{"id":317,"date":"2021-04-11T16:44:59","date_gmt":"2021-04-11T16:44:59","guid":{"rendered":"http:\/\/wptf.themepul.com\/restly\/?p=317"},"modified":"2022-04-15T09:57:09","modified_gmt":"2022-04-15T09:57:09","slug":"11-lucruri-pe-care-le-puteti-face-pentru-protejarea-impotriva-ransomware-inclusiv-cryptolocker","status":"publish","type":"post","link":"https:\/\/www.itmentenanta.ro\/en\/11-lucruri-pe-care-le-puteti-face-pentru-protejarea-impotriva-ransomware-inclusiv-cryptolocker\/","title":{"rendered":"11 lucruri pe care le pute\u021bi face pentru protejarea \u00eempotriva ransomware, inclusiv Cryptolocker"},"content":{"rendered":"

*11 lucruri pe care le pute\u021bi face pentru protejarea \u00eempotriva ransomware, inclusiv Cryptolocker<\/strong><\/p>\n\n\n\n

Ransomware este un software mali\u021bios pe care infractorii cibernetici \u00eel folosesc pentru a-\u021bi face calculatorul sau fi\u0219ierele de pe calculator \u00een scopul de a cere o r\u0103scump\u0103rare pentru a le recupera. Din p\u0103cate, ransomware-ul devine o modalitate din ce \u00een ce mai popular\u0103 pentru autorii de malware de a stoca bani ale companiilor \u0219i consumatorilor. Exist\u0103 o mul\u021bime de variante de ransomware ce pot ajunge pe ma\u0219ina unei persoane, dar, ca de fiecare dat\u0103, aceste tehnici se reduc la tactici de inginerie social\u0103 sau la folosirea unor vulnerabilit\u0103\u021bi de software pentru a fi instalat \u00een t\u0103cere pe ma\u0219ina victimei.<\/p>\n\n\n\n

De ce este demn de remarcat Cryptolocker?<\/strong><\/p>\n\n\n\n

O amenin\u021bare cu ransomware specific\u0103 despre care s-a vorbit foarte mult timp este Cryptolocker (detectat de c\u0103tre ESET drept Win32\/Filecoder \u2013 verifica\u021bi baza de cuno\u0219tin\u021be de la ESET pentru a actualiza informa\u021bii despre detectarea Cryptolocker \u0219i a altor tipuri de ransomware). <\/p>\n\n\n\n

Autori Cryptolocker au trimis acest ransomware la numar foarte mare de oameni, viz\u00e2nd in special SUA si Maria Britanie. Precum un infractor notoriu, acest malware a fost asociat cu o varietate de al\u021bii actori r\u0103i \u2013 troieni backdoor, downloadere, autori de spam, ho\u021bi de parole, ad-clickere \u0219i like-ul. <\/p>\n\n\n\n

Cryptolocker poate ajunge singur (de obicei prin e-mail) sau prin intermediul unui backdoor sau un downloader, drept o component\u0103 suplimentar\u0103.<\/p>\n\n\n\n

V\u0103 pute\u021bi \u00eentreba de ce discu\u021bie legat\u0103 de Cryptolocker a c\u0103p\u0103tat sau de asemenea importan\u021b\u0103 \u00een aceast\u0103 familie de ransomware \u2013 \u00een esen\u021b\u0103, aceasta se datoreaz\u0103 faptului c\u0103 autorii Cryptolocker au fost at\u00e2t de agili \u0219i persisten\u021bi. A existat un efort concentrat pentru a pompa variante noi, \u021bin\u00e2nd pasul cu schimb\u0103rile tehnologiilor de protec\u021bie \u0219i viz\u00e2nd anumite grupuri de-a lungul timpului.<\/p>\n\n\n\n

\u00cenc\u0103 din septembrie 2013, autorii acestui malware au trimis valori de e-mailuri spam care vizau grupuri diferite. Majoritatea grupurilor \u021bint\u0103 s-au aflat \u00een Statele Unite \u0219i \u00een Marea Britanie, dar nu exist\u0103 vreo limit\u0103 geografic\u0103 pentru cei care pot fi afecta\u021bi, iar mul\u021bi oameni din exteriorul acestei zone vizate au fost \u021binti\u021bi. Ini\u021bial, e-mailurile au vizat utilizatorii de acas\u0103, apoi tinz\u00e2nd spre companii.<\/p>\n\n\n\n

De asemenea, malware-ul se r\u0103sp\u00e2nde\u0219te prin porturile RDP l\u0103sate deschise la Cryptolocker poate afecta \u0219i fi\u0219ierele utilizatorilor aflate pe unit\u0103\u021bi corelate, cu o liter\u0103 destinat\u0103 de unitate (ex. D:, E:, F: ). Poate fi vorba de un hardisk extern, fiind incluse \u00een aceast\u0103 categorie \u0219i stick-urile USB sau un folder din re\u021bea sau din Cloud. Pot fi, de asemenea, criptate fi\u0219ierele din folderul Dropbox mapate local.<\/p>\n\n\n\n

Zeci de mii de ma\u0219ini au fost afectate, de\u0219i se estimeaz\u0103 c\u0103 infractorii au trimis milioane de e-mailuri. Cel mai bun scenariu ar fi ca destinatarii s\u0103 fi eliminat, pur \u0219i simplu, e-mailurile r\u0103u inten\u021bionate f\u0103r\u0103 a le deschide, \u00een locul p\u0103str\u0103rii acestora nedeschise.<\/p>\n\n\n\n

Acei oameni care au fost afecta\u021bi au avut un num\u0103r mare de fi\u0219iere criptate. Acele fi\u0219iere sunt \u00een primul r\u00e2nd formate populare de date, fi\u0219iere pe care le-ar deschide cu un program (precum Microsoft Office, Adobe, iTunes sau alte programe de muzic\u0103). Autorii acestui malware sunt diferite tipuri de criptare: Fi\u0219ierele sunt protejate de la sine cu criptare 256-bit AES. Cheile generate de acest prim proces de criptare sunt apoi protejate cu criptarea 2048-bit RSA, iar ini\u021biatorul codului malware p\u0103streaz\u0103 cheia privat\u0103 care ar putea permite ca cele dou\u0103 chei de pe ma\u0219ina utilizatorilor \u0219i fi\u0219ierele protejate s\u0103 fie decriptate. Cheia de descriere nu poate fi folosit\u0103 prin for\u021b\u0103 brut\u0103 sau colectat\u0103 din memoria calculatorului afectat. Infractorii sunt singurii care au, \u00een aparen\u021b\u0103, cheia proprie.<\/p>\n\n\n\n

<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Ce se poate face?<\/strong><\/p>\n\n\n\n

<\/p>\n\n\n\n

Pe de o parte, ransomware-ul poate fi \u00eenfrico\u0219\u0103tor \u2013 fi\u0219ierele criptate pot fi, \u00een esen\u021b\u0103, deteriorate, f\u0103r\u0103 a putea fi repara. Dar, dac\u0103 sunte\u021bi preg\u0103tit, ve\u021bi avea parte doar de o situa\u021bie nepl\u0103cut\u0103. Mai jos g\u0103si\u021bi c\u00e2teva sfaturi care v\u0103 vor ajuta s\u0103 \u00eempiedica\u021bi ca ransomware-ul s\u0103 v\u0103 strice ziua:<\/p>\n\n\n\n

1.Face\u021bi backup la date<\/strong><\/p>\n\n\n\n

Cel mai important lucru care v\u0103 va ajuta la \u00eenvingerea unei probleme cu ransomware, este actualizat \u00een mod regulat a copii de rezerv\u0103. \u00cen cazul \u00een care sunte\u021bi atacat cu ransomware, pute\u021bi pierde acel document la \u00eenceput de diminea\u021b\u0103, dar dac\u0103 pute\u021bi restaura sistemul sau pute\u021bi cur\u0103\u021ba ma\u0219ina \u0219i pute\u021bi reveni la versiunea pe care s\u0103 v\u0103 ave\u021bi, s\u0103 v\u0103 a\u0219tepta\u021bi s\u0103 sta\u021bi lini\u0219ti\u021bi. <\/p>\n\n\n\n

Cryptolocker va cripta, de asemenea, fi\u0219ierele de unit\u0103\u021bi conectate. Aici sunt incluse toate unit\u0103\u021bile externe precum stick-urile USB sau re\u021bele \u0219i fi\u0219ierele stocate \u00een cloud. <\/p>\n\n\n\n

Prin urmare, necesit\u0103 un regim de backup reglementat pe o unitate extern\u0103 sau pe un serviciu de backup, care s\u0103 se deconecteze atunci c\u00e2nd nu realizeaz\u0103 o copie de rezerva.
Urm\u0103toarele sfaturi \u021bin de comportamentul lui Cryptolocker \u2013 acestea nu pot fi generale, dar pot ajuta la crearea trei siguran\u021bei generale prin pa\u0219i mici, pentru a preveni diferitele tehnici malware comune.<\/p>\n\n\n\n

2.Afi\u0219a\u021bi extensiile ascunse de fi\u0219iere<\/strong><\/p>\n\n\n\n

O modalitate frecvent\u0103 prin care Cryptolocker ajunge s\u0103 fie printr-un fi\u0219ier cu extensia \u201e.PDF.EXE\u201d, baz\u00e2ndu-se pe comportamentul implicit al Windows-ului ascunde extensiile cunoscute ale fi\u0219ierelor. Astfel, vor fi mai u\u0219or de identificat fi\u0219ierele suspecte.<\/p>\n\n\n\n

3<\/strong>.Filtrarea executabilelor \u00een e-mail<\/strong><\/p>\n\n\n\n

Dac\u0103 scanerul de mail la nivel de gateway are abilitatea de a filtra fi\u0219ierele \u00een func\u021bie de extensie, a\u021bi putea alege respingerea e-mailurilor trimise cu fi\u0219iere de tip \u201e.EXE\u201d sau refuzarea acelor e-mailuri cu dou\u0103 extensii (\u201e.<\/em>. EXE”). \u00cen cazul \u00een care s\u0103 ave\u021bi nevoie \u00een mod legitim, s\u0103 face\u021bi schimb de fi\u0219iere executabile \u00een mediul dumneavoastr\u0103. de lucru \u0219i refuza\u021bi primirea e-mailurilor ce con\u021bin fi\u0219iere executabile, pute\u021bi trimite\/primi fi\u0219iere de tip ZIP (protejate cu parole, desigur) sau prin intermediul serviciilor de cloud.<\/p>\n\n\n\n

4.Dezactiva\u021bi fi\u0219ierele care ruleaz\u0103 din foldere AppData\/LocalAppData<\/strong><\/p>\n\n\n\n

se creeaz\u0103 reguli \u00een Windows sau prin intermediul software-ului de prevenire a intruziunii, pentru a nu permite un anumit comportament notabil de utilizare a Cryptolocker, care ruleaz\u0103 executabilul din folderele App Data sau Local App Data. Dac\u0103 (din anumite motive), software-ul legitim setat s\u0103 nu ruleze din zona obi\u0219nuit\u0103 de Program Files, ci din App Data, va fi nevoie s\u0103 exclude\u021bi aceasta de la regula.<\/p>\n\n\n\n

5.Utiliza\u021bi Kit-ul de prevenire pentru Cryptolocker<\/strong><\/p>\n\n\n\n

Kit-ul de preven\u021bie \u00eempotriva Cryptolocker este un utilitar creat de Third Tier care automatizeaz\u0103 procesul de creare a unei politici de grup pentru a dezactiva fi\u0219iere care ruleaz\u0103 din folderele App Data \u0219i Local App Data, precum \u0219i dezactivarea fi\u0219ierelor executabile astfel \u00eenc\u00e2t s\u0103 nu ruleze din directorul Temp diferite utilit\u0103\u0163i de dezarhivare. <\/p>\n\n\n\n

Acest util este actualizat, pe m\u0103sur\u0103 ce sunt descoperite noi tehnici pentru Cryptolocker. Prin urmare, este indicat s\u0103 verifica\u021bi periodic pentru a v\u0103 asigura c\u0103 exist\u0103 ultima variant\u0103 disponibil\u0103. \u00cen cazul \u00een care trebuie s\u0103 realiza\u021bi excep\u021biile acestor reguli, pute\u021bi consulta acest document, unde este explicat acest proces.<\/p>\n\n\n\n

6.Deconecta\u021bi-v\u0103 de la WiFi sau de la re\u021bea imediat<\/strong><\/p>\n\n\n\n

Dac\u0103 rula\u021bi un fi\u0219ier pe care \u00eel suspecta\u021bi c\u0103 ar putea fi unul de tip ransomware, dar nu a\u021bi identificat \u00eenc\u0103 ecranul ransomware caracteristic \u0219i dac\u0103 pute\u021bi ac\u021biona rapid, se poate opri comunicarea cu serverul C&C \u00eenainte de terminarea script\u0103rii pentru toate fi\u0219ierele. <\/p>\n\n\n\n

Dac\u0103 efectua\u021bi deconectarea la re\u021bea imediat\u0103, daunele ar putea fi diminuate. Pentru a se realiza criptarea tuturor fi\u0219ierelor este nevoie de timp, astfel c\u0103 se poate opri aceast\u0103 criptare \u00eenainte ca aceasta s\u0103 reu\u0219easc\u0103 distorsionarea fi\u0219ierelor.<\/p>\n\n\n\n

Tehnica aceasta nu este pe deplin u\u0219or de manevrat \u0219i a\u021bi putea s\u0103 nu fi\u021bi destul de noroco\u0219i sau \u00een m\u0103sur\u0103 s\u0103 ac\u021bioneze mai rapid dec\u00e2t malware-ul, \u00eens\u0103 deconectarea re\u021belei poate fi o tactic\u0103 mai bun\u0103 dec\u00e2t s\u0103 nu face\u021bi nimic.<\/p>\n\n\n\n

7.Apela\u021bi la System Restore pentru a reveni la o stare a sistemului curat\u0103<\/strong><\/p>\n\n\n\n

\u00cen cazul \u00een care ave\u021bi grij\u0103 s\u0103 activa\u021bi func\u021bia de System Restore pe ma\u0219ina dvs. cu Windows, ve\u021bi putea citi sistemul la o stare cunoscut\u0103 c\u0103 este sigur\u0103. Din nou, trebuie s\u0103 fi\u021bi rapid dec\u00e2t malware-ul. Noile versiuni de Cryptolocker pot avea posibilitatea de a \u0219terge fi\u0219ierele \u201eShadow\u201d din System Restore, ceea ce \u00eenseamn\u0103 c\u0103 acele fi\u0219iere nu vor mai exista atunci c\u00e2nd ve\u021bi \u00eencerca s\u0103 \u00eenlocui\u021bi versiunile afectate de malware. <\/p>\n\n\n\n

Cryptolock poate \u00eencepe procesul de \u0219tergere \u00een momentul \u00een care un fi\u0219ier executabil este foarte rulat, astfel \u00eenc\u00e2t va fi nevoie s\u0103 ac\u021biona\u021bi repede, deoarece executabilele pot fi pornite ca parte a unui proces automat. Cu alte cuvinte, fi\u0219ierele executabile pot fi rulate f\u0103r\u0103 ca dumneavoastr\u0103. s\u0103 fi\u021bi con\u0219tient de acest lucru, ca parte obi\u0219nuit\u0103 a opera\u021biunilor din sistemul dumneavoastr\u0103. Windows.<\/p>\n\n\n\n

8.Seta\u021bi ceasul BIOS \u00eenapoi<\/strong><\/strong><\/p>\n\n\n\n

Cryptolocker are un cronometru pentru plat\u0103, setat \u00een general la 72 de ore, iar dup\u0103 ce timpul s-a scurs, pre\u021bul pentru cheia de descriere va cre\u0219te considerabil. (Pre\u021bul poate varia deoarece un bitcoin are o valoare destul de volatil\u0103.) cumva cumva s\u0103 \u201e\u00eenvinge\u021bi ceasul\u201d, prin setarea ceasului de la BIOS la o or\u0103 \u00eenainte ca fereastra cu cele 72 de ore s\u0103 apar\u0103. <\/p>\n\n\n\n

Sfatul este de a nu pl\u0103ti pre\u021bul cerut pentru ransomware. Pl\u0103tirea infractorilor poate duce la recuperarea datelor, dar au existat cazuri \u00een care s\u0103 decripteze nu a ajuns niciodat\u0103 sau nu a reu\u0219it s\u0103 decripteze fi\u0219ierele. \u00cen plus, acest lucru \u00eencurajeaz\u0103 comportamentul infrac\u021bional! <\/p>\n\n\n\n

Cererea de r\u0103scump\u0103rare nu este o practic\u0103 legitim\u0103 \u00een afaceri, iar autorii de malware nu sunt obliga\u021bi \u00een nici un fel s\u0103 respecte promisiunile \u2013 ace\u0219tia pot lua banii f\u0103r\u0103 a returna ceva \u00een schimb, deoarece nu va exista nicio reac\u021bie \u00een cazul \u00een care infractorii nu reu\u0219esc. s\u0103 livreze.<\/p>","protected":false},"excerpt":{"rendered":"

*11 lucruri pe care le pute\u021bi face pentru protejarea \u00eempotriva ransomware, inclusiv Cryptolocker Ransomware este un software mali\u021bios pe care infractorii cibernetici \u00eel folosesc pentru a-\u021bi face calculatorul sau fi\u0219ierele de pe calculator \u00een scopul de a cere o r\u0103scump\u0103rare pentru a le recupera. Din p\u0103cate, ransomware-ul devine o modalitate din ce \u00een ce mai […]<\/p>","protected":false},"author":1,"featured_media":5948,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[19],"tags":[79,30,77,78],"class_list":["post-317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-software","tag-ramsomeware","tag-software","tag-virus","tag-vulnerabilitate"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/www.itmentenanta.ro\/wp-content\/uploads\/2021\/04\/poza-1-devirusare-calculator_virus-CryptoLocker.jpg?fit=2000%2C1332&ssl=1","jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/posts\/317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/comments?post=317"}],"version-history":[{"count":1,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/posts\/317\/revisions"}],"predecessor-version":[{"id":5950,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/posts\/317\/revisions\/5950"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/media\/5948"}],"wp:attachment":[{"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/media?parent=317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/categories?post=317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itmentenanta.ro\/en\/wp-json\/wp\/v2\/tags?post=317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}