01/06/2016

Wielozadaniowe szkodliwe programy: czasami trojany chodzą trójkami

Porady Zagrożenia

Programy typu ransomware z założenia mają przynosić szkody. Teraz nie tylko szybko się rozprzestrzeniają, ale także wykazują inne niepożądane cechy. W moim poście jako przykładu użyję Cerbera – programu żądającego okupu wykrytego po raz pierwszy w lutym 2016 roku.

multi-purpose-malware-fb

Wówczas Cerber został uznany za coś nietypowego dlatego, że nie tylko wyświetlał ofiarom złowieszczy komunikat, ale także go odczytywał. Jednak działał w sposób standardowy: daj nam swoje pieniądze, a oddamy Ci pliki.

Drugi ładunek

Teraz Cerber i inne trojany dodatkowo szyfrują dane swoich ofiar, a większość użytkowników komputerów nie wie, co z tym fantem zrobić. Brzmi jak świetna taktyka dywersyjna, prawda?

Wygląda na to, że dystrybutorzy Cerbera zgadzają się z tym; część nawet zaktualizowała jego wersje. Dzięki wyszukanym metodom dystrybucji program ten z powodzeniem rozprzestrzeniał się w ciągu ostatnich miesięcy, niosąc ofiarom dodatkowy ładunek. Bonusem jest również dołączenie komputera ofiary do szkodliwej armii botnetów.

Kolejność wydarzeń można ująć w następującym skrócie: najpierw Cerber pojawia się w formie załącznika do wiadomości e-mail. Po zainstalowaniu wirus zachowuje się jak każdy inny program żądający okupu: szyfruje pliki i żąda pieniędzy za ich bezpieczne przywrócenie. Później potwierdza, czy komputer posiada połączenie z internetem, i zaczyna używać zainfekowanego komputera do innych celów, np. do przeprowadzenia ataku polegającego na rozproszonej odmowie usługi (ang. Distributed Denial-of-Service, DDoS) lub przekształcenia maszyny w bot do rozsyłania spamu.

Wzrost wielozadaniowych szkodliwych programów

„Cerber” to określenie szkodliwego programu, które ma ukryte funkcje. Podobnie jak trzygłowy pies o takiej samej nazwie, który występuje w mitologii greckiej, nie jest ani zwykły, ani prosty do pokonania — a takie podejście jest atrakcyjne dla cyberprzestępców.

Jeśli chodzi o bieżący rok, Cerber nie jest pierwszym programem wymuszającym zapłatę, który ma coś w zanadrzu. Spotkaliśmy już na przykład ransomware szyfrujące cały dysk twardy ofiary, o nazwie Petya: po otrzymaniu wymuszonych uprawnień zagrożenie dodawało podczas instalacji program Mischa. Z kolei CryptXXX oprócz wyłudzania pieniędzy umożliwiał kradzież informacji i bitcoinów.

Tworzenie i rozprzestrzenianie takich programów to całkiem dochodowe przestępstwo. Spodziewamy się, że w tym trendzie pojawiania się wielopłaszczyznowych wirusów wymuszających okup Cerber jest głową, a nie ogonem. Aby skutecznie chronić swoją własność, bądź na bieżąco z wiedzą i zabezpieczeniami.

Jak uniknąć infekcji Cerberem?

Szkodliwe programy, takie jak Cerber, docierają do użytkowników w sposób, który można z łatwością wyeliminować. Aby zminimalizować ryzyko infekcji — i ty samym późniejszych ewentualnych szkód — stosuj się do poniższych zaleceń:

  1. Uważaj na wszystkie e-maile w skrzynce odbiorczej. Nie klikaj odnośników umieszczonych w wiadomościach, które są oczywistym spamem, a także tych, które przypominają oryginalne wiadomości firmowe czy wyglądają, jakby zostały wysłane przez znajomą Ci osobę.
  2. Twórz kopie zapasowe swoich plików. Rób to często i regularnie.
  3. Instaluj poprawki systemu operacyjnego i aplikacji tak szybko, jak to możliwe. Podobnie jak odnośniki spamowe, niezałatane exploity są często wykorzystywaną furtką dla szkodliwych programów.
  4. Korzystaj z programu zabezpieczającego, np. Kaspersky Internet Security — przez cały czas — i dbaj o jego aktualność. Chroń również pozostałe urządzenia, które mają dostęp do internetu. Produkt firmy Kaspersky Lab wykrywa zagrożenie Cerber jako Trojan-Ransom.Win32.Zerber.