Czyścisz komputer z wirusów i reklam? Mogłeś go zaszyfrować!

19-09-2018, 12:44

Wirus Kraken Cryptor właśnie kończy pierwszy miesiąc. Metoda jego dystrybucji to dowód na doskonałą adaptację cyberprzestępców do zmieniających się warunków. Autorzy tego ransomware dyskontują uczulenie internautów na niechciane programy, propagując wirusa jako narzędzie czyszczenia systemu - i to na oficjalnej stronie producenta oryginału.

Lata 2016 i 2017 upłynęły użytkownikom i firmom w cieniu ransomware. Tymczasem widać już, że w 2018 rządzi inny typ zagrożeń - cryptojacking. Polega on na wykorzystaniu zarażonych komputerów nieświadomych ofiar jako tzw. kryptokoparek - urządzeń pozyskujących (“kopiących”) cyberwaluty. Właśnie tego próbują twórcy Kraken Cryptora, niebezpiecznie łączącego szum wokół kryptokoparek i sprawdzony model zarobku na ransomware.

Wykopać koparki

Kopanie kryptowalut wymaga dużej mocy obliczeniowej, dostępnej np. w procesorach kart graficznych. Tylko po co je kupować, gdy można zdalnie budować całe ich farmy poprzez infekowanie setek maszyn? Cyberprzestępcy kradną więc moc obliczeniową użytkowników, a technologiczne blogi i eksperci bezpieczeństwa IT doradzają regularne sprawdzanie, czy nasz zwalniający ostatnio komputer nie został czyimś cyfrowym “kilofem”.

Jak można to sprawdzić? Eksperci zaobserwowali trzy najczęstsze kroki użytkowników - najpierw internetowy skan przeglądarki, potem wgranie wtyczki blokującej działania ukrytych koparek i wreszcie instalacja pierwszego z brzegu skanera zagrożeń malware i spyware, sprzątającego systemowe śmieci. Takim pierwszym z brzegu wynikiem Google na hasło “antispyware” jest obecnie SUPERAntiSpyware - witryna narzędzia popularnego także w Polsce. I to właśnie na niej kilka dni temu startowała niebezpieczna gra o bezpieczeństwo danych nieświadomego użytkownika.

W szyfrujących mackach

Na serwerze producenta SUPERAntiSpyware przez kilka godzin obok oryginalnego produktu znajdował się wirus ransomware, udający jego instalator. Różnica była subtelna: nazwę właściwego pliku wydłużono literą “s” (SUPERAntiSpywares.exe), serwując ofiarom szyfrujące zagrożenie Kraken Cryptor w najnowszej wersji 1.5. Twórcy fałszywki zadbali o jej wiarygodność, maskując aktywator wirusa ikoną udawanego programu i tym samym zwiększając szanse jej otwarcia.

Zagrożenie najpierw sprawdza lokalizację i język systemu, nie szyfrując danych jeśli komputer znajduje się w Armenii, Azerbejdżanie, Białorusi, Estonii, Gruzji, Iranie, Kirgistanie, Kazachstanie, Litwie, Łotwie, Mołdawii, Rosji, Tadżykistanie, Turkmenistanie, Ukrainie, Uzbekistanie lub Brazylii.

Po zaszyfrowaniu danych wirus czyści i nadpisuje całą wolną przestrzeń szyfrowanego dysku zerami, dodatkowo komplikując odzyskanie danych. Następnie restartuje komputer, wyłączając opcję ostatniej działającej wersji Windows i usuwa jego backupy. Zaszyfrowanych plików nie da się odzyskać bez przywrócenia backupu lub haraczu w wysokości 0,125 bitcoina (około 2900 zł w chwili tworzenia tego tekstu). Można się jednak skutecznie przed nim bronić.

Jak się bronić?

Sprawdzony backup pozwala niejako cofnąć czas działania systemu do momentu ataku szyfrującego i podjąć pracę tak, jakby przeszkoda nigdy nie wystąpiła. Tym samym redukujemy koszty przestoju w pracy. Aby zaś uniknąć samych ataków należy regularnie aktualizować systemy i na wszelki wypadek wyłączyć systemową funkcję zdalnego dostępu, używaną do pobierania dodatkowych składników zagrożeń.

Wciąż trzeba uważać na podejrzane załączniki mailowej poczty. Spadek popularności ransomware zmniejszył liczbę medialnych ostrzeżeń, wzmacniających czujność użytkowników w ostatnich 2 latach. Xopero przypomina, że cyberprzestępcy tylko czekają na ich rozluźnienie i spadek uwagi, bo chociaż twórcy i klienci SuperAntiSpyware mieli szczęście - oryginalny link nie został naruszony, a fałszywkę usunięto - to przy wyrafinowanych metodach ataków takie pozytywne wyjątki zdarzają się rzadko.

Źródło: Xopero Software


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930