3
http://www.komputerswiat.pl/artykuly/redakcyjne/2013/11/uwaga-policja-puka-do-drzwi!-ransomware-powrocil.aspx#utm_campaign=Newsletter&utm_source=KS&utm_medium=Mail&utm_content=EditorMemo
Uwaga, policja blokuje twój komputer! Ransomware powrócił.
Do redakcji Komputer Świata nadchodzi coraz więcej maili od Czytelników, którzy stali się ofiarami przestępców wykorzystujących ataki typu ransomware. Chodzi o rozmaite odmiany trojana, który po zainfekowaniu komputera powoduje całkowitą blokadę jego działania, a na ekranie wyświetla komunikat pochodzący ponoć od policji. W wiadomości czytamy, że za pomocą naszego komputera dokonano w internecie przestępstwa (związanego na przykład ze ściąganiem nielegalnych plików lub pedofilią), a jedynym sposobem na odzyskanie dostępu do komputera jest wysłanie odpowiedniej opłaty na wskazane konto bankowe.
Ransomware nie jest w internecie nowym zjawiskiem, jednak wygląda na to, że w ostatnim czasie jego autorzy przystąpili do zimowej ofensywy.
- Podczas przeglądania internetu i na całym ekranie pojawiła się dziwna informacja - pisze w swoim mailu Joanna, jedna z Czytelniczek Komputer Świata. - Nie mogłam w żaden sposób opuścić tej strony. Jakoby Interpol zablokował mój komputer, bo...przechowuję i rozpowszechniam treści związane z pedofilią, nielegalne oprogramowanie i nielegalne pliki, etc., etc.
Pomyślałam, że to jakiś błąd (nie mam żadnych takich rzeczy na komputerze ani nie jestem "pedofilką") - jednak w żaden sposób nie mogłam opuścić tej dziwnej strony.
Zaczęłam dokładniej przyglądać się treści... No i bardzo szybko zrozumiałam, że ta strona ewidentnie nie może mieć nic wspólnego z żadnymi "służbami", bo...zażądano ode mnie zapłacenia kary pieniężnej za popełnione przestępstwa internetowe!!! To już mnie rozśmieszyło do łez. Nie trzeba mieć nadzwyczajnej wiedzy prawniczej, aby domyślić się, do czego to wszystko zmierza.
Joanna postanowiła sprawdzić sprawę u źródła.
- Zadzwoniłam do dyżurnego Komendy Głównej Policji z zapytaniem, czy mieli już sygnały o takiej sytuacji. Okazało się, że tak!
Wiele osób dzwoniło, bo całkowicie zablokowało im nie tylko przeglądarkę, ale w ogóle cały komputer!
Wygląda więc na to, że tym razem infekcja miała nieco łagodniejszy przebieg niż zwykle.
- Ja miałam szczęście, bo po zrestartowaniu komputera, wszystko działało normalnie. Oczywiście natychmiast uruchomiłam pełne skanowanie antywirusem. Mam nadzieję, że pozbędę się tego świństwa.
Piszę o tej sprawie, bo może będziecie Państwo mogli ostrzec innych internautów.
Gdyby nie fakt, że w wypadku ransomware mamy do czynienia z wyjątkowo uciążliwym zagrożeniem, to szybki rzut oka na wspomniany ekran blokujący komputer rzeczywiście wystarczy, by nas rozbawić.
Komunikat o dokonanym rzekomym przestępstwie internetowym jest napisany taką polszczyzną, że gdybyśmy używali jej na co dzień, to nie tylko nie zdalibyśmy matury, ale nawet prostego dyktanda w podstawówce.
Na obrazkach towarzyszących tekstowi widnieje między innymi wizerunek Prezydenta RP, który akurat z policją czy Interpolem ma tyle wspólnego, co sama policja z autorami tego ataku. Wszystko byłoby więc dosyć zabawne, gdyby zawsze kończyło się tak szczęśliwie jak w wypadku Joanny. Niestety jest inaczej. Większość ataków ransomware nie ustępuje po zrestartowaniu komputera, a użytkownicy mają poważny problem, który w dodatku niełatwo rozwiązać.
Okazuje się, że w wypadku ataków trojanami ransomware do bólu sprawdza się zasada, że Polak powinien być mądry przed szkodą. Może się bowiem okazać, że niektóre z odmian ataku pozbawią nas na stałe dostępu do danych w komputerze.
- W przypadku zagrożeń typu LockScreen, wyświetlających np. logo Policji, możemy spróbować uruchomić system operacyjny w trybie awaryjnym, a następnie przeskanować dysk jednym z programów antywirusowych, dostępnych online, który prawdopodobnie trwale usunie szkodnika z naszego systemu - tłumaczy Kamil Sadkowski, analityk zagrożeń firmy ESET. - Niestety, w przypadku zagrożeń typu Filecoder, szyfrujących pliki na dysku, usunięcie szkodnika z systemu nie wystarczy, a jedynym skutecznym zabezpieczeniem przed utratą danych jest posiadanie aktualnej kopii zapasowej.
Okazuje się więc, że regularne tworzenie backupu może się okazać jedynym remedium na najbardziej wredne odmiany ransomware. Czy jednak możemy się przed takim zagrożeniem ochronić, zanim jeszcze zostaniemy zaatakowani?
- Nie ma metody ochrony przed samą infekcją takim programem, która byłaby skuteczna w stu procentach - mówi Sadkowski. - Ryzyko infekcji ogranicza zachowanie zdrowego rozsądku podczas korzystania z sieci oraz używanie aktualnych wersji przeglądarki internetowej, czytnika plików PDF czy Javy. Prawdopodobieństwo ataku zmniejsza również zabezpieczenie komputera programem antywirusowym lub pakietem bezpieczeństwa, który regularnie aktualizuje swoją bazę wirusów.
Specjaliści z CERT, którzy jakiś czas temu wzięli pod lupę trojany z rodziny ransomware zwracają szczególną uwagę na Javę. Według nich większość ataków odbywa się z wykorzystaniem luk właśnie w tym oprogramowaniu. Dlatego szczególnie istotne może być stałe śledzenie dostępności poprawek i nowych wersji Javy na stronach firmy Oracle. Można też w używanej przez nas przeglądarce stron WWW zainstalować odpowiednią wtyczkę, która pozwoli na kontrolowanie skryptów Java na odwiedzanych witrynach.
Czy w wypadku zaszyfrowania przez trojana wyjątkowo ważnych dla nas plików na dysku twardym i w akcie ostatecznej desperacji warto ulec przestępcom i wysłać im żądaną sumę? Przypomnijmy, że nie chodzi o małe pieniądze - w najmniej dokuczliwych wypadkach będzie to 500 złotych, ale bywa też i... 5 tysięcy euro.
Odpowiedź na takie pytanie nie jest łatwa. Niektórzy specjaliści i wpisy na forach potwierdzają, że w wielu wypadkach wniesienie opłaty kończy się otrzymaniem odpowiedniego kodu odblokowującego komputer. Jednak nie mamy żadnej pewności, że tak będzie. W końcu mamy do czynienia z przestępcami, a więc osobami, delikatnie mówiąc, niezbyt wiarygodnymi.
Podczas korzystania z sieci zachowajmy więc czujność. Przykład powracającego ransomware'u dowodzi bowiem, że w internecie możemy utracić nie tylko istotne dane, ale także dostęp do komputera, który dla wielu z nas jest nie tylko źródłem rozrywki, ale po prostu podstawowym narzędziem pracy.
Komentarze:
Całkiem niedawno mój znajomy kliknął w link w mailu. Nie wiem po co, skoro nie znał nadawcy. Był to LockScreen (logo policji, zdjęcie z kamerki,do zapłaty 500zł). Uruchomiłem tryb awaryjny i odpaliłem combofixa, od tamtej pory wszystko dobrze śmiga.
Na jednym serwisowanym komputerze miałem coś takiego podobnego. Odpaliłem CCleaner portable z Pendriva w Trybie awaryjnym, wszedłem w autostart i usunąłem jeden wpis(wyglądał nawet dosyć dziwnie). Po restarcie było wszystko ok. Nie wiem czy w tej wersji wirusa też się tak da.
A po co kompa od razu resetować? U siebie internet przeglądam za pomocą Super Fast Browser. Jak pojawia się wyżej wspomniane okienko z żadaniem zapłaty za rzekome przestępstwo, Odpalam menedżera zadań, "gaszę" proces przeglądarki. Okienka się pięknie zamykają i dalej serfuję ;)
Ja usunąłem to koleżance włączając tryb awaryjny z obsługą sieci , potem sciągnąłem combofix który przeskanował usunął i zrestartował komputer i było po problemie .Zawsze możemy wejśc poprzez płytkę linuksa live .skopiować dane (linuks czyta )i od nowa system wgrać.najlepiej osobiste dane przechowywać na dysku zewnętrznym ,albo na innej partycji niż system.
Ja przeinstalowałem przeglądarkę , skanowanie programem adwcleaner i po sprawie.
Miałem kilka miesięcy temu problem z tym że wirusem infekował wszystkie kompy w domu ! w sumie 5 maszyn przed tym pojawiały sie przy przeglądaniu stron reklamy głównie roskie..., nie mogłem sobie poradzić co udało się wira usunąć wracął przez te reklamy nie trzeba było nic klikać sam się instalował. Co się okazało jakimś cudem w routerze podmieniono mi serwery DNS na adresy Rosyjskie !! stąd do każdej strony doklejały się reklamy. Nie zapomnijcie zmienić hasło w routerze z domyślnego !!
Wszystko pięknie, tylko że niektóre z tych niespodzianek rzeczywiście potrafią zaszyfrować dane i wtedy już "po ptakach". Watpię, żeby przestępcy rzeczywiście po uiszczeniu opłaty udostępniali klucz. Niby po co? Kasę już mają. Jeżeli używasz programów pracujących wyłącznie pod Windows i gromadzisz ważne dane, do komunikacji przez internet używaj drugiego komputera z jakąś dystrybucją Linuksa. Do wymiany danych używaj pamięci USB którą najpierw przeglądasz pod Linuksem i pozostawiasz tylko potrzebne Ci pliki. Obce Pliki Worda jeszcze na komp. linuksowym konwertujesz do RTF i w tej formie przenosisz na komp. z MS Office. Komputer chroniony (ten z Windą) podłączaj regularnie co jakiś czas do internetu tylko w celu aktualizacji systemu oraz programu antywirusowego i nie rób nic więcej online. Ściągnięte pliki PDF otwieraj najpierw w przeglądarce pod Linuksem i gdyby tam było ukryte jakieś wykonywalne świństwo, to zaczną wyskakiwać błędy uruchamiania programu.
Combofix bez problemu zawsze go usuwa. Wystarczy wpisać w przegladarce "combofix forum" i tam jest dokładnie napisane jak tego badziewia sie pozbyć. Combofix i pendrive, dosłownie 5 min i po kłopocie.
Ja miałem już styczność z tym badziewiem i od razu po odpaleniu się pokazywało to okno jak wyżej. i jak sobie poradziłem? nacisnełem wyłącz komputer gdy zaczoł już się ten proces i znikną pulpit narzucony przez wirusa nacisnełem CTRL ALT DEL (menadżer zadań) po tym nastąpiło zatrzymanie zamykania komputera dzięki czemu można było odpalić skanowanie kas....kim i bo zakończenie skanowania usunoł on wirusa lecz to nie wszystko! po tym trzeba uruchomić takie narzędzie we wspomnianym kas...skim o nazwie "sprawdzenie śladów aktywności nie porządanego oprogramowanie) i tylko po tej operacji będziemy w pełni wolni od tego wirusa.
Anty-LightworkersPL