Amenințare pe internet: îţi criptează documentele și îţi cere bani pentru deblocare

Cryptowall este o versiune avansată a Cryptolocker, un ransomware ce criptează documentele din computerele infectate și cere apoi bani de la utilizator, în schimbul cheii de decriptare.

Aparent hackerii recurg de această dată la o modalitate mai puțin în trend, dar foarte eficace de executare automată a virușilor pe computerele victimelor și de criptare a conținutului acestora – fișierele infectate atașate în mail.

Extensia folosită de atacatori, .chm, este utilizată pentru formatul HTML compilat, un tip de fișier folosit pentru a livra manuale de utilizare și aplicații software. De altfel, virusul Cryptowall este recunoscut pentru faptul că își ascunde acțiunile în aplicații sau fișiere inofensive. 

Aceste fișiere sunt interactive și rulează o serie de tehnologii ce includ JavaScript și pot redirecționa utilizatorul către o adresă externă. După simpla deschidere a fișierului .chm acesta execută diverse acțiuni în mod independent. Și totul are un singur sens: cu cât mai puțină interacțiune a utilizatorului, cu atât mai mari sunt șansele de infecție. 

Serverele de pe care s-a trimis valul de spam apar localizate în Vietnam, India, Australia, Statele Unite ale Americii, România și Spania. După analiza domeniului, se pare că atacatorii vizează utilizatori de peste tot din lume, inclusiv din SUA, Europa, Australia, Olanda, Danemarca, Suedia și Slovacia. 

Ransomware-ul este unul dintre cele mai periculoase forme de malware, ce generează numeroase provocări companiilor de securitate, forțate să creeze euristici agresive pentru a se asigura că utilizatorii nu le sunt afectați.  

Cum previi infecția cu Cryptowall?

Experții Bitdefender au formulat un set de reguli de bază care feresc utilizatorii de infectarea cu acest ransomware:

–        Folosește o soluție de securitate informatică actualizată constant și capabilă de scanare activă

–        Programează back-up-ul fișierelor – local sau în cloud

–        Urmează practicile de siguranță pe Internet și nu vizita site-uri necunoscute, nu accesa linkurile sau fișierele incluse în emailuri cu origine incertă și nu furniza informații personale pe chat-uri publice sau forumuri.

–        Implementează/activează o soluție de blocare a reclamelor și filtre antispam

–        Virtualizează sau dezactivează aplicația Flash, întrucât a fost folosită în mod repetat ca vector de infecție

–        Învață angajații cum să identifice tentativele de inginerie socială și emailurile de phishing

Pentru mai multă protecție, Bitdefender a dezvoltat Cryptowall Immunizer, un instrument care permite utilizatorilor să-și imunizeze computerele și să blocheze orice încercare de criptare a fișierelor înainte ca aceasta să aibă loc. Bitdefender recomandă utilizatorilor să aibă soluția antivirus pornită mereu și să folosească acest instrument ca pe un mecanism suplimentar de protecție.

De asemenea, administratorii de sistem trebuie să întărească politicile de grup pentru a bloca execuția virusului din locații specifice. Acest lucru poate fi realizat pe Windows Professional sau Windows Server Edition. Opțiunea Software Restriction Policies poate fi găsită în editorul Local Security Policy. După accesarea butonului New Software Restriction Policies de sub Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate ’’Dissallowed’’:

– “%username%AppdataRoaming*.exe”

– “%appdata%MicrosoftWindowsStart MenuProgramsStartup.*exe”

– C:*.exe

– “%temp%*.exe”

– “%userprofile%Start MenuProgramsStartup*.exe”

– “%userprofile%*.exe”

– “%username%Appdata*.exe”

– “%username%AppdataLocal*.exe”

– “%username%Application Data*.exe”

– “%username%Application DataMicrosoft*.exe”

– “%username%Local SettingsApplication Data*.exe”

Setarea acestor mecanisme ar trebui să limiteze sau să blocheze Cryptowall.