A fost publicată lista furnizorilor de servicii de formare pentru securitate cibernetică
Accesați pagina

Locky ransomware

2016/03/14
Popularitate 1042

Foto:

Una dintre ultimele variante de malware de tip ransomware este cea cunoscuta sub denumirea de Locky. Fișierele stocate în PC-urile infectate cu Locky sunt criptate și redenumite cu extensia „.locky”(de unde și denumirea acestui malware).

După criptarea fișierelor, imaginea de fundal (wallpaper) este schimbată cu o imagine prin care li se comunică utilizatorilor că fișierele lor au fost criptate și că trebuie să acceseze unul dintre link-urile afișate pentru a citi instrucțiunile referitoare la modalitatea prin care-și pot răscumpăra fișierele (plata unei sume de bani în moneda virtuală Bitcoin).

 Descriere

Conform informațiilor deținute până în prezent, acest malware se răspândește prin mesaje email de tip SPAM care conțin atașamente malițioase, sub forma unor documente Microsoft Word/Excel ce conțin macro-uri VBS (Visual Basic Script), sau sub forma unor arhive „.ZIP” ce conțin cod JavaScript.

Deși versiunile recente ale suitei Microsoft Office au macro-urile dezactivate în mod implicit, atacatori folosesc o tehnică de inginerie socială prin care aceștia sunt păcăliți să le activeze și să ruleze macro-ul malițios. Astfel, daca utilizatorul deschide documentul atașat, acesta va vedea un document ce conține caractere aleatoare (neinteligibil) și este îndemnat să activeze macro-urile pentru a afișa conținutul documentului, după cum se poate observa în imaginea de mai jos.

 

Odată activate macro-urile, codul VBS va fi rulat și va descărca un fișier binar malițios (Locky), care la rândul sau va rula și va cripta fișierele. 

 

Măsuri de remediere

În cazul în care constatați sau aveți suspiciunea că PC-ul dumneavoastră a fost infectat cu acest malware, vă recomandăm să efectuați următoarele operațiuni:

1.        Deconectați urgent toate mediile de stocare externe conectate la PC  (stick de memorie, card de memorie, hard disk extern etc.), de-conectați cablul de rețea și dezactivați orice alte conexiuni de rețea (WiFi, 3G etc.);

2.        [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, sau încercarea de a recupera cheia de criptare din memorie, realizați cât mai rapid o captură de memorie (RAM), utilizând o unealtă specializată, precum DumpIT:

http://www.moonsols.com/wp-content/plugins/download-monitor/download.php?id=7;

3.        Opriți PC-ul (shutdown);

4.        [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, realizați o copie (imagine) a hard-disk-ului de pe care rulează sistemul de operare, utilizând o unealtă specializată, precum dd:

https://en.wikipedia.org/wiki/Dd_%28Unix%29;

5.        Porniți PC-ul utilizând un sistem de operare care se încarcă de pe un CD/DVD sau USB (LiveCD, LiveUSB), majoritatea distribuțiilor de Linux moderne oferind această facilitate. Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost compromise (criptate);

6.        Utilizați una sau mai multe soluții de securitate antivirus/antimalware pentru scanarea PC-ului și dezinfectare acestuia;

7.        Încercați recuperarea unor versiuni anterioare ale fișierelor compromise, folosind tehnologia Shadow Copy din sistemele de operare Windows. Acest lucru este posibil numai dacă sistemul are activată facilitatea System Restore. Puteți utiliza facilitatea nativă “Previous Versions” (click dreapta pe fișier – Properties – Previous Versions) sau o unealtă specializată, precum ShadowExplorer:

http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe;

8.        Încercați recuperarea fișierelor compromise utilizând o unealtă specializată de tip „Data Recovery”. Există o gamă variată de unelte de acest gen, inclusiv gratuite, precum PhotoRec:

http://www.cgsecurity.org/wiki/PhotoRec;

9.        [Opțional] Re-instalați complet sistemul de operare. Aceasta este singura metodă prin care puteți fi siguri că sistemul nu mai conține malware sau rămășițe de malware.

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

 

Măsuri de prevenție

Pentru a preveni infectarea cu software malițios precum cel descris mai sus, CERT-RO recomandă tuturor utilizatorilor să manifeste atenție și precauție la modul de utilizare și operare a sistemelor informatice și să întreprindă următoarele măsuri:

·         Realizați regulat copii de siguranță ale datelor (backup) care să fie păstrate pe medii de stocare ne-conectate în permanență la sistemele informatice, pentru a evita inclusiv compromiterea acestora;

·         Utilizați soluții antivirus/antimalware eficiente și actualizate;

·         Actualizați sistemele de operare și aplicațiile utilizate, inclusiv Windows, suita Office, aplicațiile de navigare pe Internet (browser), Adobe Reader;

·         Evitați pe cât posibil utilizarea programelor Flash Player și Java în browser, sau cel puțin mențineți-le actualizate și activați-le doar la nevoie;

·         Nu instalați/utilizați software piratat sau care provine din surse nesigure (precum site-urile de partajare fișiere P2P);

·         Nu deschideți mesajele email venite de la surse nesigure (expeditor necunoscut, subiect și conținut suspect) și a link-urilor sau atașamentelor conținute de acestea;

·         Nu accesați reclamele web afișate pe diferite site-uri, mai ales atunci când vizitați site-uri mai puțin cunoscute.


Vizualizat de 2770 ori