25/08/2016

Program żądający okupu WildFire unieszkodliwiony

Porady Zagrożenia

Nie jest tajemnicą, że programy żądające okupu (ang. ransomware) to zagrożenie, które niesie ze sobą dotkliwe skutki. Niestety w najbliższym czasie nie można spodziewać się, że znikną z naszego świata — oczywiście poza pewnymi wyjątkami.

wildfire-featured

Mam jednak radosną nowinę: pojawił się jeden z takich właśnie wyjątków. Ostatnio firma Kaspersky Lab wraz z holenderską policją unieszkodliwiła kolejny program z rodziny ransomware — WildFire, który atakował głównie mieszkańców Holandii.

WildFire należy do tych trojanów, których zadaniem jest uzyskanie pieniędzy w szybkim czasie — za opóźnienie w płatności żądał on dodatkowej kwoty. Na początku wspomniany szkodliwy program żądał 300 dolarów, które należało zapłacić w ciągu 8 dni, po tym czasie kwota ulegała potrojeniu.

Jednostka National High Tech Crime Unit holenderskiej policji zdołała przechwycić serwer poleceń zawierający 5 800 kluczy deszyfrujących. Korzystając z tych danych, utworzyliśmy nowe narzędzie deszyfrujące, które udostępniliśmy na stronach nomoreransom.orgnoransom.kaspersky.com, a także support.kaspersky.com.

W miejsce szkodliwego serwera holenderska policja umieściła inny, który wysyła do wszystkich ofiar programu WildFire informację, że mogą oni za darmo pobrać odpowiednie narzędzie deszyfrujące.

Początki

Pierwotnie WildFire atakował Holendrów i Belgów, którzy stanowili ponad 90% ofiar.

WildFire rozprzestrzeniał się za pośrednictwem wiadomości spamowych, poprzez które mieszkańcy Holandii byli informowani o tym, że firmie transportowej nie udało się dostarczyć przesyłki. Wiadomość zawierała odnośnik do pobrania formularza, na którym odbiorca miał wybrać nowy termin dostawy. Domena strony posiadała holenderską nazwę, wszystko więc wyglądało dosyć przekonująco.

Po odwiedzeniu przez ofiary strony, pobraniu dokumentu i otwarciu go aktywowane były szkodliwe makra, które z kolei pobierały plik wykonywalny WildFire. Intencję przestępców precyzował kod makr, zawierający tekst piosenki zespołu Pink Floyd pt. „Money” (jest także kilka wariantów z polskimi nazwami).

Jak się zabezpieczyć?

Jeśli istniałby tylko jeden rodzaj szkodliwego programu i jeden sposób jego dystrybucji, świat cyberbezpieczeństwa byłby idealny. Niestety tak nie jest; istnieją miliony innych zagrożeń. Aby zapewnić sobie bezpieczeństwo, postępuj zgodnie z naszymi poradami:

  1. Jeśli jesteś ofiarą zagrożenia WildFire, pobierz ze strony nomoreransom.org narzędzie deszyfrujące. Portal ten zawiera także narzędzia deszyfrujące dla wielu innych programów ransomware.
  2. Po odszyfrowaniu swoich plików przeskanuj komputer — być może WildFire to nie jedyny szkodliwy program, który przedostał się do systemu. Możesz użyć naszego darmowego narzędzia Kaspersky Virus Removal Tool.
  3. WildFire docierał do ofiar poprzez oszukańcze wiadomości e-mail. Właśnie dlatego zalecamy, aby dowiedzieć się, jak działa phishing. Czujność jest tutaj kluczowa: jeśli nie zamawiałeś paczki, kto mógł Ci ją wysłać? Zasadniczo niespodziewana przesyłka nie jest niczym złym, ale taka sytuacja powinna wzbudzić Twoją czujność. Jeśli masz taką możliwość, podejrzane pliki otwieraj na maszynie wirtualnej.
  4. Jeśli jeden szkodliwy program przedostał się do systemu, mogły to zrobić także inne. Dlatego tak ważne jest zabezpieczanie systemu dobrym antywirusem. Oczywiście my zalecamy nasz własny produkt Kaspersky Internet Security, ale bez względu na to, na co się zdecydujesz, ważne, abyś coś miał na każdym urządzeniu, które łączy się z internetem: zainstaluj, uruchom i aktualizuj.