Riscurile de infectare cu un ransomware, în plină creștere

Miercuri, 25 Mai 2016
Deși au trecut câteva săptămâni de când a declanșat atacul și a început să cripteze datelor victimelor, Locky încă vizează mulți utilizatori. Pentru mai multe informații legate de această amenințare, am reunit o serie de informații pentru a vă putea proteja cât mai bine.

Win32/Filecoder.Locky.A este o variantă de program ransomware, care criptează peste 100 de tipuri de fișiere, precum imagini, baze de date etc. pe unități fixe, detașabile sau de rețea. În momentul instalării, programul ransomware se clonează în următoarea locație: %temp%\­svchost.exe și adaugă o intrare în regiștri, prin care este executat de fiecare data când sistemul este pornit.

Vectorul de atac este un mesaj normal transmis printr-un e-mail ce conține un atașament (versiunile anterioare foloseau fișiere de tip Word sau Excel cu un conținut de macro-uri malițios). Acest atașament vine cu un program trojan downloader.

Odată deschis, acest fișier conține un fișier de tip JavaScript (.js), care atunci când este executat, descarcă și execută încărcătura sa, Locky în acest caz.

După acest pas, utilizatorului i se cere să plătească o răscumpărare, iar troianul se șterge automat din calculator. Așa cum s-a putut observa în toate variantele ransomware, instrucțiunile de plată sunt stocate într-un link TOR, iar plata trebuie sa fie făcută utilizând bitcoin.

Cum să vă protejați de ransomeware?

Chiar dacă metodele de protecție menționate în alte campanii ransomware se aplică perfect și în cazul lui Locky, este indicat să le revizuim și să adăugăm unele noi:

Backup-urile sunt esențiale. Trebuie să recunoaștem, ultimul lucru pe care l-ați dori ca utilizatori este un program ransomware agresiv, care să cripteze toate datele voastre personale și care să vă facă să plătiti pentru a le putea recupera. Este întotdeauna o idee bună să aveți o versiune de backup a fișierelor, stocată într-un hard disk extern sau chiar într-un sistem de stocare de tip cloud.

Programul antivirus trebuie să fie actualizat, iar în cazul în care acesta dispune de un sistem de atenționare timpurie, trebuie să vă asigurați că este activat. Aceast lucru poate face diferența dintre a fi nevoit să așteptați ore pentru o semnătură virală care detectează o nouă amenințare sau doar câteva minute.

Realizați o actualizare a sistemului și a tuturor programelor instalate. Tentativele de exploatare care profită de lipsurile în securitatea sistemelor sunt frecvent folosite de către creatorii de malware. Nu lăsați infractorii cibernetici să infecteze sistemul, doar pentru că ați uitat să instalați cele mai recente actualizări.

Securizați sistemul. În afară de a-l menține actualizat, sunt și alte metode prin care îl puteți păstra în siguranță. Windows UAC este un pas bun, deoarece aveții posibilitatea de a-l configura pentru a solicita o permisiune suplimentară în executarea unui fișier necunoscut.

Dacă vă aflați într-un mediu business și aveți Windows Active Directory, puteți seta politicile de grup astfel încât acestea să poată împiedica un program ransomware să execute, să cripteze fișierele sau să se răspândească prin intermediul rețelei. Puteți preveni chiar și ca macro-urile de tip Office să fie executate, astfel încât nu va trebui să vă faceți griji cu privire la posibilitatea ca unii dintre angajați să deschidă un document office virusat.