Iata cum te poti proteja

Un nou val de mesaje nesolicitate a lovit in ultima saptamana sute de casute postale, iar utilizatorii care acceseaza fisierele atasate acestora risca infectarea cu celebrul virus de tip ransomware Cryptowall.

Cryptowall este o versiune avansata a Cryptolocker, un ransomware ce cripteaza documentele din computerele infectate si cere apoi bani de la utilizator, in schimbul cheii de decriptare. Aparent hackerii recurg de aceasta data la o modalitate mai putin in trend, dar foarte eficace de executare automata a virusilor pe computerele victimelor si de criptare a continutului acestora – fisierele infectate atasate in mail. Extensia folosita de atacatori, .chm, este utilizata pentru formatul HTML compilat, un tip de fisier folosit pentru a livra manuale de utilizare si aplicatii software. De altfel, virusul Cryptowall este recunoscut pentru faptul ca isi ascunde actiunile in aplicatii sau fisiere inofensive.

Aceste fisiere sunt interactive si ruleaza o serie de tehnologii ce includ JavaScript si pot redirectiona utilizatorul catre o adresa externa. Dupa simpla deschidere a fisierului .chm acesta executa diverse actiuni in mod independent. Si totul are un singur sens: cu cat mai putina interactiune a utilizatorului, cu atat mai mari sunt sansele de infectie.
Serverele de pe care s-a trimis valul de spam apar localizate in Vietnam, India, Australia, Statele Unite ale Americii, Romania si Spania. Dupa analiza domeniului, se pare ca atacatorii vizeaza utilizatori de peste tot din lume, inclusiv din SUA, Europa, Australia, Olanda, Danemarca, Suedia si Slovacia.

Ransomware-ul este unul dintre cele mai periculoase forme de malware, ce genereaza numeroase provocari companiilor de securitate, fortate sa creeze euristici agresive pentru a se asigura ca utilizatorii nu le sunt afectati.

Cum previi infectia cu Cryptowall?
Expertii Bitdefender au formulat un set de reguli de baza care feresc utilizatorii de infectarea cu acest ransomware:
- Foloseste o solutie de securitate informatica actualizata constant si capabila de scanare activa
- Programeaza back-up-ul fisierelor – local sau in cloud
- Urmeaza practicile de siguranta pe Internet si nu vizita site-uri necunoscute, nu accesa linkurile sau fisierele incluse in emailuri cu origine incerta si nu furniza informatii personale pe chat-uri publice sau forumuri.
- Implementeaza/activeaza o solutie de blocare a reclamelor si filtre antispam
- Virtualizeaza sau dezactiveaza aplicatia Flash, intrucat a fost folosita in mod repetat ca vector de infectie
- Invata angajatii cum sa identifice tentativele de inginerie sociala si emailurile de phishing
Pentru mai multa protectie, Bitdefender a dezvoltat Cryptowall Immunizer, un instrument care permite utilizatorilor sa-si imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor inainte ca aceasta sa aiba loc. Bitdefender recomanda utilizatorilor sa aiba solutia antivirus pornita mereu si sa foloseasca acest instrument ca pe un mecanism suplimentar de protectie.

De asemenea, administratorii de sistem trebuie sa intareasca politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional sau Windows Server Edition. Optiunea Software Restriction Policies poate fi gasita in editorul Local Security Policy. Dupa accesarea butonului New Software Restriction Policies de sub Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate ’’Dissallowed’’:
- “%username%\\Appdata\\Roaming\\*.exe”
- “%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe”
- C:\\<random>\\<random>*.exe
- “%temp%\\*.exe”
- “%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
- “%userprofile%\\*.exe”
- “%username%\\Appdata\\*.exe”
- “%username%\\Appdata\\Local\\*.exe”
- “%username%\\Application Data\\*.exe”
- “%username%\\Application Data\\Microsoft\\*.exe”
- “%username%\\Local Settings\\Application Data\\*.exe”

Setarea acestor mecanisme ar trebui sa limiteze sau sa blocheze Cryptowall.