Utilizatorii de internet din România se confruntă cu o nouă amenințare cibernetică de tip ransomware

Recent, utilizatorii din România se confruntă cu o nouă amenințare cibernetică de tip ransomware, care, odată ce reușește infectarea unui sistem, criptează fișierele stocate pe acesta și afișează un mesaj prin care le solicită utilizatorilor plata unei recompense pentru de-criptarea acestora.

Fișierele criptate au o extensie modificată ce conține un ID al victimei și adresa de emailhelpme@freespeechmail.org, de forma: .id-4126721512_helpme@freespeechmail.org

După criptarea fișierelor, imaginea de fundal (wallpaper) este schimbată cu o imagine prin care li se comunică utilizatorilor că fișierele lor au fost criptate și trebuie să-i contacteze pe atacatori la adresele de emailhelpme@freespeechmail.org, sau helping@openmailbox.org, pentru a-și răscumpăra fișierele.

Conform informațiilor deținute până în prezent de CERT-RO, acest malware se răspândește fie prin mesaje email de tip SPAM care conțin atașamente sau URL-uri malițioase (spear phishing), fie prin intermediul unor reclame malițioase afișate pe diferite site-uri web vizitate de victime (malvertising).

amenințare cibernetică de tip ransomwareOdată instalat, malware-ul contactează un server de comandă și control (C&C) de unde va primi o cheie de criptare pe 32 de biți, urmând s-o folosească pentru criptarea fișierelor de pe mediile de stocare atașate, sau din locațiile partajate prin rețea (share). S-a observat faptul că sunt criptați doar primii 30.000 de octeți (bytes) ai unui fișier.

Până în acest moment au fost identificate următoarele informații referitoare la serverul de comandă și control utilizat de malware:

IP: 213.165.73.123
URL: ;

În timpul procesului de criptare, pentru a preveni rularea a două instanțe ale aceluiași program în memorie, malware-ul creează un mutex (mutual exclusion object) cu denumirea:
23ce0127-5e35-4b9a-aa2d-5dab6efc8905

Odată finalizat procesul de criptare, malware-ul se șterge și lasă în urmă doar imaginea de fundal menționată anterior. Acest comportament este menit să prevină analizarea ulterioară a fișierului binar.

Măsuri de remediere

În cazul în care constatați sau aveți suspiciunea că PC-ul dumneavoastră a fost infectat cu acest malware, vă recomandăm să efectuați următoarele operațiuni:

1. Deconectați urgent toate mediile de stocare externe conectate la PC  (stick de memorie, card de memorie, hard disk extern etc.), de-conectați cablul de rețea și dezactivați orice alte conexiuni de rețea (WiFi, 3G etc.);
2. [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, sau încercarea de a recupera cheia de criptare din memorie, realizați cât mai rapid o captură de memorie (RAM), utilizând o unealtă specializată, precum DumpIT: 
http://www.moonsols.com/wp-content/plugins/download-monitor/download.php?id=7;
3. Opriți PC-ul (shutdown);
4. [Opțional]. În cazul în care se urmărește investigarea ulterioară a incidentului, realizați o copie (imagine) a hard-disk-ului de pe care rulează sistemul de operare, utilizând o unealtă specializată, precum dd:
5. Porniți PC-ul utilizând un sistem de operare care se încarcă de pe un CD/DVD sau USB (LiveCD, LiveUSB), majoritatea distribuțiilor de Linux moderne oferind această facilitate. Copiați pe un alt mediu de stocare toate fișierele de care aveți nevoie, inclusiv pe cele care au fost compromise (criptate);
6. Utilizați una sau mai multe soluții de securitate antivirus/antimalware pentru scanarea PC-ului și dezinfectare acestuia;
7. Încercați recuperarea unor versiuni anterioare ale fișierelor compromise, folosind tehnologia Shadow Copy din sistemele de operare Windows. Acest lucru este posibil numai dacă sistemul are activată facilitatea System Restore. Puteți utiliza facilitatea nativă “Previous Versions” (click dreapta pe fișier – Properties – Previous Versions) sau o unealtă specializată, precum ShadowExplorer:
8. Încercați recuperarea fișierelor compromise utilizând o unealtă specializată de tip „Data Recovery”. Există o gamă variată de unelte de acest gen, inclusiv gratuite;
9. Încercați recuperarea fișierelor compromise utilizând unealta RakhniDecryptor dezvoltată și oferită în mod gratuit de compania de securitate Kaspersky Lab:
10. [Opțional] Re-instalați complet sistemul de operare. Aceasta este singura metodă prin care puteți fi siguri că sistemul nu mai conține malware sau rămășițe de malware.

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

Continuă lectura

AnteriorUrmător

Comentarii

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.