03/06/2016

ZCryptor: robak-zdobywca

Porady Zagrożenia

Analitycy i badacze są zgodni co do tego, że w roku 2016 programy żądające okupu będą stwarzać jeszcze większe problemy. Cyberoszuści szybko dostrzegli potencjalne korzyści kryptolokerów i chętnie dodali je do swojego arsenału. Jeśli chodzi o zyskowność, badacze z firmy Cisco ogłosili w roku 2015, że tylko na samym zestawie exploitów Angler cyberprzestępcy mogą zarobić nawet 60 milionów dolarów rocznie lub około 5 milionów dolarów każdego miesiąca!

zcryptor-FB

Programy żądające okupu, które obecnie panują na rynku — Petya, jego znajommy Mischa, a także ich daleki krewny Locky — żerują na użytkownikach z ponad 100 krajów. Ostatnio hakerzy przywiązują większą uwagę do przedsiębiorstw i organizacji posiadających cenne dane: niedawno ofiarami ataków ransomware padło wiele amerykańskich szpitali.

Wzrost kryptorobaków

Próbując wyłudzić jak najwięcej pieniędzy, przestępcy starają się rozszerzyć swoje ataki tak, aby później mogli rozprzestrzeniać swoje programy blokujące. Szkodliwe kampanie spamowe wciąż działają, ale nie są już tak skuteczne — media informują o cyberzagrożeniach, więc wzrasta świadomość użytkowników w związku z najczęściej wykorzystywanymi trikami.

Kolejnym ważnym krokiem w rozwoju bezpieczeństwa jest fakt, że przeglądarki internetowe i antywirusy nauczyły się wykrywać i blokować szkodliwe adresy internetowe oraz spam powiązany ze złośliwymi programami. W związku z tym hakerzy stopniowo wycofują swoje tradycyjne podejście „nalotów dywanowych” na rzecz dystrybucji szkodliwych programów. Coraz częściej zwracają się ku metodom, które dawno temu były używane w najbardziej rozpowszechnionych i skutecznych kampaniach: angażują stare dobre robaki.

Badacze przewidują, że kolejny etap w rozwoju ransomware przyniesie kryptorobaki — trująca hybryda samorozprzestrzeniających się szkodliwych programów i programów żądających okupu. Ten nowy rodzaj szkodników łączy wszystkie najgorsze elementy obu światów, tworząc gatunek programów, które potrafią się kopiować i rozprzestrzeniać na zainfekowanych komputerach, skutecznie szyfrując pliki i żądając okupu.

Pierwszym takim programem był SamSam, który przedostał się do wielu sieci firmowych i zainfekował komputery sieciowe, a także magazyn w chmurze zawierający kopie zapasowe.

ZCryptor

W tym tygodniu firma Microsoft wykryła nową próbkę kryptorobaka o nazwie ZCryptor. Jego unikatowość polega na tym, że zarówno szyfruje on pliki, jak i sam rozprzestrzenia się na inne komputery i urządzenia sieciowe, nie wykorzystując szkodliwego spamu czy zestawu exploitów. Malware kopiuje się na połączone komputery i urządzenia przenośne.

Aby zainfekować pierwszą ofiarę, ZCryptor używa znanych technik: maskuje się pod postacią instalatora popularnego programu (np. Adobe Flash) lub przedostaje się do systemu poprzez szkodliwe makra pliku Microsoft Office.

Będąc już w systemie, kryptorobak infekuje dyski zewnętrzne i flash, dzięki czemu może przedostać się na inne komputery, a następnie rozpoczyna szyfrowanie plików. ZCryptor może szyfrować ponad 80 formatów plików (a wg niektórych źródeł nawet 120 formatów) poprzez dodawanie rozszerzenia .zcrypt do nazwy pliku.

Następnie historia przebiega dobrze znanym scenariuszem: użytkownicy widzą stronę HTML informującą, że ich pliki zostały zaszyfrowane i będą dostępne po uiszczeniu zapłaty — w tym przypadku 1,2 bitcoina (ok. 650 dolarów). Jeśli użytkownik nie zapłaci w ciągu 4 dni, kwota okupu wzrasta do 5 bitcoinów (ponad 2500 dolarów).

Niestety eksperci nie znaleźli jeszcze sposobu na odszyfrowanie plików ani pominięcie zapłaty. Oznacza to, że na tę chwilę jedynym rozsądnym rozwiązaniem jest zachowanie szczególnej ostrożności i unikanie infekcji.

Jak się chronić?

Jeśli chcesz uniknąć ataku ZCryptor, postępuj zgodnie z poniższymi prostymi regułami:

  • Regularnie aktualizuj system operacyjny i programy. W ten sposób pozamykasz luki i zapobiegniesz przedostaniu się kryptorobaka do Twojej sieci.
  • Unikaj podejrzanych stron, zachowuj czujność. Nie otwieraj załączników pochodzących z podejrzanych źródeł. Przestrzegaj podstawowych zasad higieny cyfrowej.
  • Wyłącz obsługę makr w Microsoft Word — znów stają się popularne wśród cyberoszustów.
  • Regularnie twórz kopie zapasowe swoich plików, a jedną z nich przechowuj na dysku zewnętrznym, który nie jest na stałe podłączony do komputera. Chociaż kopie plików nie zapobiegają infekcji systemu programami typu ransomware, są cenne: jeśli masz kopię swoich wartościowych danych, nie musisz płacić okupu.
  • Używaj porządnego programu zabezpieczającego. Kaspersky Internet Security wykrywa zagrożenie ZCryptor jako Trojan-Ransom.MSIL.Geograph i chroni przed nim użytkowników.