AVERTISMENT de la Poliţie cu privire la atacuri informatice de tip „ransomware”

Infractorii cibernetici solicită între 300 şi 800 Euro

Sursa foto: blog.jiji.ng

Mare atenţie, constănţeni! Cum în zilele noastre computerele şi aparatele de tip smartphone sunt des folosite, mai ales accesând internetul, riscurile la care suntem expuşi sunt şi mai mari. Astfel, Poliţia Română atrage atenţia cu privire la ameninţarea informatică de tip „ransomware”, care reprezintă la ora actuală clasa cu cea mai rapidă rată de creştere!

Potrivit poliţiştilor din cadrul IPJ Galaţi, clasa de ameninţări de tip „ransomware” se bazează pe aşa-numiţii „encriptori” - troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc. Pentru a decripta aceste fişiere, infractorii cibernetici solicită o plată, de multe ori o sumă semnificativă, cuprinsă între 300 şi 800 Euro. Cele mai întâlnite aplicaţii de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker.

Cum se ajunge la infectare?

După ce virusul este lansat, acesta se autocopiază în zone ale sistemului de operare şi se adaugă pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit). Virusul caută toate unităţile fixe, mobile şi de reţea conectate (hard disk-uri interne şi externe, telefoane mobile, servere, stick-uri, carduri de memorie etc) pentru a identifica fişiere ale căror extensii se potrivesc cu cele programate: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt.

Infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins

Pasul următor este să cripteze fişierele găsite. Metodele de criptare sunt: RSA şi AES 265. În continuare, mai spun oamenii legii, afişează o fereastră prin care se solicită răscumpărare şi conţine o listă de fişiere care au fost criptate. De obicei, infractorii solicită ca plata răscumpărării să se efectueze prin Bitcoins (monedă digitală creată în anul 2009 care este operată de către o autoritate descentralizată (neguvernamentală).

Pe desktopul sistemului, virusul setează o imagine relevantă cu text în diferite limbi prin care este descrisă infecţia şi modalitatea prin care fişierele pot fi decriptate. Această clasă de mallware foloseşte algoritmi de criptare a fişierelor foarte puternici (utilizează chei publice şi private pe 256 de biţi). Fără a avea la dispoziţie cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fişierelor în forma lor iniţială.

Email-uri ciudate de la firme de livrări? Mare atenţie!

Această clasă de mallware poate fi distribuită prin mai multe metode: site-uri rău intenţionate sau site-uri legitime compromise care odată accesate, instalează aplicaţia prin procese ascunse. Transmiterea de mesaje electronice care conţin ataşamente infectate sau link-uri către site-uri care instalează automat mallware.

Un exemplu de astfel de email este genul care vă păcăleşte făcându-vă să credeţi că a fost transmis de la o companie de livrări care spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reuşit. Un astfel de mesaj este practic „irezistibil” şi după deschiderea şi accesarea link-ului sau ataşamentului, virusul se autoinstalează în sistemul dvs. Aplicaţia poate fi descărcată manual, utilizatorul fiind păcălit că, de fapt, instalează „software folositor”.

Sfaturi de la oamenii legii

Pentru a evita aceste situaţii, oamenii legii ne recomandă: protejaţi-vă sistemele informatice prin instalarea unor aplicaţii antivirus recunoscute şi actualizaţi-le frecvent! Soluţiile antivirus gratuite sau promoţionale oferite online nu sunt recomandate. Dacă nu folosiţi opţiunea Windows de acces la distanţă (remote desktop), dezactivaţi-o! Activaţi opţiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor!

Nu dezactivaţi opţiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows! Verificaţi cu atenţie expeditorii mesajelor electronice înainte de a le deschide! Blocaţi orice trafic online către următoarele domenii: yoyosasa.com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com! Nu accesaţi site-uri care nu prezintă încredere şi nu daţi click pe link-uri primite de la surse necunoscute! Nu descărcaţi programe care nu prezintă încredere sau software piratat! Creaţi copii de rezervă ale fişierelor şi păstraţi-le pe servere de tip Cloud sau pe suporţi de stocare a datelor detaşabili pe care să-i utilizaţi numai când fişierele vă sunt necesare!

Liliana CHIRU