Cert.lv informē, ka novembrī sācis izplatīties jauns Krievijā radīts Windows operētājsistēmas kriptovīruss-izspiedējs (CryptoWall 4.0), kas šifrē failus un pieprasa izpirkuma maksu 700-1000 ASV dolāru apmērā par šo failu atšifrēšanu. Iepriekš tas galvenokārt apdraudēja grāmatvežus un sekretāres, jo izplatījās epasta pielikumos ar vilinoši draudīgu nosaukumu par nesamaksātu rēķinu, bet tagad “uzlabotajā” versijā tas izplatās īpaši bīstamā, lietotājam grūti kontrolējamā veidā un var iekļūt datorā bez lietotāja ziņas – pat apmeklējot it kā parastu mājaslapu. Ja vietne ir bijusi nedroša, tad ļaundari var nemanot būt inficējuši to ar kriptovīrusu, kurš var iekļūt datorā, ja tas ir slikti aizsargāts vai izmanto novecojušu operētājsistēmu (vecāku par Windows 7). Augstāks risks ir arī tad, ja dators jau ir inficēts ar citu nevēlamu programmatūru, to vīruss var izmantot kā iekļūšanas metodi.
Šifrējošais izspiedējvīruss CryptoWall 4.0 izmanto neatjauninātas vai citādi ievainojamas komponentes, piemēram, Adobe Flash, Java vai Microsoft Windows, lai inficētu upura iekārtu. Vīruss veic ne tikai failu satura, bet arī failu nosaukumu šifrēšanu. Tas sarežģī nošifrēto failu atpazīšanu un lietotājam ir grūti saprast, ko viņš ir zaudējis un vai tas ir atjaunošanas vērts.
Latvijā pagaidām ir konstatēti tikai daži CryptoWall 4.0 inficēšanās gadījumi, taču nevajadzētu zaudēt modrību.
Šifrējošais izspiedējvīruss pa laikam tiek izplatīts, izmantojot arī e-pasta sistēmas. Papildu piesardzību vajadzētu ievērot tiem, kas izmanto ārzemju e-pasta servisus, piemēram, AOL, veic intensīvu saraksti ar ārzemēm vai saņem daudz mēstuļu. Šajos gadījumos ir lielāka iespēja, ka kāds no e-pastiem saturēs kaitīgu pielikumu ar šifrējošo izspiedējvīrusu. Jāņem vērā arī tas, ka ļoti maz antivīrusu spēj atpazīt šo ļaunatūru, jo, līdzīgi gripai, šis vīruss nepārtraukti mainās.
Lai sevi pasargātu, jāatceras:
• nevērt vaļā negaidīti saņemtus e-pasta pielikumus, pat no pazīstamiem sūtītājiem,
• veidot svarīgo failu rezerves kopijas uz datu nesēja, kas ikdienā nav pievienots lietotāja datoram,
• datora ikdienas lietošanai izmantot lietotāja kontu, kuram nav administratora tiesību.
Ja tiek pamanītas dīvainības datora darbībā, datorā parādās nesaprotami, kodēti faili, datoru steidzami jāizslēdz un jāvēršas pēc palīdzības pie datorspeciālista. Ja datorā savu darbu būs sācis šifrējošais izspiedējvīruss, iespējams, šajā stadijā daļu datu vēl varēs atjaunot.
CryptoWall 4.0 darbība:
• Šifrē ne tikai failus, bet arī to nosaukumus.
• Tāpat kā tā priekšteči, injektē sevi Explorer.exe un atslēdz System Restore, dzēš visas Shadow Volume kopijas un, izmantojot bcdedit, atslēdz arī Windows Startup Repair.
• Pēc tam injektē sevi svchost.exe un nošifrē visu lokālo disku, pārvietojamo datu nesēju, kas pievienoti datoram, un tīkla disku saturu, ja lietotājam uz šiem diskiem ir rakstīšanas tiesības.
• Pēc šifrēšanas pabeigšanas veido instrukcijas failus ar nosaukumu HELP_YOUR_FILES
• Maksāšanas „instrukcijā” vairs nav norādīts cryptowall versijas numurs, bet parādās tikai CryptoWall.
• Failu nosaukumus nav iespējams atšifrēt, jo lokāli vairs nesaglabā šifrēto failu sarakstu.
Vīruss pašlikvidējas no temp mapes pēc failu un to nosaukumu šifrēšanas pabeigšanas, neatstājot citas pēdas, kā vien nelietojamus failus un instrukciju HELP_YOUR_FILES katrā mapē un uz Desktopa.
Vīruss kopumā šifrē 380 failu formātus, galvenokārt dokumentus un fotogrāfijas, taču to vidū ir arī mērnieku izmantotais DWG/DXF formāts (DGN starp šifrētajiem formātiem neesot). Atgūt failus, nemaksājot krāpniekiem nav cerību, jo katram cietušajam privātā un unikālā atšifrēšanas atslēga glabājas uz krāpnieku serveriem un maz ticams, ka tos atradīs. Par laimi, jaunā versija šifrē arī failu nosaukumus, tāpēc vismaz ir vieglāk konstatēt vīrusa klātbūtni.
Lai pasargātos:
• Datorā jābūt uzstādītai antivīrusa programmai un tam jābūt atbrīvotam no visām nevēlamajām programmām.
• Nevērt vaļā negaidīti saņemtus e-pasta pielikumus, pat no pazīstamiem sūtītājiem,
• Neapmeklēt aizdomīgas Internet vietnes no darba datora, kā arī neklikšķināt uz vilinošām izklaides saitēm no E-pasta, Facebook.com, Draugiem.lv un tamlīdzīgi.
• veidot svarīgo failu rezerves kopijas uz datu nesēja, kas ikdienā nav pievienots lietotāja datoram,
• Kā alternatīvu izmantot mākoņservisus Google Drive, Dropbox utt., jo tas saglabā failu versijas
• Atļaut uzstādīt Windows atjauninājumus(Windows Update) automātiskā režīmā un pārbaudīt, ka ir uzstādīti visi kritiskie atjauninājumi
• Ja ikdienā neizmanto Google Chrome pārlūku tad citiem pārlūkiem atslēgt/atinstalēt Flash spraudni vai arī pārbaudīt, ka tas ir atjaunināts. Google Chrome gadījumā Flash atjauninās automātiski un ir mazāks risks.
• Neizmantot novecojušas OS versijas – Windows XP, jo tai kopš 2014. gada vairs nav pieejami atjauninājumi
• Ierobežot lietotāju pieeju tīkla diskiem. Vīruss cenšas piekļūt visiem tai skaitā arī tīkla diskiem, kam ir piešķirts burts, tā kā var ciest ne tikai viens dators, bet arī dati uz failu servera
• Nestrādāt ar lietotāju kam ir lokālā datora administratora tiesības, jo vīruss cenšas dzēst arī failu backup versijas(Shadow copies). Obligāti ieslēgt UAC un ikdienā izmantot Windows lietotājus ar limited tiesībām
Atbildēt