Oprogramowanie ransomware – wirusy szyfrujące pliki
W ostatnich latach pojawił się nowy typ ataku na użytkowników komputera – kryptowirusy. Swoją działalnością potrafią one zniszczyć owoce pracy użytkownika i uniemożliwić korzystanie z komputera.
Działanie ich polega na szyfrowaniu w tle plików użytkownika z użyciem zaawansowanych algorytmów, a następnie żądanie „okupu” (ang. ransom) za podanie hasła do ich odszyfrowania.
Do infekcji dochodzi na różne sposoby. Najczęściej program instaluje się po otwarciu załączonego do wiadomości email pliku ZIP, PDF, EXE. Wiadomości zawierające wirusa spreparowane są na wyglądające jak wezwanie do zapłaty, informacja od kuriera UPS, DHL, mandat za przekroczenie prędkości i inne chwytliwe treści. Złośliwe oprogramowanie może też zostać wprowadzone do systemu zdalnie poprzez wcześniej zainstalowanego trojana. Zawirusowane pliki można także spotkać na stronach P2P, w serwisach hostujących pliki, na forach jako linki do archiwów z zarażonymi plikami.
Przykładami tego typu szkodliwego oprogramowania są:
Crypt0l0cker (CryptoLocker)
CryptoDefense
CryptoBit
Jeśli już doszło do infekcji
Po infekcji pliki zawierające dokumenty użytkownika są szyfrowane. Do rozszerzenia pliku zostaje dopisane nowe, np. .encrypted, .7z.encrypted, plik nie daje się otworzyć, znikają miniaturki zdjęć.
Proces nie jest natychmiastowy, im więcej posiadamy plików, tym dłużej trwa. Szyfrowana jest większość plików, w których przechowujemy naszą pracę, zdjęcia, muzykę. Nietknięte pozostają jedynie te, bez których nie uruchomi się system operacyjny (między innymi: .exe, .sys, .inf, .ini, .html, .lnk, .bat, .dll).
Na pulpicie pojawiają się pliki DECRYPT_INSTRUCTIONS z rozszerzeniami .url, .txt i .htm. Zawierają one instrukcję postępowania sporządzoną przez cyberprzestępców. Informuje ona o tym, że mamy (z reguły) 4 dni na wpłacenie za pomocą wskazanych serwisów (serwisy) lub przelewu Bitcoinów kwoty z przedziału 100 do 300 dolarów w celu uzyskania hasła do odszyfrowania plików. Użytkownik w przypadku niektórych odmian kryptowirusa informowany jest, że po tym czasie hasło zostanie usunięte z serwera i odszyfrowanie nie będzie możliwe. W praktyce bywa różnie – w niektórych przypadkach po przekroczeniu czasu na wpłatę, pojawia się komunikat o podwyższeniu żądanej sumy pieniędzy.
Dokładnie jest to sformułowane jak poniżej:
„===============================================================================
!!! mamy zaszyfrowane swoje pliki wirusem Crypt0L0cker !!!
===============================================================================
Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy,
dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker.
Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku,
pliki zostaną utracone.
——————————————————————————-
——————————————————————————-
[=] Co się stało z moich plików?
Twoje ważne pliki: zdjęcia, filmy, dokumenty itd zostały zaszyfrowane za
pomocą naszego wirusa Crypt0L0cker. Wirus ten wykorzystuje bardzo silnego
algorytmu szyfrowania RSA-2048. Złamanie algorytmu szyfrowania RSA-2048 jest
niemożliwe bez specjalnego klucza deszyfrowania.
[=] Jak mogę dostać moje pliki z powrotem?
Twoje pliki są teraz bezużyteczne i nieczytelny. Możesz sprawdzić to próbując
je otworzyć. Jedynym sposobem, aby je przywrócić to do korzystania z naszego
specjalnego oprogramowania deszyfrowania. Możesz kupić ten program
deszyfrowania na naszej stronie internetowej”
Sposób postępowania
Jeżeli zostanie zauważony którykolwiek z powyższych symptomów należy JAK NAJSZYBCIEJ WYŁĄCZYĆ KOMPUTER, aby przerwać proces szyfrowania.
Istnieje szereg sposobów, dających zależnie od stopnia zaawansowania procesu szyfrowania, wersji wirusa, ilości plików, wprowadzonych ustawień systemu (np. mechanizm shadow copy).
Ważne jest szybkie i odpowiednio ukierunkowane działanie tak, aby po pierwsze przerwać działanie wirusa, po drugie odzyskać jak najwięcej danych, bez ich uszkodzenia, a po trzecie – usunąć infekcję.
W przypadku zauważenia infekcji, zapraszamy na darmową diagnozę, z pewnością pomożemy! Sprawdzimy, z jakim zagrożeniem mamy do czynienia i podamy możliwe rozwiązania.
Jeśli jeszcze nie doszło do infekcji
Jako że sposób zarażenia należy do typowych, można się przed nim bronić, zachowując podstawowe środki ostrożności, do których należą:
– Nie otwieranie załączników maili nieznanego pochodzenia
– Regularne tworzenie kopii zapasowej na osobnym nośniku odłączonym od komputera po wykonaniu kopii
– Zachowanie czujności przy otwieraniu plików pobranych z sieci
– Szczególnie uważaj na archiwa posiadające hasło
– Posiadanie zaktualizowanego antywirusa działającego w tle
– Nie lekceważenie ostrzeżeń antywirusa,
– Nie wyłączanie osłony antywirusowej na czas instalacji plików pobranych z sieci