Ενημέρωση για ιούς τύπου Ransomware

Υπηρεσία Πληροφορικής & Επικοινωνιών.
Δημοσιεύσεις μόνο από τους Συντονιστές.
Απάντηση
Άβαταρ μέλους
atzel
Administrator
Administrator
Δημοσιεύσεις: 23
Εγγραφή: 23 Μαρ 2005 08:48
Τοποθεσία: Μυτιλήνη
Επικοινωνία:

Ενημέρωση για ιούς τύπου Ransomware

Δημοσίευση από atzel »

Τους τελευταίους 6-12 μήνες έχουν αναφερθεί αυξημένα κρούσματα μολυσμένων υπολογιστικών συστημάτων από ιούς τύπου Ransomware/ Cryptowall / Cryptolocker (Crypto = Κρυπτογραφώ + Lock = Κλειδώνω). Στην Ελλάδα αναφέρεται επίσης μερικές φορές και ως «Ιός της Αστυνομίας» Δείτε http://cyberalert.gr/ransomware/

Περιληπτικά, ένας ιός τύπου ransomware (ransom=λύτρα) που προσβάλλει ένα υπολογιστή κρυπτογραφεί όλα τα αρχεία σε όλους τους δίσκους του υπολογιστή, συμπεριλαμβανομένων και τυχόν κοινόχρηστων δικτυακών χώρων (shares), δίσκους usb, usb sticks με αποτέλεσμα αυτά να μην είναι πλέον προσβάσιμα. Ακόμα και αν αφαιρεθεί ο ιός από τον υπολογιστή τα αρχεία παραμένουν κρυπτογραφημένα και μη προσβάσιμα.

Η αποκρυπτογράφηση τους είναι δυνατή σε ορισμένες περιπτώσεις επί πληρωμή λύτρων (από εκατοντάδες έως αρκετές χιλιάδες ευρώ) προς τους κατασκευαστές του ιού η μέσω κάποιων μηχανισμών αποκρυπτογράφησης που διαθέτουν κατασκευαστές λογισμικού προστασία από ιούς που όμως ΔΕΝ λειτουργούν αποτελεσματικά για την πλειονότητα των περιστατικών.

Ο μόνος τρόπος επαναφοράς είναι η χρήση αντιγράφων ασφαλείας (backup) η/και η επανεγκατάσταση όλων των εφαρμογών στον υπολογιστή.

Τέτοιου τύπου ιοί μεταδίδονται είτε μέσω μηνυμάτων email είτε μέσω μολυσμένων αρχείων σε φορητούς usb δίσκους, flash drives, κλπ. Ο κίνδυνος πολλαπλασιάζεται σε περιβάλλοντα όπου υπάρχουν κοινόχρηστα αρχεία και όπου πολλαπλοί χρήστες έχουν πρόσβαση σε αυτά, όπως πχ το δίκτυο στο ΠΑ.

Η πλέον πρόσφατη μετάλλαξη ransomware ιού ονομάζεται Locky και μεταδίδεται κυρίως μέσω μολυσμένων μηνυμάτων email και επισυναπτόμενων μολυσμένων αρχείων. Υπάρχουν αναφορές οτι τα μηνύματα αυτά περιέχουν στο θέμα τους συνήθως την λέξη invoice (τιμολόγιο) όπως για παράδειγμα ATTN: Invoice J-22111. Τα ονόματα των επισυναπτόμενων αρχείων μπορεί επίσης να ονομάζονται invoice-xxx.

Ο ιός Locky κρυπτογραφεί οτιδήποτε αρχεία έχετε πρόσβαση και ο μόνος τρόπος επαναφοράς τους είναι η αποκρυπτογράφηση μετά από πληρωμή τουλάχιστον εκατοντάδων ευρώ, η με επαναφορά τους από αντίγραφα ασφαλείας.

Δυστυχώς η χρήση λογισμικού προστασίας από ιούς δεν αντιμετωπίζει αποτελεσματικά τις συχνές μεταλλάξεις τέτοιων ιών. Ο πιο σημαντικός τρόπος αντιμετώπισης ίσως είναι η πρόληψη:

- ΠΡΟΣΟΧΗ σε μηνύματα ηλεκτρονικού ταχυδρομείου. Μην ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από αποστολείς που δεν γνωρίζετε. Αν χρειάζεται, επιβεβαιώστε μέσω τηλ την ταυτότητα του αποστολέα τηλεφωνικά. Προσοχή στα επισυναπτόμενα αρχεία. Χρησιμοποιείστε κοινή λογική. Αν ένα μήνυμα σας φαίνεται ύποπτο, κατά πάσα πιθανότητα είναι ύποπτο. Διαγράφετε πάντα ύποπτα μηνύματα.
- Μην επισκέπτεστε ιστοσελίδες αμφίβολου περιεχομένου, σελίδες που σας προτρέπουν να κάνετε κλικ σε συνδέσμους που εγκαθιστούν λογισμικό στον υπολογιστή σας, σελίδες που εμφανίζουν αναδυόμενα παράθυρα.
- Προσοχή σε αρχεία που κατεβάζετε στον υπολογιστή σας. Υπάρχουν αναφορές για αρχεία word, pdf, xls που περιέχουν μακροεντολές που εγκαθιστούν ιούς. Αν σας ζητηθεί να ενεργοποιήσετε μακροεντολές, ΜΗΝ το κάνετε, διαγράψτε το αρχείο και επικοινωνήστε αμέσως με το Helpdesk. Αν ανοίξετε κατά λάθος κάποιο αρχείο το οποίο απαιτεί την χρήση μακροεντολών ΚΛΕΙΣΤΕ τον υπολογιστή σας αμέσως διακόπτοντας την ρευματοδότηση του και επικοινωνήστε με το Helpdesk.

Περισσότερες λεπτομέρειες για τον ιό Locky
http://www.bleepingcomputer.com/news/se ... rk-shares/

Video διαδικασίας μόλυνσης απο τον ιό Locky (Βίντεο για λόγους επίδειξης. Προσοχή ΜΗΝ ακολουθήσετε τα βήματα!)
https://www.youtube.com/watch?v=GyZMJr7RfBE
Απάντηση

Επιστροφή στο “Υπηρεσία Πληροφορικής και Επικοινωνιών”