Ransomware: [email protected]

Foto:

Recent, utilizatorii din România se confruntă cu o nouă amenințare cibernetică de tip ransomware, care, odată ce reușește infectarea unui sistem, criptează fișierele stocate pe acesta și afișează un mesaj prin care le solicită utilizatorilor plata unei recompense pentru de-criptarea acestora.

Fișierele criptate au o extensie modificată ce conține un ID al victimei și adresa de email[email protected], de forma:

<nume_fișier_original>[email protected]

După criptarea fișierelor, imaginea de fundal (wallpaper) este schimbată cu o imagine prin care li se comunică utilizatorilor că fișierele lor au fost criptate și trebuie să-i contacteze pe atacatori la adresele de email[email protected], sau [email protected], pentru a-și răscumpăra fișierele.

Descriere

Conform informațiilor deținute până în prezent, acest malware se răspândește fie prin mesaje email de tip SPAM care conțin atașamente sau URL-uri malițioase (spear phishing), fie prin intermediul unor reclame malițioase afișate pe diferite site-uri web vizitate de victime (malvertising).

Odată instalat, malware-ul contactează un server de comandă și control (C&C) de unde va primi o cheie de criptare pe 32 de biți, urmând s-o folosească pentru criptarea fișierelor de pe mediile de stocare atașate, sau din locațiile partajate prin rețea (share). S-a observat faptul că sunt criptați doar primii 30.000 de octeți (bytes) ai unui fișier.

Până în acest moment au fost identificate următoarele informații referitoare la serverul de comandă și control utilizat de malware:

IP: 213.165.73.123

URL: http://lucciosanto.com/script.php, http://buzzer1999.it/script.php

În timpul procesului de criptare, pentru a preveni rularea a două instanțe ale aceluiași program în memorie, malware-ul creează un mutex (mutual exclusion object) cu denumirea:

23ce0127-5e35-4b9a-aa2d-5dab6efc8905

Odată finalizat procesul de criptare, malware-ul se șterge și lasă în urmă doar imaginea de fundal menționată anterior. Acest comportament este menit să prevină analizarea ulterioară a fișierului binar.

Măsuri de remediere

În cazul în care constatați sau aveți suspiciunea că PC-ul dumneavoastră a fost infectat cu acest malware, vă recomandăm să efectuați următoarele operațiuni:

1.        Deconectați urgent toate mediile de stocare externe conectate la PC  (stick de memorie, card de memorie, hard disk extern etc.), de-conectați cablul de rețea și dezactivați orice alte conexiuni de rețea (WiFi, 3G etc.);

2.        [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, sau încercarea de a recupera cheia de criptare din memorie, realizați cât mai rapid o captură de memorie (RAM), utilizând o unealtă specializată, precum DumpIT:

http://www.moonsols.com/wp-content/plugins/download-monitor/download.php?id=7;

3.        Opriți PC-ul (shutdown);

4.        [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, realizați o copie (imagine) a hard-disk-ului de pe care rulează sistemul de operare, utilizând o unealtă specializată, precum dd:

https://en.wikipedia.org/wiki/Dd_%28Unix%29;

5.        Porniți PC-ul utilizând un sistem de operare care se încarcă de pe un CD/DVD sau USB (LiveCD, LiveUSB), majoritatea distribuțiilor de Linux moderne oferind această facilitate. Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost compromise (criptate);

6.        Utilizați una sau mai multe soluții de securitate antivirus/antimalware pentru scanarea PC-ului și dezinfectare acestuia;

7.        Încercați recuperarea unor versiuni anterioare ale fișierelor compromise, folosind tehnologia Shadow Copy din sistemele de operare Windows. Acest lucru este posibil numai dacă sistemul are activată facilitatea System Restore. Puteți utiliza facilitatea nativă “Previous Versions” (click dreapta pe fișier – Properties – Previous Versions) sau o unealtă specializată, precum ShadowExplorer:

http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe;

8.        Încercați recuperarea fișierelor compromise utilizând o unealtă specializată de tip „Data Recovery”. Există o gamă variată de unelte de acest gen, inclusiv gratuite;

9.        Încercați recuperarea fișierelor compromise utilizând unealta RakhniDecryptor dezvoltată și oferită în mod gratuit de compania de securitate Kaspersky Lab:

http://support.kaspersky.com/viruses/disinfection/10556;

10.    [Opțional] Re-instalați complet sistemul de operare. Aceasta este singura metodă prin care puteți fi siguri că sistemul nu mai conține malware sau rămășițe de malware.

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

Măsuri de prevenție

Pentru a preveni infectarea cu software malițios precum cel descris mai sus, CERT-RO recomandă tuturor utilizatorilor să manifeste atenție și precauție la modul de utilizare și operare a sistemelor informatice și să întreprindă următoarele măsuri:

• Realizați regulat copii de siguranță ale datelor (backup) care să fie păstrate pe medii de stocare ne-conectate în permanență la sistemele informatice, pentru a evita inclusiv compromiterea acestora;
• Utilizați soluții antivirus/antimalware eficiente și actualizate;
• Actualizați sistemele de operare și aplicațiile utilizate, inclusiv Windows, suita Office, aplicațiile de navigare pe Internet (browser), Adobe Reader;
• Evitați pe cât posibil utilizarea programelor Flash Player și Java în browser, sau cel puțin mențineți-le actualizate și activați-le doar la nevoie;
• Nu instalați/utilizați software piratat sau care provine din surse nesigure (precum site-urile de partajare fișiere P2P);
• Nu deschideți mesajele email venite de la surse nesigure (expeditor necunoscut, subiect și conținut suspect) și a link-urilor sau atașamentelor conținute de acestea;
• Nu accesați reclamele web afișate pe diferite site-uri, mai ales atunci când vizitați site-uri mai puțin cunoscute.