*11 lucruri pe care le puteți face pentru protejarea împotriva ransomware, inclusiv Cryptolocker

Ransomware este un software malițios pe care infractorii cibernetici îl folosesc pentru a-ți face calculatorul sau fișierele de pe calculator în scopul de a cere o răscumpărare pentru a le recupera. Din păcate, ransomware-ul devine o modalitate din ce în ce mai populară pentru autorii de malware de a stoca bani ale companiilor și consumatorilor. Există o mulțime de variante de ransomware ce pot ajunge pe mașina unei persoane, dar, ca de fiecare dată, aceste tehnici se reduc la tactici de inginerie socială sau la folosirea unor vulnerabilități de software pentru a fi instalat în tăcere pe mașina victimei.

De ce este demn de remarcat Cryptolocker?

O amenințare cu ransomware specifică despre care s-a vorbit foarte mult timp este Cryptolocker (detectat de către ESET drept Win32/Filecoder – verificați baza de cunoștințe de la ESET pentru a actualiza informații despre detectarea Cryptolocker și a altor tipuri de ransomware).

Autori Cryptolocker au trimis acest ransomware la numar foarte mare de oameni, vizând in special SUA si Maria Britanie. Precum un infractor notoriu, acest malware a fost asociat cu o varietate de alții actori răi – troieni backdoor, downloadere, autori de spam, hoți de parole, ad-clickere și like-ul.

Cryptolocker poate ajunge singur (de obicei prin e-mail) sau prin intermediul unui backdoor sau un downloader, drept o componentă suplimentară.

Vă puteți întreba de ce discuție legată de Cryptolocker a căpătat sau de asemenea importanță în această familie de ransomware – în esență, aceasta se datorează faptului că autorii Cryptolocker au fost atât de agili și persistenți. A existat un efort concentrat pentru a pompa variante noi, ținând pasul cu schimbările tehnologiilor de protecție și vizând anumite grupuri de-a lungul timpului.

Încă din septembrie 2013, autorii acestui malware au trimis valori de e-mailuri spam care vizau grupuri diferite. Majoritatea grupurilor țintă s-au aflat în Statele Unite și în Marea Britanie, dar nu există vreo limită geografică pentru cei care pot fi afectați, iar mulți oameni din exteriorul acestei zone vizate au fost țintiți. Inițial, e-mailurile au vizat utilizatorii de acasă, apoi tinzând spre companii.

De asemenea, malware-ul se răspândește prin porturile RDP lăsate deschise la Cryptolocker poate afecta și fișierele utilizatorilor aflate pe unități corelate, cu o literă destinată de unitate (ex. D:, E:, F: ). Poate fi vorba de un hardisk extern, fiind incluse în această categorie și stick-urile USB sau un folder din rețea sau din Cloud. Pot fi, de asemenea, criptate fișierele din folderul Dropbox mapate local.

Zeci de mii de mașini au fost afectate, deși se estimează că infractorii au trimis milioane de e-mailuri. Cel mai bun scenariu ar fi ca destinatarii să fi eliminat, pur și simplu, e-mailurile rău intenționate fără a le deschide, în locul păstrării acestora nedeschise.

Acei oameni care au fost afectați au avut un număr mare de fișiere criptate. Acele fișiere sunt în primul rând formate populare de date, fișiere pe care le-ar deschide cu un program (precum Microsoft Office, Adobe, iTunes sau alte programe de muzică). Autorii acestui malware sunt diferite tipuri de criptare: Fișierele sunt protejate de la sine cu criptare 256-bit AES. Cheile generate de acest prim proces de criptare sunt apoi protejate cu criptarea 2048-bit RSA, iar inițiatorul codului malware păstrează cheia privată care ar putea permite ca cele două chei de pe mașina utilizatorilor și fișierele protejate să fie decriptate. Cheia de descriere nu poate fi folosită prin forță brută sau colectată din memoria calculatorului afectat. Infractorii sunt singurii care au, în aparență, cheia proprie.

Ce se poate face?

Pe de o parte, ransomware-ul poate fi înfricoșător – fișierele criptate pot fi, în esență, deteriorate, fără a putea fi repara. Dar, dacă sunteți pregătit, veți avea parte doar de o situație neplăcută. Mai jos găsiți câteva sfaturi care vă vor ajuta să împiedicați ca ransomware-ul să vă strice ziua:

1.Faceți backup la date

Cel mai important lucru care vă va ajuta la învingerea unei probleme cu ransomware, este actualizat în mod regulat a copii de rezervă. În cazul în care sunteți atacat cu ransomware, puteți pierde acel document la început de dimineață, dar dacă puteți restaura sistemul sau puteți curăța mașina și puteți reveni la versiunea pe care să vă aveți, să vă așteptați să stați liniștiți.

Cryptolocker va cripta, de asemenea, fișierele de unități conectate. Aici sunt incluse toate unitățile externe precum stick-urile USB sau rețele și fișierele stocate în cloud.

Prin urmare, necesită un regim de backup reglementat pe o unitate externă sau pe un serviciu de backup, care să se deconecteze atunci când nu realizează o copie de rezerva.
Următoarele sfaturi țin de comportamentul lui Cryptolocker – acestea nu pot fi generale, dar pot ajuta la crearea trei siguranței generale prin pași mici, pentru a preveni diferitele tehnici malware comune.

2.Afișați extensiile ascunse de fișiere

O modalitate frecventă prin care Cryptolocker ajunge să fie printr-un fișier cu extensia „.PDF.EXE”, bazându-se pe comportamentul implicit al Windows-ului ascunde extensiile cunoscute ale fișierelor. Astfel, vor fi mai ușor de identificat fișierele suspecte.

3.Filtrarea executabilelor în e-mail

Dacă scanerul de mail la nivel de gateway are abilitatea de a filtra fișierele în funcție de extensie, ați putea alege respingerea e-mailurilor trimise cu fișiere de tip „.EXE” sau refuzarea acelor e-mailuri cu două extensii („.. EXE”). În cazul în care să aveți nevoie în mod legitim, să faceți schimb de fișiere executabile în mediul dumneavoastră. de lucru și refuzați primirea e-mailurilor ce conțin fișiere executabile, puteți trimite/primi fișiere de tip ZIP (protejate cu parole, desigur) sau prin intermediul serviciilor de cloud.

4.Dezactivați fișierele care rulează din foldere AppData/LocalAppData

se creează reguli în Windows sau prin intermediul software-ului de prevenire a intruziunii, pentru a nu permite un anumit comportament notabil de utilizare a Cryptolocker, care rulează executabilul din folderele App Data sau Local App Data. Dacă (din anumite motive), software-ul legitim setat să nu ruleze din zona obișnuită de Program Files, ci din App Data, va fi nevoie să excludeți aceasta de la regula.

5.Utilizați Kit-ul de prevenire pentru Cryptolocker

Kit-ul de prevenție împotriva Cryptolocker este un utilitar creat de Third Tier care automatizează procesul de creare a unei politici de grup pentru a dezactiva fișiere care rulează din folderele App Data și Local App Data, precum și dezactivarea fișierelor executabile astfel încât să nu ruleze din directorul Temp diferite utilităţi de dezarhivare.

Acest util este actualizat, pe măsură ce sunt descoperite noi tehnici pentru Cryptolocker. Prin urmare, este indicat să verificați periodic pentru a vă asigura că există ultima variantă disponibilă. În cazul în care trebuie să realizați excepțiile acestor reguli, puteți consulta acest document, unde este explicat acest proces.

6.Deconectați-vă de la WiFi sau de la rețea imediat

Dacă rulați un fișier pe care îl suspectați că ar putea fi unul de tip ransomware, dar nu ați identificat încă ecranul ransomware caracteristic și dacă puteți acționa rapid, se poate opri comunicarea cu serverul C&C înainte de terminarea scriptării pentru toate fișierele.

Dacă efectuați deconectarea la rețea imediată, daunele ar putea fi diminuate. Pentru a se realiza criptarea tuturor fișierelor este nevoie de timp, astfel că se poate opri această criptare înainte ca aceasta să reușească distorsionarea fișierelor.

Tehnica aceasta nu este pe deplin ușor de manevrat și ați putea să nu fiți destul de norocoși sau în măsură să acționeze mai rapid decât malware-ul, însă deconectarea rețelei poate fi o tactică mai bună decât să nu faceți nimic.

7.Apelați la System Restore pentru a reveni la o stare a sistemului curată

În cazul în care aveți grijă să activați funcția de System Restore pe mașina dvs. cu Windows, veți putea citi sistemul la o stare cunoscută că este sigură. Din nou, trebuie să fiți rapid decât malware-ul. Noile versiuni de Cryptolocker pot avea posibilitatea de a șterge fișierele „Shadow” din System Restore, ceea ce înseamnă că acele fișiere nu vor mai exista atunci când veți încerca să înlocuiți versiunile afectate de malware.

Cryptolock poate începe procesul de ștergere în momentul în care un fișier executabil este foarte rulat, astfel încât va fi nevoie să acționați repede, deoarece executabilele pot fi pornite ca parte a unui proces automat. Cu alte cuvinte, fișierele executabile pot fi rulate fără ca dumneavoastră. să fiți conștient de acest lucru, ca parte obișnuită a operațiunilor din sistemul dumneavoastră. Windows.

8.Setați ceasul BIOS înapoi

Cryptolocker are un cronometru pentru plată, setat în general la 72 de ore, iar după ce timpul s-a scurs, prețul pentru cheia de descriere va crește considerabil. (Prețul poate varia deoarece un bitcoin are o valoare destul de volatilă.) cumva cumva să „învingeți ceasul”, prin setarea ceasului de la BIOS la o oră înainte ca fereastra cu cele 72 de ore să apară.

Sfatul este de a nu plăti prețul cerut pentru ransomware. Plătirea infractorilor poate duce la recuperarea datelor, dar au existat cazuri în care să decripteze nu a ajuns niciodată sau nu a reușit să decripteze fișierele. În plus, acest lucru încurajează comportamentul infracțional!

Cererea de răscumpărare nu este o practică legitimă în afaceri, iar autorii de malware nu sunt obligați în nici un fel să respecte promisiunile – aceștia pot lua banii fără a returna ceva în schimb, deoarece nu va exista nicio reacție în cazul în care infractorii nu reușesc. să livreze.