+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

20 grudnia 2016

CTB-Locker - szyfruje pliki i żąda okupu

Ataki typu ransomware, czyli wymuszające zapłacenie okupu poprzez szyfrowanie ważnych plików, stały się w ostatnich dwóch latach prawdziwą epidemią. Skala ataków rośnie bardzo gwałtownie, bo są bardzo efektywne, a antywirusy często nie wykrywają ich w porę. Prognozy dotyczące rozprzestrzeniania się zagrożeń ransomware są zatrważające. Z tego rodzaju szkodliwego oprogramowania coraz częściej korzystają cyberprzestępcy, bo jest to źródło niemałych dochodów. Pieniądze z oszustwa trafiają na konta "słupów", a potem do osób rozsyłających takie oprogramowanie.

Być może już wkrótce konieczność zapłaty okupu stanie się standardowym kosztem dla wszystkich użytkowników Internetu. Cybergangi wykorzystują ransomware do szantażowania zarówno przedsiębiorców jaki zwykłych użytkowników.

Jak działa Ransomware?

Oprogramowanie ransomware, które na ogół kryje się w załączniku poczty elektronicznej np. CryptoWall, CryptoLocker, czy TorrentLocker, szyfruje pliki przechowywane na komputerach, a nawet dyski sieciowe. Kiedy urządzenie zostanie zainfekowane, aby odzyskać dostęp do plików, za zdjęcie blokady trzeba zapłacić hakerowi okup lub zrezygnować ze wszystkich cennych danych wcześniej przechowywanych na komputerze lub urządzeniu pamięci masowej.

Gdyby porównać programy typu Ransomware do ataku mającego miejsce w prawdziwym życiu, najlepszym odpowiednikiem byłoby porwanie. Przestępcy porywając kogoś, robią to najczęściej po to, aby wyłudzić okup. Jeśli w ciągu 24 godzin nie przyniesiesz pieniędzy we wskazane miejsce lub nie przelejesz ich na odpowiednie konto – zakładnikowi staje się krzywda. Ransomware działają dokładnie na tej samej zasadzie. Najpierw włamują się do Twojego komputera poprzez zainfekowane pliki. Następnie szyfrują dane i wysyłają komunikat, że jeśli nie przelejesz wskazanej sumy pieniędzy (najczęściej w Bitcoinach), Twoje pliki przepadną na zawsze.

W jaki sposób ten wirus się rozprzestrzenia?

Zostało wykryte, że zagrożenie to jest skierowane do użytkowników za pośrednictwem spamu. Aby przekonać ofiary, aby otworzyły wiadomość, cyberprzestępcy tworzą fałszywe powiadomienia policji, firm lub raporty podatkowe wyróżniające się krzykliwym, emocjonalnym tytułem, który może mieć związek z Twoim codziennym życiem, np. „Śledź swoją przesyłkę nr XYZ” lub „Przypominamy o wpłacie należności za XYZ”. Przestępcy podszywali się m.in. pod Pocztę Polską, firmy kurierskie, a także pod biura księgowe czy firmy budowlane, a treść wiadomości sugerowała, że dotyczy dalszego ciągu sprawy, którą nadawca prowadził z adresatem. Słowem, wiadomość wyglądała bardzo wiarygodnie. Po tym, jak użytkownik kliknie na rzekomy załącznik zawierających faktury lub inne urzędowe raporty, aktywuje się zagrożenie, które szyfruje pliki i żąda haraczu. Podczas szyfrowania na naszym komputerze wykonywana jest duża ilość operacji, przez co urządzenie może zwolnić. Często w tym czasie wyłączenie sprzętu i odłączenie go od sieci może zablokować proces szyfrowania. Nie pomoże to w usunięciu samego oprogramowania, ale może uratować nasze dane.

Odzyskiwanie danych wymaga często specjalistycznej interwencji i uniemożliwia wykonywanie zadań. Łatwo sobie wyobrazić paraliż, jeżeli ofiarą padnie kilkanaście lub kilkadziesiąt komputerów w organizacji.  Pozbycie się złośliwego oprogramowania z sieci jest procesem pracochłonnym i często związane jest koniecznością formatowania dysków zakażonych komputerów. Cyberprzestępcy żądają średnio 100 euro za odblokowanie dostępu do danych. W zależności od ofiary czy rodzaju zainfekowanych informacji, cybergangi mogą żądać znacznie wyższych kwot. Na początku tego roku systemy komputerowe kalifornijskiego szpitala Hollywood Presbyterian Medical Center zostały zaatakowane przy użyciu ransomware. Po tym jak wszystkie dane, w tym system elektronicznej dokumentacji medycznej, zostały całkowicie zaszyfrowane, szantażyści zaproponowali szpitalowi ich odblokowanie za 9 tys. Bitcoinów, czyli około 3,4 mln dolarów. Po długich negocjacjach z przestępcami szpital uzyskał kod odblokowujący dostęp do swoich danych i aplikacji za przetransferowanie 17 tysięcy dolarów. Warto pamiętać, że okup nie jest jedynym kosztem, jaki ponosi ofiara ataku, a jego zapłacenie wcale nie musi oznaczać końca problemów. Często jeszcze wyższą cenę niż wysokość haraczu, organizacje muszą zapłacić za przestoje w działalności czy utratę danych, które mogą być skutkiem cyberataku. Straty, które to są następstwem ataków hakerskich obejmują swoim zakresem wydatek poszkodowanego zawierający koszt reakcji na atak, przeprowadzenie oceny strat, odtworzenia danych, programu, systemu lub informacji do stanu sprzed ataku, a także każdą stratę dochodu i każdą inna stratę powstałą w wyniku przerwy w świadczeniu usług.

Co powinieneś zrobić?

  • Jeśli w komputerze pojawi się okienko z żądaniem okupu za odszyfrowanie danych to bezwzględnie należy odłączyć go od połączenia internetowego, łączy sieciowych i innych zewnętrznych urządzeń pamięciowych w celu utrudnienia ewentualnego rozprzestrzeniania się infekcji, a następnie skontaktować się z administratorami odpowiedzialnymi za bezpieczeństwo sieci,
  • Aktualizuj oprogramowanie – dzięki systematycznym aktualizacjom możesz mieć pewność, że wszystkie znane luki zostały załatane, co znacząco wpływa na bezpieczeństwo,
  • Unikaj podejrzanych plików. Bądź czujny i dobrze zastanów się zanim otworzysz załączniki w wiadomości e-mail lub klikniesz pliki z nieznanych źródeł. Uważaj na podejrzane pliki z ukrytymi rozszerzeniami, np. ".pdf.exe" najczęściej umieszczone w e-mailch. Jeśli musisz otworzyć załącznik, a wydaje ci się on podejrzany, możesz bezpłatnie przeskanować go w serwisie www.virustotal.com. Pamiętaj jednak, by nie przesyłać plików zawierających poufne dane,
  • Stwórz kopię zapasową swoich plików na zewnętrznych urządzeniach lub w chmurze – zaszyfrowanych plików nie da się rozszyfrować bez znajomości sekretnego klucza, dlatego tak ważne jest robienie kopii swoich plików.
  • Pamiętaj, że nie możemy klikać we wszystkie linki, które trafią pod wskaźnik naszej myszy. Cyberprzestępcy wykorzystują wiele technik psychologicznych, żeby tylko nakłonić nas do odwiedzenia niebezpiecznych witryny. Dlatego przed kliknięciem w podejrzany odnośnik sprawdzajmy gdzie prowadzi. Wbrew pozorom jest to bardzo proste. W większości przeglądarek internetowych wystarczy najechać wskaźnikiem myszy na link, a adres strony, do której prowadzi zostanie wyświetlony w dolnym lewym rogu okna aplikacji. Jeżeli ujawniony w ten sposób adres nie odnosi się bezpośrednio do treści, którą ma zawierać, nie powinniśmy otwierać tego łącza,
  • Aktualizuj program antywirusowy do najnowszej wersji – dzięki nowej wersji programu, wszystkie zagrożenia są jeszcze skuteczniej wykrywane i blokowane. Nie zapomnij także o aktualizacji bazy sygnatur i komponentów programu udostępnianych przez producenta,
  • Inicjuj i wspieraj wymianę informacji na temat incydentów bezpieczeństwa w Twojej organizacji, ze swoimi dostawcami i odbiorcami.

Komentarze (0)

Dodaj

Popularne wpisy