Wirus w mailu od firmy kurierskiej - rzecz o CryptoLockerach
Nieostrożność i coraz to nowe, a także chętnie wykorzystywane stare, pomysły cyberprzestępców wciąż zbierają żniwo w postaci utraty dokumentów, danych, wszystkich swoich plików czy uszkodzonych dysków. Szkodliwe oprogramowanie rozprzestrzeniane w fałszywych powiadomieniach pochodzących od firm kurierskich można podzielić na następujące grupy: 1. Programy trojańskie, których celem jest wykonywanie nieautoryzowanych operacji w celu usuwania, blokowania, modyfikowania lub kopiowania danych, zakłócania działania komputera lub sieci. Trojany rozprzestrzeniane w spamie obejmują: backdoory, trojany downloadery, trojany proxy, trojany PSW, trojany szpiegujące, trojany bankowe i inne. 2. Robaki - szkodliwe programy zdolne do nieautoryzowanego rozprzestrzeniania się na komputerach lub w sieciach komputerowych. Takie kopie rozprzestrzeniają się następnie dalej. Co jest niebezpiecznego w szkodliwych programach? 1. Mogą kraść nazwy użytkownika i hasła z kont użytkowników, jak również informacje finansowe i inne, na które polują osoby atakujące. 2. Mogą tworzyć botnety służące do rozprzestrzeniania spamu, przeprowadzania ataków DDoS oraz innej aktywności przestępczej. 3. Mogą zapewniać oszustom kontrolę nad komputerami ofiar, w tym możliwość uruchamiania, usuwania lub instalowania plików lub programów. Szkodliwe programy mają bardzo szeroki zakres działania. Niektóre z nich potrafią pobierać inne szkodliwe oprogramowanie, zwiększając swoje możliwości penetracji naszego komputera w celu przejęcia nazw użytkownika i haseł wprowadzanych do przeglądarki albo przejmowanie zdalnej kontroli nad całym komputerem.
Działające na szkodę użytkownika oprogramowanie w fałszywych wiadomościach, może być osadzane bezpośrednio w e-mailu albo pobierane za pomocą odsyłacza dostarczanego w treści wiadomości. Najgroźniejsze w tym jest to, że szkodliwe oprogramowanie może zostać uruchomione i zainstalowane bez wiedzy użytkowników lub przez nich samych. Zwykle szkodliwe pliki ZIP (rzadziej RAR) załączone do fałszywych e-maili, posiadają rozszerzenie pliku wykonywalnego .exe. Jak rozpoznać wiadomości phishingowe?
1. Adres nadawcy - jeśli adres nadawcy zawiera losową sekwencję liter, słów czy liczb, lub domena nie ma nic wspólnego z oficjalnym adresem firmy, takie e-maile należy uznać za fałszywe i usunąć bez otwierania. 2. Błędy gramatyczne i literówki - niewłaściwa kolejność słów, zła interpunkcja, błędy gramatyczne oraz literówki również mogą sugerować, że wiadomość stanowi oszustwo. 3. Układ graficzny. Oszuści robią, co mogą, aby ich e-mail przypominał oryginał. W tym celu próbują imitować styl korporacyjny firm przy użyciu określonych elementów takich jak układ kolorów czy logo. Na fałszywe e-maile wskazują niedokładności oraz widoczne błędy w układzie graficznym. 4. Treść wiadomości e-mail. - jeśli odbiorca e-maila jest proszony pod różnymi pretekstami o natychmiastowe potwierdzenie informacji osobistych, pobranie pliku lub odsyłacza – zwłaszcza pod groźbą sankcji za nie zrobienie tego – taki e-mail może być częścią oszustwa. 5. Odsyłacze z różnymi adresami - jeśli link podany w treści e-maila nie odpowiada adresowi rzeczywistego odsyłacza, do którego użytkownik zostaje przekierowany, taki mail jest na pewno fałszywy. Jeśli przeglądasz pocztę z przeglądarki, rzeczywisty odsyłacz można zwykle zobaczyć w lewym dolnym rogu okna przeglądarki. Jeżeli korzystasz z klienta pocztowego, prawdziwy odsyłacz może zostać wyświetlony w oknie wyskakującym po najechaniu kursorem na odsyłacz w tekście. Oszukańcze odsyłacze mogą być również dołączone do frazy tekstowej w e-mailu.
6. Załączone archiwa - zwykle archiwa ZIP i RAR są wykorzystywane przez cyberprzestępców w celu ukrywania szkodliwych plików wykonywalnych EXE. Dlatego nie należy otwierać takich archiwów ani uruchamiać załączonych plików. 7. Brak informacji kontaktowych umożliwiających wysłanie odpowiedzi - prawdziwe emaile zawsze zawierają informacje kontaktowe w celu wysłania odpowiedzi – firmy lub konkretnego nadawcy. 8. Forma adresu - fałszywe e-maile nie zawsze zwracają się do odbiorcy używając jego imienia i nazwiska; czasami stosowana jest uniwersalna forma zwracania się do odbiorcy („klient” itd.).
Jeśli otrzymałeś/łaś maila o poniższej treści: „Dzień dobry, Kurier w momencie dostarczenia zamówienia próbował zadzwonić pod numer telefonu podany na fakturze, ale numer nie odpowiadał. W związku z tym zamówienie zostało zwrócone na terminal. Okazało się, że podczas składania zamówienia był podany nieprawidłowy numer telefonu. Proszę wydrukować fakturę załączoną do niniejszego e-maila, i zwrócić się do najbliższego oddziału poczty DHL.” Z wyrazami szacunku I tu podane imię i nazwisko, z reguły fikcyjnej osoby.
Podany jest również adres siedziby firmy, a nawet telefon. Albo tak wyglądającego maila:
To informacja przed kliknięciem w link. A tak wygląda po kliknięciu:
Jeśli ktoś myśli, że popyt na nasze dane minął, to, niestety, ale bardzo się myli i jest nieostrożny.
Co to są CryptoLockery? Internetowi oszuści podszywając się pod różne firmy kurierskie, rozsyłają do użytkowników maile z informacją o nieodebranej przesyłce kurierskiej. Wiadomość zawiera odnośnik do rzekomej strony, na której uzyskamy informacje o oczekującej . na nas przesyłce. Aby informacja była bardziej wiarygodna informowani jesteśmy o karze, jaką możemy ponieść gdy tej przesyłki nie odbierzemy. Klikając na link, aplikujemy naszemu systemowi konia trojańskiego, który automatycznie instaluje następną aplikację – CryptoLockera. CryptoLocker infekuje systemy Windows XP, Vista, 7 oraz 8. Występuje zwykle jako załącznik z rozszerzeniem ZIP lub PDF albo może być instalowany zdalnie, przez wcześniejsze zainfekowanie komputera trojanem typu „botnet”, który staje się furtką do zdalnych ataków na systemów zainstalowane w naszych komputerach. CryptoLocker jest wirusem typu ransomware(inne nazwy: rogueware, scareware), który ogranicza dostęp do systemu komputerowego oraz żąda zapłacenia okupu, jeśli chcemy by ograniczenie zostało usunięte. Narzędzie do blokowania lub przechwytywania naszych danych, tworzone przez cyberprzestępców. Rozpowszechniany jest za pomocą narzędzi exploit, infiltrujących komputer poprzez luki w zabezpieczeniach oprogramowania. Powszechnym nośnikiem exploit-ów są zainfekowane wiadomości e-mail, złośliwe strony internetowe czy drive-by download. Ważnym jest aktualizowanie systemu operacyjnego, a także programów jakie mamy zainstalowane na naszym komputerze gdyż pozwoli to nam, w znacznym stopniu zmniejszyć ryzyko zainfekowania systemu wirusami typu ransomware.
Zadaniem CryptoLockera jest zaszyfrowanie dostępu, za pomocą tajnego klucza, który jest w posiadaniu autorów CryptoLockera, do naszych danych na dysku i rzec można: „mamy pozamiatane”.
Tak zaszyfrowane pliki stają się po prostu nieczytelne. Wszystkie dane, które padły ofiarą wirusa Cryptolocker otrzymują prefix .encrypted. a w każdym folderze, w którym znajdują się zaszyfrowane informacje, program dodatkowo zapisuje
pliki
DECRYPT_INSTRUCTIONS.html i DECRYPT_INSTRUCTIONS.txt,
w których znajdują się instrukcje, w jaki sposób odzyskać dane i przekazać okup. Po zakończeniu procesu instalowania szkodliwego oprogramowania otrzymamy komunikat z żądaniem okupu w BitCoinach - wirtualnej walucie nie będącej pod żadną kontrolą, jeżeli chcemy odzyskać dostęp do naszych danych, dokumentów czy innych plików. Płatności można dokonywać przez MonkeyPak albo Ukash. Niestety zapłacenie oszustom nie daje żadnej gwarancji, że otrzymamy klucz umożliwiający odzyskanie utraconych danych. W swej perfidii, cyberprzestępcy, posunęli się nawet do utworzenia dedykowanej strony “wsparcia”, która ma pomagać użytkownikom zainfekowanych komputerów w zapłaceniu okupu za ich własność.
Tak wygląda strona „pomocy”:
Kliknęliśmy w załącznik, CryptoLocker sieje spustoszenie w naszych plikach, nam oczy przesłania panika a przez głowę z hukiem przetacza się pytanie: „I CO TERAZ???” Samodzielne usuwanie plików za pomocą antywirusa jest nieskuteczne, bo sami sobie blokujemy dostęp do nich i skutecznie niszczymy wszystkie drogi ich odzyskania. Jeśli usuniesz zainfekowane pliki, to nie ma już czego deszyfrować!
Co zatem robić? Po pierwsze: „ZDROWY ROZSĄDEK!” 1. CryptoLocker jest załącznikiem fałszywych maili, a miejsce takich „liścików” jest w spamie. 2. Jeśli oczekujesz na przesyłkę to firma kurierska przesyła Ci link do śledzenia trasy przesyłki, zatem zamiast wpadać w panikę – sprawdź czy jest załącznikiem 3. TWÓRZ KOPIE ZAPASOWE DOKUMENTÓW! 4. Aktualizuj system i oprogramowanie. Zainstaluj i aktualizuj program antywirusowy oraz zaporę ogniową albo darmowe narzędzia do usuwania wirusów typu ransomware i rozszyfrowujące wszelkie pliki zaszyfrowane podczas ataku. Poinformują Cię również o typach ransomware a także pokażą, jak wyglądają zagrożenia tego typu.
1. Alcatraz Locker 2. Apocalypse 3. BadBlock 4. Bart 5. Crypt888 6. CrySiS 7. Globe 8. Legion 9. NoobCrypt 10. SZFLocker 11. Teslarypt
Po drugie: 1. Jeśli już jesteśmy ofiarami CryptoLockera i chcąc odzyskać dane warto spróbować na stronie Kasperski Lab(uruchomili usługę, dzięki której można spróbować odszyfrować dane: noransom.kaspersky.com 2. Jeśli zobaczysz ekran CryptoLockera odłącz urządzenie od sieci tak, aby wirus nie mógł dalej szyfrować plików, ani komunikować się z przestępcami. Rozłącz też wszystkie swoje serwery w chmurze takie, jak Dropbox czy Google Drive, aby nie infekować kopii bezpieczeństwa.
•
Najszybciej wyłączymy połączenie przechodząc do panelu sterowania, a następnie do kontroli urządzeń sieciowych, które należy wyłączyć.
•
Utwórz listę zainfekowanych i zaszyfrowanych plików. Aby to zrobić należy uruchomić narzędzie ListCrilock, które tworzy plik TXT z wszystkimi zaszyfrowanymi plikami. Kolejny program, który robi to samo jest CryptoLocker Scan Tool.
•
CryptoFinder odnajduje zainfekowane pliki i informuje, czy można je odzyskać czy nie
•
Można
też
zrobić
to
ręcznie
otwierając
edytor
rejestru
Windows
(start>uruchom>regedit) i przejść do klucza HKEY_CURRENT_USER\Software. Pojawi się folder zawierający nazwy plików zainfekowanych CryptoLockerem. Niektóre z nich mogą nie być jeszcze zaszyfrowane, więc będzie je można odzyskać. Inne mogą być tylko na naszych kopiach zapasowych.
Usuwanie CryptoLocker-a(XP, Vista, 7) 1. Uruchom komputer w trybie awaryjnym z obsługą sieci:
2. •
Ponownie uruchom system, przy uruchamianiu naciskaj przycisk F8,
•
Otwórz menu Opcje zaawansowane systemu Windows.
•
Wybierz opcję Tryb awaryjny – możesz wybrać albo tryb awaryjny z obsługą sieci, albo zwykły Tryb awaryjny, lub tryb awaryjny z wierszem polecenia.
•
Zwykły tryb awaryjny został oznaczony jako najbardziej zalecana metoda radzenia sobie z wirusami i kilku innych szkodliwych programów, ponieważ otwartych okien przy minimalnych kierowców i bez połączenia z Internetem.
•
Tryb awaryjny z obsługą sieci można uruchomić gdy zaistnieje potrzeba potrzebuje korzystania z Internetu w celu rozwiązania problemów, pobrania sterowników.
•
Tryb awaryjny z wierszem poleceń jest przydatny do uruchomienia wiersza polecenia narzędzia takiego jak np.: chkdsk
•
Naciśnij Enter – system komputerowy uruchomi się w trybie awaryjnym.
•
otwórz okno Uruchom lub naciśnij klawisze Windows + R.
•
Wpisz polecenie “msconfig” i kliknij przycisk Enter.
•
Teraz wybierz zakładkę Boot.
•
Zaznacz pole “Safe Boot”
•
Wybierz zasadę “Minimal” dla typowego bezpiecznego rozruchu.
•
Zastosuj i komputer zostanie ponownie uruchomiony w trybie awaryjnym
•
Umożliwi to rozruch komputera w trybie awaryjnym za każdym razem.
•
Aby cofnąć zmiany, powtórz kroki i usuń zaznaczenie pola “Safe Boot”.
Jak wyświetlić ukryte pliki w Systemie Windows •
Kliknij na “ Mój komputer”.
•
Kliknij menu Narzędzia, a następnie Opcje folderów.
•
•
W oknie Opcje folderów, kliknij kartę Widok.
•
Na karcie Widok w obszarze Ustawienia zaawansowane wybierz Pokaż ukryte pliki i foldery
•
Kliknij przycisk Zastosuj, a następnie OK.
Zastopowanie MNS Cryptolockera, virusa skojarzonego z procesem Menedżera zadań
1. Naciśnij przycisk (Alt + CTRL + Del) jednocześnie, aby otworzyć Menedżera zadań, lub po kliknij prawym przyciskiem myszy na pasku zadań i wybierz polecenie “Uruchom Menedżera zadań “.
2. W zakładce “Procesy”, zaznacz cały proces związany z MNS Cryptolocker virus i kliknij na “Zakończ proces”.
3. Przejdź do zakładki “Services”, a tam zatrzymaj nieznane usługi.
Usuń MNS Cryptolockera z Windows 7
•
Otwórz Panel sterowania, nawigacji menu start.
•
Wybierz zakładkę “Odinstaluj programy”.
•
W oknie programu odszukaj odpowiedni program i odinstaluj go bezpiecznie.
Zrestartuj komputer aby zapisać zmiany
Jak odzyskać pliki zainfekowane Cryptolocker-em? Crytoplocker szyfruje dokumenty znalezione na komputerze i dyskach sieciowych. Nie szyfruje zarchiwizowanych dokumentów, plików na odłączonych dyskach i serwerach znajdujących się w Internecie Rozszerzenia atakowane przez Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c. 1. Po usunięciu wirusa z komputera możesz skorzystać z kopii w tle, czyli Shadow Copy systemu Windows. Komputer przechowuje kopie plików, w wersji przed modyfikacją. Uruchamianie funkcji Shadow Copy systemu Windows: •
kliknij prawym przyciskiem myszy na wybranym zainfekowanym pliku i otworzyć właściwości.
•
Na karcie poprzednie zobaczysz różne, wcześniejsze wersje zapisane przez system Windows.
•
Wybierz najnowszą kopie zapasową, która poprzedza infekcje i odtwórz ją. Szybkim i wygodnym sposobem na dostęp do wszystkich kopii w tle jest darmowe narzędzie ShadowExplorer.
•
ShadowExplorer: wybierz napęd i datę kopii, a następnie przeglądaj foldery i pliki.
•
Kopie wyodrębnisz prawym przyciskiem myszy klikając w przycisk eksport.
•
Jeśli masz kopię zapasową plików/folderów na zewnętrznym dysku, serwerze, czy przenośnej pamięci - użyj kopii zapasowej. Pliki możesz także zapisać w chmurze w Dropbox, Sky Drive lub Google Drive.
•
Jeśli odzyskujesz pliki z Dropbox’a lub Google Drive upewnij się, że nie jest to zainfekowana wersja. Dyski w chmurze umożliwiają skanowanie plików.
•
Jeśli chcesz zapobiec takiej infekcji, możecie też skorzystać z CryptoPrevent. Narzędzie to modyfikuje zasady zabezpieczeń system Windows tak, aby zapobiec szyfrowaniu naszych plików przez niepożądane aplikacje.
•
CryptoPrevent pozwala na szybkie zablokowanie niepożądanych czynności wykonywanych przez aplikacje.
•
Aktywuj kopie w tle systemu Windows, umożliwisz sobie w ten sposób odzyskanie przynajmniej części danych gdy już wszystkie inne sposoby zawiodą.
Na podstawie: http://www.komputerswiat.pl/nowosci/bezpieczenstwo/2015/20/cyberoszusci-podszywajasie-pod-poczte-polska.aspx https://artykuly.softonic.pl/jak-pokonac-cryptolocker-wirus-przechwytujacy-twojedokumenty https://www.avast.com/pl-pl/c-ransomware#academy https://www.dobreprogramy.pl/Ransomware-coraz-sprytniejsze-udaja-Poczte-Polska-byzaszyfrowac-ofiarom-pliki,News,62956.html http://securelist.pl/analysis/7288,wirus_w_przesylce_kurierskiej_prosto_od_cyberprzestepco w.html http://www.chip.pl/news/bezpieczenstwo/wirusy/2015/01/szyfruje-dyski-i-zada-okupu https://trybawaryjny.pl/co-to-jest-cryptolocker-i-jak-sie-przed-nim-bronic/ http://odzyskiwaniepartycji.pl http://www.komputerswiat.pl/poradniki/programy/windows-7/2014/02/windows-7ukrywanie-dyskow-twardych-i-partycji.aspx https://usunwirusa.pl/wirus-cryptolocker-5-1/ http://www.komputerswiat.pl/artykuly/redakcyjne/2016/04/wirus-locky.aspx http://www.odinstalujwindowsmalware.com/jak-usunac-wirusa-z-komputera-pc-mnscryptolocker#Krok 1
Autor: Anna Łęczycka-Kras
REDAKTOR NACZELNY Joanna Wickowska
Karol Mordel
PROJEKT OKŁADKI I GRAFIKA Paulina Zielińska Mariola Cypara
REDAKTORZY TECHNICZNI Patrycja Bargieł Kacper Urban
KOREKTA
Patrycja Witkoś