Eksperci z firmy ESET ostrzegają przed zagrożeniem typu ransomware, którego wzmożoną działalność zauważyli w Polsce. Złośliwe oprogramowanie CTB-Locker działa w podobny sposób jak znany już CryptoLocker – szyfruje pliki użytkownika znajdujące się na komputerze, a następnie żąda okupu w Bitcoinach.
Złośliwe oprogramowanie CTB-Locker oznaczane jest przez ESET jako Win32/FileCoder.DA. Infekcja zaczyna się w momencie, gdy ofiara otworzy załącznik przypominający fakturę otrzymany w wiadomości e-mail. Plik zawiera konia trojańskiego Win32/TrojanDownloader.Elenoocka.A, który próbuje pobrać kolejne złośliwe oprogramowanie – w tym przypadku CTB-Locker. Po uruchomieniu na urządzeniu ofiary zagrożenie szyfruje poszczególne pliki ze zdjęciami, filmami czy pliki programu Microsoft Word, a następnie wyświetla komunikat z żądaniem okupu. Jeśli ofiara chce przywrócić dostęp do zaszyfrowanych plików, musi zapłacić ok. 8 Bitcoinów, czyli równowartość ok. 6000 złotych.
– Oba zagrożenia, CTB-Locker oraz Cryptolocker, szyfrują pliki na urządzeniu ofiary, jednak różnią się w zakresie wykorzystywanego algorytmu szyfrowania. Warto zwrócić uwagę na skutki, jakie może przynieść ze sobą ta infekcja – zarówno użytkownicy domowi, jak i duże przedsiębiorstwa, jeśli nie utworzyły kopii zapasowej swoich plików, mogą być zmuszone zapłacić tysiące dolarów, by odzyskać swoje dane – mówi Kamil Sadkowski, analityk zagrożeń firmy ESET.
Aby uchronić się przed tego typu atakami, należy zacząć od profilaktyki. Bartłomiej Stryczek, Team Leader ESET przygotował kilka rad, które pozwolą uchronić się przed infekcją:
- Stwórz kopię zapasową swoich plików – zaszyfrowanych plików nie da się rozszyfrować bez znajomości sekretnego klucza, dlatego tak ważne jest robienie kopii swoich plików.
- Aktualizuj oprogramowanie – dzięki systematycznym aktualizacjom możesz mieć pewność, że wszystkie znane luki zostały załatane, co znacząco wpływa na bezpieczeństwo.
- Zachowaj czujność podczas korzystania z sieci – podejrzana strona, nagła zmiana zawartości serwisu WWW lub żądanie podania dodatkowych danych podczas logowania do serwisu powinny wzbudzić twoją czujność.
- Aktualizuj program antywirusowy do najnowszej wersji – dzięki nowej wersji programu, wszystkie zagrożenia są jeszcze skuteczniej wykrywane i blokowane. Nie zapomnij także o aktualizacji bazy sygnatur i komponentów programu udostępnianych przez producenta. Warto również sprawdzić, czy nie są stworzone wykluczenia ze skanowania w konfiguracji programu antywirusowego, w szczególności elementów poczty email, za pomocą której rozprzestrzenia się CTB-Locker. Ważne jest także, aby skanowanie wszystkich i plików i ich rozszerzeń było domyślnie włączone.
- Zachowaj ostrożność – nie otwieraj załączników pochodzących z nieznanych źródeł, a w przypadku wiadomości podszywających się pod faktury – zweryfikuj numer konta jaki jest podany w treści maila. Klienci poszczególnych firm zawsze mają własny indywidualny numer konta, a ten w wiadomościach phishingowych różni się od niego.
źródło: ESET
Kan
To jest zwykły rozbój i bandytyzm. Mnie to spotkało 2 dni temu. Otrzymałem maila z załącznikiem rzekomo od francuskiej firmy z St Denis. Taka firma rzeczywiście istnieje, ale to nie był mail od nich. Otworzyłem załącznik i stało się. Zaszyfrowało mi pliki Worda i zdjęcia. Komputer jest już oczyszczony, ale pliki nadal są zablokowane. Mam nadzieję, że ktoś to rozpracuje i udostępni jakiś program który pomoże ludziom pokrzywdzonym. Nie próbujcie płacić s-synom, to ich tylko rozzuchwala i zachęca. Nie ma żadnej gwarancji, że po zapłaceniu pliki zostaną odblokowane, natomiast mogą pojawić się kolejne próby rabunku i szantażu. Takie bydło powinno być eliminowane, czym powinna zająć się policja lub inne odpowiednie służby.
W pełni podzielam pogląd wyrażony w ostatnim zdaniu komentarza. 😎
Zenek, napisz coś więcej. Jakie miałeś zainstalowane programy zabezpieczające: antywirus, hips, itd. Czy pracujesz na koncie z uprawnieniami administratora?
Jak żyć gdy tyle pułapek czeka na internautów
Poczta normalna w Interii. Antywirusy : Avira [free] i McAfee. Najpierw ściągnąłem mserta. Mielił kilka godzin [skanowanie pełne] i coś wykrył i usunął. Ale okno z żądaniem okupu zostało. Na drugi dzień, jak włączyłem urządzenie to z kolei obudziła się Avira.
Coś wykryła i po naciśnięciu Remove złodziejskie okno zniknęło. A potem to przyszedł zamówiony informatyk, oczyścił kompa i powiedział, że było dużo złych rzeczy [podobno to g-no samo się namnaża. Ale pliki cały czas są zablokowane. Z plikami tekstowymi to jakoś przeżyję. Trochę starych rzeczy i częściowo mogę ponownie ściągnąć z internetu. Najbardziej szkoda mi zdjęć z moich wyjazdów bo to raczej trudne do odtworzenia 🙁
No właśnie a jak program antywirusowy widział go i ostrzegał?
Wystarczy zwykłe konto. Przywrócenie folderów z Shadow copy pozwala uratować część danych o ile jest włączone.
@Zenek spróbuj programów do odzyskiwania danych np. z [ dobreprogramy.pl/Odzyskiwanie-danych,Programy,Windows,224.html] z tego co czytałem ten wirus nie nadpisuje oryginalnych danych po zaszyfrowaniu ( przynajmniej jego wczesne wersje). Więc istnieje jakaś szansa na odzyskanie plików. Jak wiadomo samo skasowanie pliku z dysku nie usuwa go trwale. Spróbuj najpierw darmowych. Godny polecenia jest darmowy program PhotoRec. Zalecany był przy walce o pliki z wcześniejszym szantażystą – CodeGP ( rok 2006). Tutorial do PhotoRec masz tutaj [ http://www.hotfix.pl/odzyskiwanie-danych-zdjec-z-karty-pamieci-i-pendrive-w-photorec-a365.htm ]
@nea Antywirusy często są ślepe i głuche na nowe wersje malware’u, a to dlatego że antywirus wykrywa tylko takie wirusy które zna ( które ma w swojej bazie antywirusowej). A twórcy wirusów stosują różne zabezpieczenia np. szyfrowanie polimorficzne kodu programu, pakery, czy nawet wirtualne kontenery jak np. w pakiecie morphine. Czyli ta sama wersja malware po zabezpieczeniu już jest nie wykrywalna. Wobec tego należy się zainteresować programami typu „Monitory HIPS” – blokery behawioralne. Które analizują zachowanie szkodliwego programu na podstawie jego zachowania a nie sygnatury znanych wirusów.