Tag Archives: κακόβουλο

CryptoWall-3η γενιά του χειρότερου είδους κακόβουλου λογισμικού

Τα ransomware είναι η τελευταία μόδα στους ιούς υπολογιστών.
Από αυτά υπάρχουν τα παιδικά που σου βγάζει απλά ένα μήνυμα στον browser (περιηγητή) σου πως δήθεν πρέπει να πληρώσεις κάποιο πρόστιμο, σαν τον περίφημη ιό της αστυνομίας.
Υπάρχουν και τα πραγματικά επικίνδυνα που σου κρυπτογραφούν τα αρχεία και μετά σου ζητάνε να πληρώσεις λύτρα για το κλειδί που θα τα αποκρυπτογραφήσει.

Σε αυτή την δεύτερη κατηγορία υπάρχει έξαρση με την 3η έκδοση-εξέλιξη του γνωστού ransomware Cryptolocker ο οποίος μας είχε απασχολήσει σαν ο πρώτος ιός του είδους, πριν 2 χρόνια.
https://365meres.wordpress.com/2013/12/25/252/

Στην 3η γενιά του κυκλοφορεί με το όνομα CryptoWall.
Επηρεάζει δε κάθε έκδοση των Windows!

Είναι μάλιστα πιο επικίνδυνος τώρα σε αυτή την τρίτη του έκδοση, γιατί έτσι και εγκατασταθεί, μπορεί να αυτό-διαδίδεται στο τοπικό σύστημα κάθε χρήστη-εταιρείας.
Κάτι που -ειδικά για τις εταιρείες- μπορεί να αποδειχθεί καταστροφικό.

Επίσης σταματάει την εκτέλεση της υπηρεσίας Volume Shadow Copy Service, που δημιουργεί τα αρχεία επαναφοράς στα Windows ενώ ταυτόχρονα ξεκινάει να διαγράφει τα προγενέστερα κρατημένα «στιγμιότυπα» ώστε μην υπάρχει η επιλογή της χρήσης της επαναφοράς συστήματος, μετά από την επιτυχή απεγκατάσταση του.

Για την κρυπτογράφηση παράγει ένα τυχαία δημιουργημένο 2048-bit RSA key.

Που σημαίνει πως – όπως πολύ έξυπνα εξηγούν στο DigiCert – αν το σύμπαν έχει ηλικία 13 δισεκατομμυρίων ετών και ο χρήστης ένα νορμάλ οικιακού υπολογιστή θελήσει να τον χρησιμοποιήσει για να τρέξει κάποιο πρόγραμμα ώστε να σπάσει ένα τέτοιο κλειδί και ξεκινούσε από την στιγμή του Big Bang θα έφτανε στο σήμερα και θα έπρεπε να επαναλάβει την διαδικασία περίπου 470.000 φορές μέχρι να έχει καλές πιθανότητες να ξεκλειδώσει τα αρχεία του!

Οι δυο πιο διαδεδομένοι τρόποι να την πατήσει κάποιος είναι μέσω μολυσμένων αρχείων που θα έρθουν ακόμη και από φίλους ή όταν το λειτουργικό έχει ήδη μολυνθεί από άλλο κακόβουλο λογισμικό που ανοίγει «τρύπες-πόρτες» για να περάσουν άλλα όπως το συγκεκριμένο.
Κρυπτογραφεί όλα τα αρχεία με τις παρακάτω καταλήξεις:

3fr, accdb, txt, ai, arw, bay, cdr, cer, cr2, eps, erf, indd, mp3, mp4, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, rwl, srf, srw, wb2, wpd, wps, xlk, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, xls, xlsb, xlsm, xlsx, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf

Η καλύτερη προστασία κάποιου απέναντι σε αυτού του είδους της νέα μορφής κακόβολων λογισμικών που ήρθε για να μείνει, είναι να διατηρεί αντίγραφα των αρχείων του είτε σε αποθηκευτικά μέσα που δεν είναι συνδεδεμένα άμεσα ή έμμεσα στο διαδίκτυο είτε σε διαδικτυακές υπηρεσίες που παρέχουν online αποθηκευτικό χώρο.

(Αυτό γιατί μπορεί να την πατήσει ακόμη κι ο συνειδητοποιημένος χρήστης από μια ανθρώπινη στιγμή δικής του απροσεξίας ή αποτυχίας-αστοχίας των προγραμμάτων προστασίας που χρησιμοποιεί).

Κι αν μιλάμε για οικιακό χρήστη, η λύση ενός εξωτερικού σκληρού είναι πλέον πολύ οικονομική, υπολογίζοντας euro/GB.
Όπως και η ύπαρξη υπηρεσιών που παρέχουν δωρεάν μέχρι και 10 GB αποθηκευτικού χώρου.

Αν μάλιστα το κάνει συνδυαστικά, τότε ακολουθεί και τον «χρυσό κανόνα των τριών σημείων» και θα είναι κατά 99,9% ασφαλής απέναντι σε κάθε είδους κίνδυνο που θα μπορούσε να του στερήσει τα ψηφιακά του αρχεία.

Και δεν θα μπει στο δίλημμα να σκέφτεται να πληρώσει ή να τα χάσει…

Υ.Γ.
Στην ανακοίνωση της ΕΛ.ΑΣ κάποιος φαίνεται να αφαίρεσε/άλλαξε πολύ…άγαρμπα κάτι αφήνοντας το <<…μπορεί να επηρεάσει όλες τις εκδόσεις λειτουργικού συστήματος.>>

Ελπίζω να έγινε κατά λάθος γιατί είναι αποδεδειγμένο πως επηρεάζει μόνο Windows υλοποιήσεις (personal pc ή servers) και όχι υπολογιστές που τρέχουν αποκλειστικά Mac ή Linux.

Και για να προλάβω κάποιον βιαστικό, το να βρεθεί, μεταφερθεί από ένα σύστημα Mac ή Linux δεν σημαίνει σε καμιά περίπτωση πως τα επηρεάζει. Ούτε ένας Linux server που τρέχει Windows προγράμματα είναι Linux σύστημα.

edit: Ιούνιος 2016
H μοναδική μέχρι στιγμής άξια αναφοράς απόπειρα να δημιουργηθεί ransomware που να στοχεύει linux είναι το Linux.Encoder.1 που δεν εκμεταλλεύτηκε ευπάθεια του πυρήνα,  αλλά την ευπάθεια (που πλέον δεν υφίσταται αφού κυκλοφόρησαν μια ενημέρωση που διορθώνει το πρόβλημα) της διαδικτυακής πλατφόρμας μιας εταιρείας παροχής υπηρεσιών ηλεκτρονικού εμπορίου. Της εταιρείας Magento

Που πέρα από το γεγονός πως όποιος επηρεάστηκε μπορούσε να αποκρυπτογραφήσει τα αρχεία του χωρίς να χρειαστεί να πληρώσει, την πάτησαν -μόλις- μερικές δεκάδες απρόσεχτοι διαχειριστές linux server με νοοτροπία Windows user…

#βάλε_linux καμπάνια

Save

Advertisements

Κακόβουλο (Ransomware) λογισμικό για android

Όσοι έχουν Android smartphone αλλά κάνουν την χαζομάρα και
1ον Έχουν απενεργοποιήσει την ασφάλεια να εγκαθιστούν εφαρμογές μόνο από το Google Play, για να μπορούν να κατεβάζουν/εγκαθιστούν πράγματα κι από αλλού, γιατί έτσι τους κάπνισε ή επειδή έτσι κάνει και ο cool (κουλός στο μυαλό) φίλος τους…

2ον Ποτέ δεν τσεκάρουν τι δικαιώματα ζητάει μια εφαρμογή, καθιστώντας το εξαιτίας της συμπεριφοράς τους από smartphone σε χαζόphone (δεν έφτασε η τεχνολογία ακόμη εκεί που θα σας αρχίζει η συσκευή στις μπούφλες αν κάνετε βλακείες)…..ΑΣ ΑΝΑΘΕΩΡΗΣΟΥΝ!

Μετά την μόδα στα windows pc και μιας και στα κινητά το Android έχει το 85% της αγοράς, εμφανίστηκε ransomware κακόβουλο λογισμικό ΚΑΙ για Android !

Το όνομα (simplelocker) δεν έχει σημασία γιατί δεν θα είναι το μοναδικό.
Θα εμφανιστούν κι άλλα. Ίδια ή παρόμοια! Απλoϊκά σαν τον ιό της αστυνομίας που κλειδώνει απλά την οθόνη ή πιο εξελιγμένα σαν το Cryptolocker
Το θέμα είναι να προσέχετε τις ρυθμίσεις ασφαλείας της συσκευής σας και να συμπεριφέρεστε έξυπνα!

Τσεκάρετε λοιπόν στις ρυθμίσεις η παρακάτω επιλογή να μην είναι ενεργοποιημένη:

Δεν χάνετε τίποτα σε λειτουργικότητα, ούτε γίνεστε λιγότερο κουλ γιατί προσέχετε την ασφάλεια σας κι αν κατεβάζετε μόνο από τον επίσημο διαδικτυακό χώρο της Google τότε, το πολύ πολύ να κατεβάσετε κάτι απλά ενοχλητικό (κι αυτό μέχρι να το πάρουν χαμπάρι και να το αφαιρέσουν) ή κάτι που απλά δεν λειτουργεί…

Λεπτομέρειες για το τι είναι τα ransomware -πες αντίο στα αρχεία σου- λογισμικά εδώ:
https://365meres.wordpress.com/tag/ransomware/
Η ανακοίνωση της ΕΛΑΣ εδώ:
http://www.astynomia.gr/index.php?option=ozo_content&lang&perform=view&id=41824&Itemid=1308
Υ.Γ.
Αν τηρείς τα 2 παραπάνω, σε Android δεν χρειάζεσαι ούτε antivirus ούτε καμιά έξτρα προστασία. Αρκεί να συμβαδίζει λιγάκι η εξυπνάδα σου με την «εξυπνάδα» της συσκευής σου…

Παράθυρα, τρύπια αντιϊικά και το λουρί της μάνας…

Σύμφωνα με επίσημη τοποθέτηση του αντί-προέδρου της Symantec (όσοι έχετε Windows λειτουργικό σίγουρα την γνωρίζετε από τα antivirus λογισμικά της όπως το διάσημο Notron) σε θέματα ασφάλειας Brian Dye (ταιριαστό επίθετο) τα αντιϊικά προγράμματα είναι ουσιαστικά νεκρά καθώς καταφέρνουν να αποτρέπουν μόλις 45% των απειλών. Και εξαιτίας αυτού η εταιρεία του….μπλα μπλα μπλα…αναπτύσσει νέους τρόπους αντιμετώπισης…μπλα μπλα μπλα…

Φυσικά δεν τον έπιασε κρίση ειλικρίνειας…
Να προωθήσει το καινούργιο που ετοιμάζουν θέλει…
Άλλωστε συνεχίζουν όλες αυτές οι εταιρείες να πουλάνε παρόμοια -και ουσιαστικά αναποτελεσματικά- προγράμματα.
Ούτε είναι μυστικό πως η προστασία που παρέχουν είναι πολύ περιορισμένη μιας και το 80% των χρηστών κάποια στιγμή έχει χρησιμοποιήσει ένα 2ο πρόγραμμα για να διαγράψει όσα πέρασαν από το 1ο και ένα 3ο για να ελέγξει αν το δεύτερο έκανε καλή δουλειά…

Σημ. Όσοι μάλιστα δεν το έχετε κάνει ακόμη, κατεβάστε από περιέργεια το Μalwarebytes (https://www.malwarebytes.org/downloads/) ή το superantispyware (http://www.superantispyware.com/), τρέξτε το και δείτε τι έχει περάσει από το σούπερ-ντούπερ antivirus που έχετε για να πειστείτε. Γιατί αν έχετε το pc ήδη ένα 3μηνο-4μηνο με σκέτο antivirus, θα έχει από κακόβουλο λογισμικό την Άρτα και τα Γιάννενα)

Το θέμα είναι πως ούτε τα παραδοσιακά προγράμματα ασφαλείας κάνουν κάτι τρομερό, ούτε αυτά που θα έρθουν θα κάνουν γιατί πολύ απλά μαζί τους (για να μην πω ταχύτερα) θα αναπτύσσεται και η απέναντι πλευρά…
Πέρα από το γεγονός πως δεν ακούγεται ακραίο πως πολλοί από όσους φτιάχνουν κακόβουλο λογισμικό το κάνουν με τις ευλογίες των εταιρειών ασφαλείας αλλιώς αυτές δεν θα είχαν τι να πουλήσουν…

Ούτε θα φτιαχτεί ποτέ υπολογιστής που την ώρα που θα πας να κάνεις βλακεία θα σε χτυπάει ηλεκτρισμός για να σταματάς και ολόγραμμα θα σου κάνει μια μικρή διάλεξη-μάθημα, ώστε μια, δυο, τρεις…δεκατρείς, κάποια στιγμή να μάθεις…

Είναι καθαρά θέμα λειτουργικού και κατ’ επέκταση θέμα χρήστη.
Πως είναι στημένο όπως και τι δικαιώματα και περιορισμούς ορίζει από προεπιλογή το λειτουργικό και πως μέσω αυτού διδάσκει τον χρήστη που θέλει να μάθει και 2-3 πραγματάκια.

Κι αυτό μόνο το Linux το παρέχει!
Και μάλιστα χωρίς να σου περιορίζει την ελευθερία (για όσους θα έσπευδαν να αναφέρουν τα κλειδαμπαρωμένα προϊόντα της Apple)
πηγή:
http://www.techspot.com/news/56656-symantec-claims-anti-virus-is-dead.html

#βάλε_linux καμπάνια

Save

Save

Τα προσωπικά σας αρχεία έχουν κρυπτογραφηθεί…..

ΣΗΜΑΝΤΙΚΟ !!!
Όσοι έχετε Windows προσοχή τι επισκέπτεστε και τι ανοίγετε/κατεβάζετε
(δεν έχει «αγγίξει» ακόμη τον ελληνικό κυβερνοχώρο αλλά είναι θέμα χρόνου….)

Ransomware (κακόβουλο λογισμικό που αποκτά τον έλεγχο του υπολογιστή ζητώντας λύτρα για να σας επιστραφεί ο έλεγχος, σαν εκείνο που προσποιούνταν πως κλείδωνε τον υπολογιστή η αστυνομία και απαιτούσε 100 ευρώ σαν δήθεν πρόστιμο….)
http://el.wikipedia.org/wiki/Κακόβουλο_λογισμικό
έχει μολύνει μέσα σε περίπου 10 μέρες 250.000 υπολογιστές που χρησιμοποιούν Windows !!!

To συγκεκριμένο όμως, με το όνομα Cryptolocker ΔΕΝ είναι χαριτωμένο σαν αυτό το παιδικό που το έπαιζε αστυνομία και ΔΕΝ ΜΠΟΡΕΙ ΝΑ ΑΝΤΙΜΕΤΩΠΙΣΘΕΙ με μια επαναφορά συστήματος γιατί κρυπτογραφεί τα δεδομένα-αρχεία που υπάρχουν στον σκληρό δίσκο και ο μόνος τρόπος να αποκρυπτογραφήσεις κάτι είναι χρησιμοποιώντας κλειδί αποκρυπτογράφησης για το οποίο ζητάνε τα χρήματα και το οποίο μετά από συγκεκριμένο χρόνο παύει να είναι λειτουργικό και να ισχύει…
(το μόνο που θα γλίτωνε έναν Windows χρήστη είναι να έχει πρόσφατο backup σε ΜΗ συνδεδεμένο σκληρό).

Όταν εμφανίστηκε αρχικά (τον Σεπτέμβριο) στόχευε επαγγελματίες και διαδικτυακές επιχειρήσεις όμως οι κακοποιοί πλέον το χρησιμοποιούν για να επιτεθούν και σε απλούς χρήστες και οικιακούς υπολογιστές
Έρχεται καμουφλαρισμένο σαν zip αρχείο όμως στο κλικ στην ουσία τρέχεις ένα exe που αναλαμβάνει όλη την βρώμικη δουλειά. Αντιγράφει τον εαυτό του βαθιά στο σύστημα, διαγράφει το αρχικό εκτελέσιμο και αρχίζει την κρυπτογράφηση των αρχείων. Και όταν την ολοκληρώσει κάνει αισθητή την παρουσία του με ένα παράθυρο (η φωτογραφία στην αρχή του άρθρου) όπου ενημερώνει τον άτυχο χρήστη για το τι έχει συμβεί και του δίνει συγκεκριμένο χρόνο να αγοράσει το exe με το κλειδί αποκρυπτογράφησης από τον σέρβερ των κακοποιών.

Το αστείο είναι πως για την διαδικασία χρησιμοποιεί ένα εργαλείο που η ίδια η Microsoft έχει εγκαταστημένο στο λειτουργικό της για να προσφέρει κρυπτογράφηση στους δημιουργούς προγραμμάτων για windows, το Microsoft Enhanced RSA and AES Cryptographic Provider
http://en.wikipedia.org/wiki/Microsoft_CryptoAPI
που δημιουργεί ένα κλειδί σε AES αλγόριθμο για κάθε αρχείο (AES has 10 rounds for 128-bit keys, 12 rounds for 192-bit keys, and 14 rounds for 256-bit keys) που πρακτικά σημαίνει πως θα ήθελες 50 σούπερ-υπολογιστές να ελέγχουν ταυτόχρονα μερικά δισεκατομμύρια συνδυασμούς το δευτερόλεπτο και σε 300.000 χρόνια θα έβρισκες το σωστό κλειδί για να ξαναδείς τις φωτογραφίες και να ακούσεις την μουσική σου….

Οπότε….προσοχή….
πηγές:
http://www.bbc.co.uk/news/technology-25506020
http://www.adslgr.com/forum/threads/785725-Με-ραγδαίους-ρυθμούς-έχοντας-μολύνει-πάνω-από-250-000-υπολογιστές-με-Windows-εξαπλώνεται-το-ransomware-Cryptolocker
περιγραφή του συγκεκριμένου κακόβουλου λογισμικού:
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptolocker-ransomware/

Υ.Γ.
Υπάρχει ένα δωρεάν μικρό εργαλείο που έχει δημιουργήσει ένας σύμβουλος πληροφορικής, ο John Nicholas Shaw  και που προσφέρει μια στοιχειώδη προληπτική προστασία, όμως στην παραμικρή αλλαγή που θα κάνουν οι κακοποιοί ως προς το σε ποια σημεία για παράδειγμα το malware θα αντιγράφει τον εαυτό του θα πρέπει ο δημιουργός του να βγάλει ανανεωμένη έκδοση αλλιώς θα είναι άχρηστο…
Είναι αυτό:
(ορισμένα antivirus θα το θεωρήσουν λανθασμένα κακόβουλο λογισμικό αλλά δεν είναι)
http://www.foolishit.com/download/cryptoprevent-installer/
και εδώ είναι η σελίδα του δημιουργού του:
http://www.foolishit.com/vb6-projects/cryptoprevent/

Επίσης αν/όταν αυτό το malware εμφανιστεί στην Ελλάδα και έχετε την ατυχία να την πατήσετε, μην την πατήσετε και για δεύτερη φορά από τους ντεμέκ ειδικούς-κομπιουτεράδες που θα ξεφυτρώσουν σαν τα μανιτάρια και θα σας υπόσχονται πως με αμοιβή μπορούν να σπάσουν ή να…δοκιμάσουν να σπάσουν AES κρυπτογράφηση…)

Υ.Γ. 2
Τα χουν αυτά τα Windows….Μήπως είναι καιρός να δείτε και προς το linux για να απαλλαγείτε από τέτοια θέματα και να χετε το κεφάλι σας ήσυχο;

#βάλε_linux καμπάνια

Save