Ransomware - Cryptowall 3.0

2015/06/30
Popularitate 983

Foto:

Ransomware este un software malițios ce împiedică accesul la fișiere, sau chiar la întregul sistem infectat, până la plata unei „recompense”.

Acest tip de malware nu reprezintă o noutate, însă pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile actuale blochează accesul la fișiere (documente, fotografii, muzică, video etc.) prin criptarea asimetrică a acestora.

CryptoWall 3.0 reprezintă o versiune actualizată a lui CryptoWall 2.0. Similar versiunii anterioare, acesta criptează fişierele stocate pe sistemul infectat şi apoi cere o sumă (500$, 500 EUR,  0.5 Bitcoin etc.) în schimbul decriptării acestora. CryptoWall 3.0 utilizează reţeaua TOR pentru direcţionarea utilizatorului victimă către pagina web unde acesta va regăsi instrucţiunile pentru modul de plată a „recompensei” şi decriptarea datelor. De asemenea atacatori au extins perioada de răscumpărare de la 5 zile la o săptămână, după care preţul pentru decriptarea fişierelor se va dubla.

DESCRIERE

Odată instalat pe sistemul infectat, CryptoWall 3.0 începe procesul de criptare a fişierelor în fundal, fapt pentru care majoritatea utilizatorilor nu observă că sistemul lor a fost infectat până în momentul în care programul maliţios afişează fereastra de răscumpărare a fişierelor deja criptate. Fereastra de răscumpărare este un fişier HTML care conţine un text asemănător cu cel de mai jos:

"Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.

Overwise, it's seems that you or your antivirus deleted the locker program.

Now you have the last chance to decrypt your files.

Open http://yhc266qdppkt7bie.onion.cab or http://yhc266qdppkt7bie.tor2web.org in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://yhc266qdppkt7bie.onion/ Note that this server is available via Tor Browser only.

Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.

XVBD24K-5PJNFZ6-TVXGFJE-SR3PR2V-WG22ORK-357WYWF-ZQG3TNM-TCUAU3Y

OINVOLU-ROUZI4B-BG6OAFG-6EX5DSH-WEGOKSL-4JZWVLS-2TLB5OR-F74ONR2

7F75ZW3-BYI4NOD-KBFM4VA-CVPPBK4-YL2KBE6-CJFUCAD-R6YFX4E-DLWEMUL

Follow the instructions on the server."

CryptoWall 3.0 utilizează algoritmul de criptare RSA-2048 pentru criptarea fişierelor. Odată finalizat procesul de criptare a fişierelor, malware-ul le şterge pe cele originale, iar în cazul în care nu există backup pentru acestea, şansele de a le recupera scad dramatic. O ultimă opţiune ar fi utilizarea unui software care încearcă să recupereze fişierele sau cel puţin o parte din acestea din shadow copies (Windows).

Scopul programului maliţios este de a cripta fişierele valoroase pentru utilizator. Acesta criptează pe lângă documentele MS Office, imagini, fişiere audio, video, etc. Astfel de malware este de obicei greu de detectat de utilizatori deoarece se ascunde în spatele unui software legitim răspândit via email, site-uri web, drive-in downloads, etc.

 

IMPACT

CryptoWall 3.0 nu vizează numai utilizatorii individuali. Utilizatorii unei origanizaţii pot deveni de asemenea victime prin infectarea sistemelor lor cu acest ransomware, fapt care va conduce la consecinţe negative, cum ar fi:

  • Pierderea temporară sau permanentă a datelor;
  • Întreruperea serviciilor oferite;
  • Pierderi financiare rezultate din plata recuperării datelor sau sistemelor infectate;
  • Afectarea reputaţiei individuale sau organizaţionale.

REMEDIERE

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.  

Consecinţele infectării cu un astfel de malwarepot fi devastatoare pentru un individ sau o organizație, iar recuperarea datelor poate fi un proces dificil, care ar putea necesita serviciile unui specialist.

CERT-RO recomandă utilizatorilor şi administratorilor să ia următoarele măsuri preventive pentru a-şi proteja sistemele de amenințarea ransomeare:

  • Efectuarea periodică a copiilor de siguranţă ale datelor critice pentru a minimiza impactul unei posibile pierderi a acestora, respectiv pentru a sprijini procesul de recuperare a lor;
  • Actualizarea permanentă a software-ului anti-virus utilizat;
  • Actualizarea permanentă a sistemului de operare şi a software-urilor instalate cu patch-urile cele mai recente;
  • Verificarea link-urilor primite înainte de a le accesa;
  • Verificarea ataşamentelor primite până la deschiderea sau descărcarea acestora;
  • Urmarea practicilor pentru siguranţa utilizatorului pe parcursul navigării on-line.

REFERINŢE

         [1]. http://cert.ro/articol.php?idarticol=905

         [2]. https://www.us-cert.gov/ncas/alerts/TA14-295A

         [3]. http://deletemalware.blogspot.ro/2015/01/how-to-remove-cryptowall-30-virus-and.html