logo2


1/12/10

Εμφάνιση ιών που ζητούν από το θύμα λύτρα

Posted by And on 05:48
0
SecurityΣύμφωνα με αναφορές ερευνητών ασφαλείας της Kaspersky, τις τελευταίες μέρες έχουν αναφερθεί παγκοσμίως πολλά κρούσματα κακόβουλου λογισμικού τύπου ransomware. Πρόκειται για trojan που εγκαθίσταται στον υπολογιστή του θύματος, αχρηστεύει μέρος των λειτουργιών του, επεμβαίνοντας στο λογισμικό και ζητάει λύτρα για την επαναφορά του συστήματος σε πλήρη λειτουργικότητα.


Ο Vitaly Kamluk από την Kasperky αναφέρει στην ενημερωτική σελίδα SecureList ότι το trojan θυμίζει σε λειτουργία το GpCode, που είχε εμφανιστεί για πρώτη φορά το 2004. Το trojan εμφανιζόταν τακτικά μέχρι το 2008, αλλά τα τελευταία 2 χρόνια δεν υπήρχαν σοβαρά κρούσματα.

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση Όνομα: rans1.png Εμφανίσεις: 1 Μέγεθος: 24,2 KBΟ συγκεκριμένος τύπος trojan είναι πολύ επικίνδυνος, καθότι η πιθανότητα να ανακτήσει ο χρήστης πίσω τα δεδομένα του είναι μικρή. Μάλιστα στη νέα του μορφή το trojan είναι ακόμη πιο καταστροφικό, αφού δε σβήνει τα δεδομένα μετά την κρυπτογράφησή τους, αλλά κάνει νέες εγγραφές πάνω σε αυτά, καθιστώντας αδύνατη την επανάκτησή τους, από λογισμικό όπως το PhotoRec που είχε αποβεί σχετικά αποτελεσματικό τα περασμένα χρόνια.

Το trojan κρυπτογραφεί ένα μέρος του κάθε αρχείου, ξεκινώντας από το πρώτο byte και εφαρμόζοντας αλγόριθμους κρυπτογράφησης RSA-1024 και AES-256. Η Kaspersky έχει προσθέσει το trojan στα virus definitions και εργάζεται στην εύρεση τρόπων ανάκτησης των δεδομένων του χρήστη. Σε περίπτωση που ο χρήστης νομίζει ότι έχει μολυνθεί, η εταιρεία συνιστά να μην προβεί σε αλλαγές στο σύστημά του, ώστε να μπορέσει να αξιοποιήσει ενδεχόμενη μέθοδο επίλυσης που θα δημοσιεύσει η Kaspersky στο μέλλον.

Το καλύτερο που έχει να κάνει ο χρήστης, είναι να σβήσει τον υπολογιστή του, αγνοώντας μηνύματα για διαγραφή δεδομένων μετά από μερικές ημέρες, αλλά να μην προβεί σε επανεκκίνηση, καθότι αυτή μπορεί να επιφέρει καταστροφικές αλλαγές στο λειτουργικό του σύστημα και τα δεδομένα. Μάλιστα, ο Kamluk συνιστά άμεση απενεργοποίηση του συστήματος, στην περίπτωση που ο χρήστης δει την προειδοποίηση, που φαίνεται στη διπλανή εικόνα, στο desktop του ή στο notepad, πατώντας το πλήκτρο απενεργοποίησης του υπολογιστή ή τραβώντας ακόμα και το καλώδιο, αν αυτό είναι πιο γρήγορο (η αφαίρεση του καλωδίου ενέχει κίνδυνο πρόκλησης ζημιάς στο hardware).

Η Kaspesky ανίχνευσε επίσης ένα δεύτερο είδος ransomware (Trojan.Win32.Oficla.cw), το οποίο κάνει αλλαγές στο Master Boot Record (MBR) του υπολογιστή, καθιστώντας αδύνατη την εκκίνηση του λειτουργικού συστήματος. Ο υπολογιστής επανεκκινείται αυτόματα και ο χρήστης βλέπει στην οθόνη μήνυμα που ζητάει λύτρα (100$ με Paysafecard ή Ukash σε δικτυακό τόπο), προκειμένου να του δοθεί κωδικός για την επαναφορά του υπολογιστή του σε λειτουργική κατάσταση.
"Your PC is blocked. All the hard drives were encrypted. Browse www.[CENSORED].ru

"Please remember your ID: ##### [where # is a digit], with its help your sign-on password will be generated. Enter password: _"
to get an access to your system and files. Any attempt to restore the drives using other way will lead to inevitable data loss !!!
Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση Όνομα: rans3.png Εμφανίσεις: 0 Μέγεθος: 42,5 KB

Σε αυτή την περίπτωση η κατάσταση δεν είναι κρίσιμη, καθότι τα δεδομένα του υπολογιστή είναι ανέπαφα, παρόλο που το μήνυμα αναφέρει ότι έχουν κρυπτογραφηθεί. Στην πραγματικότητα μόνο ο MBR είναι αλλαγμένος και μπορεί να αποκατασταθεί με rescue disk ή χρησιμοποιώντας τα password "aaaaaaciip", "aaaaadabia" (χωρίς τα εισαγωγικά).



Πηγές: Kaspersky's Securelistlink 2

Posted in

0 σχόλια:

Δημοσίευση σχολίου

Εγγραφή σε: Σχόλια ανάρτησης (Atom)
PaidVerts

Δημοφιλείς αναρτήσεις

Support us!!!

Εάν θέλετε υποστηρίξτε την προσπάθεια μας με μια μικρή δωρεά. Κάθε δωρεά είναι σημαντική γιατί μας βοηθάει να κρατήσουμε ανοικτό το site μας και να βελτιώνουμε τις υπηρεσίες μας. Αν θέλετε να μας βοηθήσετε κάνετε κλικ στο κουμπί Donate.

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Followers