Bezpieczeństwo

Laboratorium ESET przestrzega przed trojanem szyfrującym pliki na dysku i żądającym okupu

przeczytasz w 3 min.

Eksperci firmy ESET wykryli działanie trojana, który po infekcji systemu szyfruje dane na dysku, a następnie żąda wpłacenia za nie okupu.

eset logo atak trojan szyfrowanie plików okup

Twórcy szkodliwego oprogramowania niemalże prześcigają się już w tworzeniu coraz to nowszych, bardziej szkodliwych i trudniejszych w wykrywaniu oraz usuwaniu wirusów, a także trojanów. Ostatnio eksperci z firmy ESET, zajmującej się bezpieczeństwem odkryli zagrożenie szyfrujące dane na dysku twardym.

Wykryty szkodnik jest bardzo groźnym koniem trojańskim, który po infekcji komputera z systemem Windows, szyfruje pliki znajdujące się na dysku komputera, uniemożliwiając tym samym do nich dostęp, a następnie żąda za ich odblokowanie okupu sięgającego nawet 3 tysięcy euro. Niestety tego typu szkodniki od około dwóch miesięcy zwiększają swoją aktywność, wybierając sobie za cel także użytkowników z Polski.

W ostatnim czasie popularnym w Polsce okazał się wirus, powodujący wyświetlenie komunikatu, mającego rzekomo pochodzić od Policji, w którym pojawiają się informacje o tym, że użytkownik tego komputera w Internecie złamał prawo i jeżeli chce uniknąć odpowiedzialności karnej, musi zapłacić określoną sumę pieniędzy. Co prawda, szkodnik, mimo iż, zdołał przestraszyć i wyłudzić od nieświadomych użytkowników pieniądze to jednak wielkiego zagrożenia dla komputera nie powoduje i można go w dosyć szybki sposób usunąć.

Inaczej jest jednak w przypadku trojana, o którym informuje firma ESET. Otóż wykryta grupa koni trojańskich, oznaczanych przez ESET etykietą Filecoder, które stosują tak skuteczne algorytmy szyfrujące, że przywrócenie dostępu do zablokowanych plików, bez wpłacenia okupu, w większości wypadków może okazać się niemożliwe.

eset koń trojański szyfrowanie plików okup

Filecoder przedostaje się na dysk komputera, wykorzystując jeden z kilku sposobów. Infekcję może zainicjować sam użytkownik - odwiedzając stronę internetową, zarażającą konkretnym wariantem tego zagrożenia lub uruchamiając plik załączony do wiadomości e-mail, podszywający się np. pod dokument PDF. Filecoder może przedostać się do komputera użytkownika również w inny sposób, np. zagrożenie może zostać pobrane przez inny złośliwy program, który wcześniej zagnieździł się w systemie ofiary. Najgroźniejszą formą infekcji jest jednak atak za pośrednictwem protokołu RDP (Remote Desktop Protokol), czyli z wykorzystaniem tzw. zdalnego pulpitu.

Warto przypomnieć, że RDP powstał z myślą o pomocy użytkownikom. Za pośrednictwem zdalnego pulpitu informatyk może bowiem przejąć kontrolę nad danym komputerem, zidentyfikować przyczynę nieprawidłowej pracy danej maszyny i naprawić sprzęt, bez konieczności odwiedzania klienta w domu.

Nie wiadomo jeszcze, w jaki sposób atakujący zdobywają dane logowania do zdalnego pulpitu - czy jest to efekt działania keyloggera, który wykrada dane zabezpieczające zdalny pulpit, czy to raczej atak siłowy, polegający na odgadywaniu, metodą prób i błędów, danych dostępowych do konkretnego RDP. Wiadomo jedynie, że po uzyskaniu dostępu do komputera ofiary, atakujący zwykle dezaktywuje oprogramowanie antywirusowe i instaluje na maszynie Filecodera, czyli konia trojańskiego, który jest równocześnie programem szyfrującym.

Kamil Sadkowski z firmy ESET podkreśla, że już sam atak za pośrednictwem RDP jest bardzo niebezpieczny, ponieważ atakujący uzyskuje pełną kontrolę nad danym komputerem - może obserwować, co użytkownik widzi na swoim monitorze, może także przejąć kontrolę nad wskaźnikiem myszy, wprowadzanym tekstem itd.

W zależności od wersji Filecoder szyfruje wybrane pliki w całości lub tylko w części, korzystając z różnych algorytmów jak: Blowfish, AES, RSA lub TEA. Zabezpieczone zbiory zastępują oryginalne pliki, które są albo usuwane (te czasami udaje się odzyskać za pomocą specjalnych narzędzi), albo nadpisywane. Wersje Filecodera rozprzestrzeniane za pośrednictwem RDP dodatkowo zastraszają użytkownika, wyświetlając monit, wygenerowany rzekomo przez jedną z międzynarodowych organizacji, które w rzeczywistości nie istnieją. Zwykle zagrożenie powołuje się na Anti Cyber Crime Department of Federal Internet Security Agency lub na Anti-Child Porn Spam Protection.

eset trojan żądanie wpłaty okupu

Większość zagrożeń z rodziny Filecoder żąda od swoich ofiar okupu w kwocie od 100 do 300 euro, ale odmiana Win32/Filecoder.NAC, atakująca głównie firmy, w zamian za odblokowanie dostępu do plików oczekuje aż 3000 euro. Dodatkowo, aby wywołać w ofiarach jeszcze większy strach, wybrane wersje Filecodera dodatkowo wyświetlają zegar, który odlicza czas, jaki pozostał użytkownikowi na wpłacenie okupu. Jeśli użytkownik nie wniesie w określonym czasie stosownej opłaty, zaszyfrowane pliki są trwale usuwane z zainfekowanego komputera.

Najwięcej infekcji Filecoderem firma ESET zarejestrowała w Rosji, Włoszech, Hiszpanii, na Ukrainie i w Rumunii. Zagrożenie jest aktywne również w Niemczech, Polsce, Czechach oraz w Stanach Zjednoczonych.

Uchronić przez infekcją wspomnianym trojanem mogą programy antywirusowe, jeśli zagrożenie spróbuje przedostać się na dysk komputera podczas wizyty na stronie internetowej, infekującej tym zagrożeniem lub podczas próby otwarcia załącznika, która zawiera wspomnianego konia trojańskiego. Trudniej zabezpieczyć się przed atakiem realizowanym za pośrednictwem zdalnego pulpitu (RDP) - należy pamiętać, że po włamaniu przez RDP, atakujący może zdezaktywować antywirusa, pozbawiając daną maszynę ochrony. Eksperci z firmy ESET radzą wszystkim użytkownikom komputerów z systemami Windows, aby zabezpieczyli zdalny pulpit. Mogą to zrobić poprzez jego wyłączenie, uniemożliwiając dostęp do RDP z sieci zewnętrznej oraz ogarniczając dostęp, łącząc się z nim za pośrednictwem bezpiecznych tuneli VPN, do których dostęp chroniony jest dwuskładnikowym uwierzytelnianiem.

Źródło: ESET, FreakingNews

Komentarze

19
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    misiek710
    5
    Kto uruchomił aktualizację swojego antywirusa łapka w górę :D
    • avatar
      kitamo
      2
      A kt ow obecnych czasach pisze wirusy ? jest to absolutnie nieoplacalne, jedynie firmy ktore sprzedaja nam swojego antywirusa ciagle kombinuja i pisza zlosliwy kod by pozniej moc zarobic broniąc naszych komputerow przed nim
      • avatar
        Konto usunięte
        0
        Mam linuksa i po problemie ;)
        • avatar
          .Alx.
          -7
          Ech...
          Znów ci od wirusów wykupili artykuł sponsorowany, nudne się to już robi.
          • avatar
            Konto usunięte
            0
            Tez nie używam stałego "pilnującego" antywira.
            Jedynie darmowy Malawarebytes a skan robię gdy "czuję" (intuicyjnie bądź instynktownie) że coś nie tak.
            I mam spokój - jak mówił Damian_jo - po prostu trzeba mieć głowę na karku.
            • avatar
              hynio
              0
              Swoją drogą ciekawe ile wirusuw jest pisanych przez firmy sprzedające oprogramowanie antywirusowe?
              • avatar
                Lonnger
                0
                Wirusy? Owszem miałem i to wiele... jak się kupowało gry na giełdach, jak rządziły dyskietki, ale już od... Nie pamiętam kiedy tego nie ma. Znajomi łapią różny syf, trojany/wirusy itp. Ja nie. Mimo, że nie działam w internecie zbyt bezpiecznie. Wchodzę na różne strony, czasami z ciekawości wejdę na link z maila... ale od czego jest sandbox:)

                Aktualnie mam pakiet Norton Internet Security - został mi dorzucony jako gratis do jakiś zakupów. Jak się skończy licencja - zainstaluje jakieś małe coś dla świętego spokoju duszy... ale nie ma w sumie po co:P
                • avatar
                  hesus30
                  0
                  Dzięki Wint zmieniłem system i po krzyku, ten szkodnik może mi fiknąć.

                  Witaj!

                  Niedługo wyłaczymy stare logowanie.
                  Logowanie będzie możliwe tylko przez 1Login.

                  Połącz konto już teraz.

                  Zaloguj przez 1Login