Czyścisz komputer z reklam i wirusów? Mogłeś go niechcący zaszyfrować!

Wirus Kraken Cryptor ma dopiero miesiąc, ale sama metoda jego dystrybucji to dowód, że koniec ransomware obwołano przedwcześnie, a cyberprzestępcy wciąż doskonale się adaptują.Autorzy ransomware dyskontują uczulenie internautów na niechciane programy, propagując wirusa jako narzędzie czyszczenia systemu – i to na oficjalnej stronie producenta oryginału. Pokażemy wam, jak ochronić swoje dane przed infekcjami ransomware i jej skutkami.

Lata 2016 i 2017 upłynęły użytkownikom i firmom w cieniu ransomware. Tymczasem u progu Q4 widać już, że w 2018 rządzi inny typ zagrożeń – cryptojacking. To wykorzystywanie zarażonych komputerów nieświadomych ofiar jako tzw. kryptokoparek – urządzeń pozyskujących (“kopiących”) kryptowaluty.

Przyczyną popularności cryptojackingu jest dynamiczny rozwój rynków Bitcoin, ether czy litecoin. Historie kryptofortun skutecznie przyciągają inwestorów oraz cyberprzestępców, żerujących na nieuwadze tych pierwszych. Właśnie tego próbują twórcy Kraken Cryptora, niebezpiecznie łączącego szum wokół kryptokoparek i sprawdzony model zarobku na ransomware.

Wykopać koparki

Kopanie kryptowalut wymaga dużej mocy obliczeniowej, dostępnej np. w procesorach kart graficznych. Tylko po co je kupować, gdy można zdalnie budować całe ich farmy infekując swoimi koparkami setki maszyn? Cyberprzestępcy kradną więc moc obliczeniową użytkowników, a technologiczne blogi i eksperci bezpieczeństwa IT doradzają regularne sprawdzanie, czy nasz zwalniający ostatnio komputer nie został czyimś cyfrowym “kilofem”.


Ochroń swoje dane – zobacz najbliższy webinar Xopero!


Jak można to sprawdzić? Nasze doświadczenie wskazuje, że użytkownicy zwykle ograniczają się do wykonania trzech czynności. Najpierw internetowy skan przeglądarki, potem dogranie wtyczki blokującej działanie ukrytych koparek i wreszcie instalacja pierwszego z brzegu skanera zagrożeń malware i spyware, sprzątającego systemowe śmieci. Takim pierwszym z brzegu wynikiem Google na hasło “antispyware” jest obecnie SUPERAntiSpyware – witryna narzędzia popularnego także w Polsce. I to właśnie na niej kilka dni temu startowała niebezpieczna gra o bezpieczeństwo danych nieświadomego użytkownika.

W szyfrujących mackach

Otóż na serwerze producenta SUPERAntiSpyware przez kilka godzin obok oryginalnego produktu znajdował się wirus ransomware, udający jego instalator. Różnica była subtelna: nazwę właściwego pliku wydłużono literą “s” (SUPERAntiSpywares.exe), serwując ofiarom szyfrujące zagrożenie Kraken Cryptor w najnowszej wersji 1.5. Twórcy fałszywki zadbali o jej wiarygodność, maskując aktywator wirusa ikoną udawanego programu i tym samym zwiększając szanse jej otwarcia.

Zagrożenie najpierw sprawdza lokalizację i język systemu, nie szyfrując danych jeśli komputer znajduje się w Armenii, Azerbejdżanie, Białorusi, Estonii, Gruzji, Iranie, Kirgistanie, Kazachstanie, Litwie, Łotwie, Mołdawii, Rosji, Tadżykistanie, Turkmenistanie, Ukrainie, Uzbekistanie lub Brazylii.
Po zaszyfrowaniu danych wirus czyści i nadpisuje całą wolną przestrzeń szyfrowanego dysku zerami, dodatkowo komplikując odzyskanie danych. Następnie restartuje komputer, wyłączając opcję ostatniej działającej wersji Windows i usuwa jego backupy. Zaszyfrowanych plików nie da się odzyskać bez przywrócenia backupu lub haraczu w wysokości 0,125 bitcoina (około 2900 zł w chwili tworzenia tego tekstu). Można się jednak skutecznie przed nim bronić. Jak?

Wehikuł czasu danych

Przede wszystkim zawsze pamiętajmy o posiadaniu aktualnego i sprawdzonego backupu, który możemy już przywracać nawet sprzed minuty i na dowolne urządzenie użytkownika – radzi Grzegorz Bąk, nasz presales engineer – Dobry backup to nie tylko gwarancja ciągłości działania systemów firmy, ale wciąż jedyne antidotum na skutki praktycznie wszystkich ataków szyfrujących, w tym najnowszego Kraken Cryptora.

Sprawdzony backup pozwala niejako cofnąć czas działania systemu do momentu ataku szyfrującego i podjąć pracę tak, jakby przeszkoda nigdy nie wystąpiła. Tym samym redukujemy koszty przestoju w pracy niemal do zera i uniezależniamy bezpieczeństwo danych od czynników zewnętrznych. By zaś uniknąć samych ataków należy regularnie aktualizować systemy i na wszelki wypadek wyłączyć systemową funkcję zdalnego dostępu, używaną do pobierania dodatkowych składników zagrożeń.

Wciąż trzeba uważać na podejrzane załączniki mailowej poczty. Spadek popularności ransomware zmniejszył liczbę medialnych ostrzeżeń, wzmacniających czujność użytkowników w ostatnich 2 latach. Dlatego przypominamy, że cyberprzestępcy tylko czekają na rozluźnienie i spadek uwagi, bo chociaż twórcy i klienci SuperAntiSpyware mieli szczęście – oryginalny link nie został naruszony, a fałszywkę usunięto – to przy wyrafinowanych metodach ataków takie pozytywne wyjątki zdarzają się rzadko. Częściej sytuacja wygląda tak, jak ostatni ciężki weekend lotniska w Bristolu.

Ransomware blokuje pracę lotniska

Dopiero w poniedziałek władze międzynarodowego portu lotniczego w Bristolu odzyskały kontrolę po pechowym ataku szyfrującym, który drastycznie spowolnił jego pracę w sobotę i niedzielę. Ransomware zablokował tam działanie tablic przylotów i odlotów, skazując awaryjnie rozszerzony personel na ręczne wprowadzanie danych i mocno wydłużając obsługę pasażerów.

Po wykryciu piątkowej infekcji władze lotniska zdążyły odłączyć większość swoich systemów nie chcąc ryzykować epidemii i całkowitego paraliżu komunikacyjnego. Łatwo sobie wyobrazić skalę zagrożenia, gdyby szyfrowaniu uległy systemy np. wieży kontrolnej. Rzecznik prasowy lotniska zapewnił, że usterkę zlikwidowano bez płacenia haraczu za odblokowanie tablic, nie wspominając jednak o backupie danych. 

Czy gdyby ten faktycznie tworzono i sprawdzano, to wznowienie pracy lotniska przyjmującego 8 mln pasażerów rocznie zajęłoby dwa dni? Najnowsze systemu backupu pozwalają na to znacznie szybciej – nawet gdy Kraken Cryptor zdąży zaszyfrować pół serwerowni pechowej firmy.

Nasz tekst cytowały serwisy:
Dziennik Internautów / Virtual IT / eGospodarka