστής έχει προσβληθεί, η μόλυνση θα εκτελέσει τις ακόλουθες ενέργειες.:



Συνδέεται με το διακομιστή διοίκησης και ελέγχου (command and control) και ανεβάζει το ιδιωτικό κλειδί σας.

Διαγράφει όλα τα σκιώδη αντίγραφα των windows (shadow copies), έτσι ώστε δεν μπορείτε να επαναφέρετε τα αρχεία σας. Αυτό σημαίνει ότι μπορείτε να επαναφέρετε τα αρχεία σας μόνο αν κρατούσατε bakcup σε κάποιο εξωτερικό δίσκο ή να πληρώνοντας τα λύτρα, χωρίς και αυτό να είναι σίγουρο. Σε ορισμένες περιπτώσεις η μόλυνση δεν διαγράφει σκιώδη αντίγραφα και μπορείτε να κάνετε επαναφορά των αρχείων σας.

Εξετάζει τον υπολογιστή σας κρυπτογραφεί τα αρχεία δεδομένων, όπως αρχεία κειμένου, αρχεία εικόνας, αρχεία βίντεο και έγγραφα.

Δημιουργεί ένα στιγμιότυπο από την επιφάνεια εργασίας τωνWindows σας και το φορτώνει στον Server Command & Control. Αυτό το στιγμιότυπο της επιφάνειας εργασίας πρέπει να εισαχθεί στη σελίδα καταβολής των λύτρων για την υπηρεσία αποκρυπτογράφισης.

Δημιουργεί ένα αρχείο How_Decrypt.txt και How_Decrypt.html σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία.. Τα αρχεία HTML και TXT θα περιέχουν οδηγίες για το πώς να αποκτήσετε πρόσβαση σε μια τοποθεσία πληρωμής για να στείλετε τα λύτρα.

Δημιουργεί ένα HKCU \ Software \ <unique ID> \ κλειδί μητρώου και αποθηκεύει διάφορες πληροφορίες διαμόρφωσης σε αυτό. Θα δημιουργήσει επίσης ένα κατάλογο με όλα τα κρυπτογραφημένα αρχεία στο προστατευόμενο κλειδί HKCU \ Software \ <unique ID> \ PROTECTED

H ιστοσελίδα πληρωμής βρίσκεται στο δίκτυο Tor και μπορείτε να κάνετε μόνο την πληρωμή σε Bitcoins. Αν και αυτή η μόλυνση έχει πολλές ομοιότητες με CryptoLocker ή CryptorBit, δεν υπάρχουν ενδείξεις ότι συνδέονται. Για να αγοράσετε το πρόγραμμα αποκρυπτογράφησης θα πρέπει να πληρώσετει $ 500 δολάρια λύτρα Bitcoins. Εάν δεν πληρωθούν τα λύτρα εντός 4 ημερών θα διπλασιαστεί έως $ 1.000 δολάρια. Δηλώνει επίσης, ότι αν δεν αγοράσετε το πρόγραμμα αποκρυπτογράφησης εντός ενός μηνός, που θα διαγράψει το ιδιωτικό κλειδί σας και δεν θα μπορείτε πλέον να αποκρυπτογραφήσετε τα αρχεία σας.

Τονίζουμε πως πληρώνοντας τα λύτρα δεν υπάρχει καμία εγγύηση οτι το κακόβουλο λογισμικό θα ξεκλειδώσει τα αρχεία σας.


Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας RSA-2048 κρυπτογράφησης, το οποίο καθιστά αδύνατη την αποκρυπτογράφηση των αρχείων.


Με βάση πληροφορίες φαίνεται ότι αυτή η μόλυνση εγκαταστάθηκε μέσω προγραμμάτων που προσποιούνται ότι είναι ενημερώσεις του flash player ή αναπαραγωγής βίντεο που απαιτείται για να δείτε ένα βίντεο στο διαδίκτυο. Όταν αυτές οι λήψεις θα εγκαταστήσουν επίσης και πολλά adware προγράμματα μαζί με CryptoDefense. Από στιγμιότυπα από άλλους υπολογιστές που έχουν προσβληθεί, δεν είναι ασυνήθιστο για έχει εγκατασταθεί επίσης και το CryptoDefense ή το CryptorBit.




Αναλαμβάνουμε τον καθαρισμού του υπολογιστή σας από τον ιό και εγκατάσταση Antivirus

Δείτε αναλυτικά της υπηρεσίες που προσφέρουμε εδώ Τηλ. 697-5964828