29. 10. 2013

Web Ars Technica informoval o závažném případu s novým červem CryptoLocker. Jde o Ransomware, což je škodlivý software, který zašifruje data na počítači a k jejich odblokování požaduje výkupné - pokud není zaplaceno, uživatel svá data nenávratně ztratí. Infiltrace počítače virem probíhá přes různé soubory, které uživatel stáhne z internetu nebo z emailu.

Charakteristika zranitelnosti

CryptoLocker se specializuje na operační systém Windows a napadenému uživateli zašifruje soubory ke kterým má oprávnění přístupu (dokumenty, fotografie a další) pomocí 2048 bitů silného algoritmu RSA. S tak silným klíčem je algoritmus považován za neprolomitelný i přesto, že existují způsoby, jak RSA prolomit.

Malware se šíří např. ve formě mailové přílohy, která je zazipovaná a obsahuje PDF soubor, který je však ve skutečnosti spustitelný exe. Po jeho spuštění běží CryptoLocker na pozadí a šifruje uživatelské soubory všech připojených disků (USB i namapované síťové disky). Pokud uživatel zaplatí, obdrží dešifrovací klíč, který mu opravdu data dešifruje. Když uživatel nezaplatí včas (většinou do 72 hodin) je klíč, kterým byly soubory zašifrovány, automaticky zničen a data definitivně ztracena. I v případě, že bude útočník vypátrán a jeho řídící servery odstaveny, všichni postižení uživatelé o svá data nenávratně přijdou (už jim nemá odkud přijít uložený klíč). Platba je prováděna pomocí Bitcoinů či jiných „anonymních měn“ a v přepočtu odpovídá cca 300 USD.

CryptoLocker může neustále měnit svůj kód tak, aby byla jeho detekce antivirovými programy co nejobtížnější. Technicky vzato to znamená, že se žádný uživatel nemůže zcela spolehnout na to, že když má aktuální antivirový program, je před tímto virem chráněn. CryptoLocker cílí nejčastěji na firemní počítače, kde jsou data zpravidla nejcennější.

Postižené systémy

Windows

Dopad zranitelnosti

Zašifruje uživatelská data a znemožní k nim uživateli přístup.

Řešení

Pravidelně zálohujte a ukládejte zálohy důležitých dat na bezpečném místě, nejlépe na médium, které je v režimu off-line.

Uživatelé by zásadně neměli otvírat žádné přílohy, které přicházejí z neznámých zdrojů a neklikat na neznámé odkazy, nebo navštěvovat podezřelé stránky.

Důsledné provádění bezpečnostní politiky správcem firemní sítě - používání pouze neprivilegovaných uživatelských účtů (pod kterými není možné instalovat programy a modifikovat nastavení počítače) na pracovních stanicích.

Instalovat pravidelně, nejlépe automaticky, všechny bezpečnostní aktualizace antiviru, Windows, Java, Adobe Flash a dalších používaných programů.

Ve firmách používat přísnou bezpečnostní politiku pro přístup k internetu a centrální zabezpečení elektronické pošty.

Odkazy

http://www.ictsecurity.cz/aktualne/pozor-na-cryptolocker-virus-ktery-vam-zablokuje-data.html
http://www.reddit.com/r/sysadmin/comments/1mizfx/proper_care_feeding_of_your_cryptolocker/
http://arstechnica.com/security/2013/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/
http://nakedsecurity.sophos.com/2013/10/12/destructive-malware-cryptolocker-on-the-loose/
http://www.zive.cz/bleskovky/cerv-cryptolocker-vam-zasifruje-soubory-a-pokud-nezaplatite-smaze-klic/sc-4-a-171005/default.aspx