Σύμφωνα με αναφορές ερευνητών ασφαλείας της Kaspersky, τις τελευταίες μέρες έχουν αναφερθεί παγκοσμίως πολλά κρούσματα κακόβουλου λογισμικού τύπου ransomware. Πρόκειται για trojan που εγκαθίσταται στον υπολογιστή του θύματος, αχρηστεύει μέρος των λειτουργιών του, επεμβαίνοντας στο λογισμικό και ζητάει λύτρα για την επαναφορά του συστήματος σε πλήρη λειτουργικότητα.
Ο Vitaly Kamluk από την Kasperky αναφέρει στην ενημερωτική σελίδα SecureList ότι το trojan θυμίζει σε λειτουργία το GpCode, που είχε εμφανιστεί για πρώτη φορά το 2004. Το trojan εμφανιζόταν τακτικά μέχρι το 2008, αλλά τα τελευταία 2 χρόνια δεν υπήρχαν σοβαρά κρούσματα.
Ο συγκεκριμένος τύπος trojan είναι πολύ επικίνδυνος, καθότι η πιθανότητα να ανακτήσει ο χρήστης πίσω τα δεδομένα του είναι μικρή. Μάλιστα στη νέα του μορφή το trojan είναι ακόμη πιο καταστροφικό, αφού δε σβήνει τα δεδομένα μετά την κρυπτογράφησή τους, αλλά κάνει νέες εγγραφές πάνω σε αυτά, καθιστώντας αδύνατη την επανάκτησή τους, από λογισμικό όπως το PhotoRec που είχε αποβεί σχετικά αποτελεσματικό τα περασμένα χρόνια.
Το trojan κρυπτογραφεί ένα μέρος του κάθε αρχείου, ξεκινώντας από το πρώτο byte και εφαρμόζοντας αλγόριθμους κρυπτογράφησης RSA-1024 και AES-256. Η Kaspersky έχει προσθέσει το trojan στα virus definitions και εργάζεται στην εύρεση τρόπων ανάκτησης των δεδομένων του χρήστη. Σε περίπτωση που ο χρήστης νομίζει ότι έχει μολυνθεί, η εταιρεία συνιστά να μην προβεί σε αλλαγές στο σύστημά του, ώστε να μπορέσει να αξιοποιήσει ενδεχόμενη μέθοδο επίλυσης που θα δημοσιεύσει η Kaspersky στο μέλλον.
Το καλύτερο που έχει να κάνει ο χρήστης, είναι να σβήσει τον υπολογιστή του, αγνοώντας μηνύματα για διαγραφή δεδομένων μετά από μερικές ημέρες, αλλά να μην προβεί σε επανεκκίνηση, καθότι αυτή μπορεί να επιφέρει καταστροφικές αλλαγές στο λειτουργικό του σύστημα και τα δεδομένα. Μάλιστα, ο Kamluk συνιστά άμεση απενεργοποίηση του συστήματος, στην περίπτωση που ο χρήστης δει την προειδοποίηση, που φαίνεται στη διπλανή εικόνα, στο desktop του ή στο notepad, πατώντας το πλήκτρο απενεργοποίησης του υπολογιστή ή τραβώντας ακόμα και το καλώδιο, αν αυτό είναι πιο γρήγορο (η αφαίρεση του καλωδίου ενέχει κίνδυνο πρόκλησης ζημιάς στο hardware).
Η Kaspesky ανίχνευσε επίσης ένα δεύτερο είδος ransomware (Trojan.Win32.Oficla.cw), το οποίο κάνει αλλαγές στο Master Boot Record (MBR) του υπολογιστή, καθιστώντας αδύνατη την εκκίνηση του λειτουργικού συστήματος. Ο υπολογιστής επανεκκινείται αυτόματα και ο χρήστης βλέπει στην οθόνη μήνυμα που ζητάει λύτρα (100$ με Paysafecard ή Ukash σε δικτυακό τόπο), προκειμένου να του δοθεί κωδικός για την επαναφορά του υπολογιστή του σε λειτουργική κατάσταση.
"Your PC is blocked. All the hard drives were encrypted. Browse www.[CENSORED].ru
"Please remember your ID: ##### [where # is a digit], with its help your sign-on password will be generated. Enter password: _"
to get an access to your system and files. Any attempt to restore the drives using other way will lead to inevitable data loss !!!
Σε αυτή την περίπτωση η κατάσταση δεν είναι κρίσιμη, καθότι τα δεδομένα του υπολογιστή είναι ανέπαφα, παρόλο που το μήνυμα αναφέρει ότι έχουν κρυπτογραφηθεί. Στην πραγματικότητα μόνο ο MBR είναι αλλαγμένος και μπορεί να αποκατασταθεί με rescue disk ή χρησιμοποιώντας τα password "aaaaaaciip", "aaaaadabia" (χωρίς τα εισαγωγικά).
Πηγές: Kaspersky's Securelist, link 2
Εμφάνιση 1-15 από 50
-
01-12-10, 06:05 Εμφάνιση ιών που ζητούν λύτρα από το θύμα #1
Τελευταία επεξεργασία από το μέλος ipo : 01-12-10 στις 06:26.
-
01-12-10, 06:11 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #2Προπληρωμένες κάρτες ........... 2 savings 4 safety
Τι εστί IBAN, BIC, OUR, SHA, BEN;
"Yesterday is History, Tomorrow a Mystery, Today is a Gift, Thats why it's called the Present."
-
01-12-10, 06:33 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #3
Αφου γινεται ηλεκτρονικη μεταφορα χρηματων - σε περιπτωση πληρωμης των λυτρων- δεν μπορουν να ανιχνευτουν τα ηλεκτρονικα ιχνη του δραστη?
-
01-12-10, 07:36 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #4
Τι ψάχνει η Kaspersky; Η λύση υπάρχει και λέγεται backup. Πότε θα αρχίσουν ΟΛΟΙ οι χρήστες να τηρούν ευλαβικά αυτόν τον απλό κανόνα;
-
01-12-10, 08:09 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #5
-
01-12-10, 09:09 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #6
Backup, Backup, Backup και ΠΡΟΣΟΧΗ στο τι κατεβάζουμε !
-
01-12-10, 09:21 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #7Αφου γινεται ηλεκτρονικη μεταφορα χρηματων - σε περιπτωση πληρωμης των λυτρων- δεν μπορουν να ανιχνευτουν τα ηλεκτρονικα ιχνη του δραστη?
-
01-12-10, 09:36 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #8
Ναι, πως.....
=>
RBN
http://www.adslgr.com/forum/showpost...5&postcount=24
-
01-12-10, 09:59 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #9
<WAN MODE> αυτά παθαίνουν όσοι κάνουν ανεύθυνη χρήση υπολογιστών μη τηρώντας τους αυτονόητους κανόνες ασφάλειας και όσοι χρησιμοποιούν μη linux OS.</WAN MODE>
See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
01-12-10, 10:00 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #10
για άλλη μια φορά αποδεικνύεται πως όποιος δεν έχει μυαλό, έχει ποδάρια
-
01-12-10, 10:05 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #11
Δυο ακομη αρθρα =
Ransomware rears ugly head, demands $120 to unlock files
Online extortionists return in a pair of campaigns, say security pros
....
"There's a resurgence of using this tactic," said Wisniewski of Sophos. "We've not seen any successful ransomware for quite some time, but the appearance of two in such a short time is probably not a coincidence."
Users running the newest version of Adobe's Reader, which that company released two weeks ago, are safe from the PDF-borne malware, said Wisniewski. Reader X includes a "sandbox" designed to protect users from PDF attacks; Wisniewski confirmed that the sandbox stops the rogue PDF from infecting a Windows PC.
"And this is a great reason to do regular backups," Wisniewski added.
http://www.computerworld.com/s/artic...7&pageNumber=1Drive-by ransomware attack demands $120
Researchers at SophosLabs are analysing a new ransomware attack that appears to have hit computer users via a drive-by vulnerability on compromised websites.
....
Users have reported to us that they have received the attack via a malicious PDF which downloads and installs the ransomware. Sophos detects the PDF as Troj/PDFJS-ML.
Files with the following extensions can be affected: .jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, and .xlsx. The easiest way to identify files that have been meddled with is that their filenames will have been changed to include the suffix ".ENCODED".
...
Once again, users who make regular backups of their important data have good reason to pat themselves on the back.
Comments (26)
Robert · 1 day ago
I sent an email to the perpetrators and got an email response telling me where to wire funds, asking it to be directly wired from a personal account. It makes me believe the idea is to have access to bank accounts. Still waiting to hear a response if it is acceptable to send funds from a neutral, third party source. Question is--does this involve trying to accumulate $120 from as many sources as possible or is it really to get account information?Τελευταία επεξεργασία από το μέλος opener : 01-12-10 στις 10:39.
-
01-12-10, 12:03 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #12
-
01-12-10, 12:43 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #13
Γουδουφου...
Το άσχημο της υπόθεσης είναι ότι από την στιγμή που ένας έκανε την αρχή, στο μέλλον θα εμφανιστούν ΠΟΛΛΑ ανάλογα...
Όσο για τα backups, αυτά θα πρέπει να γίνονται σε external HDD που θα πρέπει να είναι disconnected την στιγμή του Infection...Working from home
-
01-12-10, 12:58 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #14
Η αρχη εχει γινει εδω και καιρο...
Ransomware is making a comeback
....
As Kamluk noted, GpCode has a long history, first surfacing six years ago and then reappearing in 2008.History
The first known ransomware was the 1989 .....
http://en.wikipedia.org/wiki/Ransomware_(malware)Τελευταία επεξεργασία από το μέλος opener : 01-12-10 στις 13:09.
-
01-12-10, 13:08 Απάντηση: Εμφάνιση ιών που ζητούν από το θύμα λύτρα #15
Αν είχε Mac δεν νομίζω να μπορούσε να μολυνθεί με τέτοιου είδους ιό
backup με time capsule κάνει μόνο του connect,disconnect :P
Παρόμοια Θέματα
-
Νέο δωρεάν λογισμικό κατά των ιών από τη Microsoft
Από xolloth στο φόρουμ Γεγονότα και ΑπόψειςΜηνύματα: 13Τελευταίο Μήνυμα: 18-06-09, 23:36 -
Αποχή απο την αγορά γάλακτος...ζητούν bloggers!
Από 21century στο φόρουμ Πολιτική, Κοινωνικά Θέματα, Επιστήμες και AθλητισμόςΜηνύματα: 85Τελευταίο Μήνυμα: 02-05-09, 22:34 -
bootable cd για ελεγχο ιων απο DOS
Από rockxk στο φόρουμ Software γενικάΜηνύματα: 5Τελευταίο Μήνυμα: 15-08-08, 19:36 -
Mην απαντάτε στα e-mail που σας ζητούν αριθμούς τραπεζικούς λογαριασμών
Από DeMaitre στο φόρουμ Γεγονότα και ΑπόψειςΜηνύματα: 1Τελευταίο Μήνυμα: 08-12-06, 11:14 -
Πάνω απο το 50% των virus (ιών) , είναι για εγκληματικους σκοπούς
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 0Τελευταίο Μήνυμα: 21-03-05, 22:30
Bookmarks