Virușii informatici ransomware, care ne pot bloca parțial sau total calculatoarele ori telefoanele mobile, fac ravagii în ultima vreme, în întreaga țară. Pentru ca fișierele pe care le fură să ne fie decriptate, hackerii cer bani. În Vrancea nu s-au primit plângeri cu privire la astfel de cazuri, dar nu este exclus să se întâmple, mai ales că în județele vecine sunt multe situații de acest gen. Potrivit polițiștilor, cei mai afectați sunt contabilii, cărora le sunt blocate bazele de date.
Pentru a ști cu ce avem de-a face atunci când primim un mesaj alarmant și pentru a nu trimite bani escrocilor invizibili, polițiștii SCCO Vrancea prezintă descrierea grupului de viruși, modul în care se face infectarea, dar și ce soluții de prevenire avem în astfel de cazuri. Conform informațiilor primite de la polițiștii din cadrul SCCO Vrancea, „amenințarea informatică de tip «ransomware»reprezintă la ora actuală clasa cu cea mai rapidă rată de creștere. Clasa de amenințări de tip «ransomware» se bazează pe așa-numiții «encriptori» – troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc. Pentru a decripta aceste fișiere, infractorii cibernetici solicită o plată, de multe ori o sumă semnificativă, cuprinsă între 300 și 800 Euro. Cele mai întâlnite aplicații de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker”.
Ce se întâmplă în momentul infectării
Potrivit polițiștilor, din momentul lansării virusului, acesta se autocopiază în zone ale sistemului de operare și se adaugă pentru a fi rulat în Task Scheduler. Practic, virusul începe să caute tot ce este conectat la internet și „cotrobăie” prin fișiere. Pe cele ale căror extensii se potrivesc cu cele programate le criptează, după care apare o fereastră prin care se solicită răscumpărare. În fereasta cu pricina apare o listă a fișierelor criptate, care pot fi decriptate abia după ce se achită o sumă de bani. „După ce virusul este lansat, acesta se autocopiată în zone ale sistemului de operare și se adaugă, pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit). Virusul caută toate unitățile fixe, mobile și de rețea conectate (hard disk-uri interne și externe, telefoane mobile, servere, stick-uri, carduri de memorie etc) pentru a identifica fișiere ale căror extensii se potrivesc cu cele programate: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt. Pasul următor este să cripteze fișierele găsite. Metodele de criptare sunt: RSA și AES 265. În continuare, afișează o fereastră prin care se solicită răscumpărare și conține o listă de fișiere care au fost criptate. De obicei, infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins (monedă digitală creată în anul 2009 care este operată de către o autoritate descentralizată (neguvernamentală). Pe desktopul sistemului, virusul setează o imagine relevantă cu text în diferite limbi prin care este descrisă infecția și modalitatea prin care fișierele pot fi decriptate. Această clasă de mallware folosește algoritmi de criptare a fișierelor foarte puternici (utilizează chei publice și private pe 256 de biți). Fără a avea la dispoziție cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fișierelor în forma lor inițială”, explică polițiștii din cadrul SCCO.
Cum se propagă virușii
Polițiștii spun că această clasă de viruși informatici poate fi distribuită prin mai multe metode, cum ar fi site-uri rău intenționate sau site-uri legitime compromise, care odată accesate, instalează aplicația prin procese ascunse. O altă modalitate este transmiterea de mesaje electronice care conțin atașamente infectate sau link-uri către site-uri care instalează automat mallware. Un exemplu de astfel de email este genul care vă păcălește făcându-vă să credeți că a fost transmis de la o companie de livrări, care spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reușit. Un astfel de mesaj este practic „irezistibil” și după deschiderea și accesarea link-ului sau atașamentului, virusul se autoinstalează în sistemul dvs. De asemenea, aplicația poate fi descărcată manual, utilizatorul fiind păcălit că, de fapt, instalează „software folositor”.
Ce soluții avem
Polițiștii spun că există soluții pentru a ne proteja aparatele de această clasă de viruși, care face ravagii. Astfel, protejați-vă sistemele informatice prin instalarea unor aplicații antivirus recunoscute și actualizați-le frecvent! Soluțiile antivirus gratuite sau promoționale oferite online nu sunt recomandate. Dacă nu folosiți opțiunea Windows de acces la distanță (remote desktop), dezactivați-o!
Activați opțiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor! „Nu dezactivați opțiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows! Verificați cu atenție expeditorii mesajelor electronice înainte de a le deschide! Blocați orice trafic online către următoarele domenii: yoyosasa.com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com! Nu accesați site-uri care nu prezintă încredere și nu dați click pe link-uri primite de la surse necunoscute! Nu descărcați programe care nu prezintă încredere sau software piratat! Creați copii de rezervă ale fișierelor și păstrați-le pe servere de tip Cloud sau pe suporți de stocare a datelor detașabili, pe care să-i utilizați numai când fișierele vă sunt necesare!”, recomandă polițiștii de la Crimă Organizată.
