Zlonamerno koda File Spider, ki ogroža predvsem uporabnike držav bivše Jugoslavije

Zlonamerna koda, imenovana File Spider, trenutno najbolj ogroža države bivše Jugoslavije, in sicer Bosno in Hercegovino, Srbijo in Hrvaško. Jezik, ki ga zlonamerna koda uporablja, je prilagojen državi, kjer se uporabnik nahaja.

Izsiljevalska koda (ransomware) File Spider se širi preko elektronske pošte, in sicer v obliki Wordovega dokumenta. Skrita je v makro, ki ga uporabnik aktivira z odprtjem Word dokumenta. Nato pa se zlonamerna koda shrani v mapo »% AppData% \ Spider« in samodejno zažene. Ob zagonu izsiljevalske kode se začnejo šifrirati mape na računalniku, kot so: tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot in Windows. Pri tem pa se ob vsaki šifrirani mapi pojavi nešifrirana datoteka HOW TO DECRYPT FILES.url, ki pravzaprav vsebuje navodila, kako povrniti datoteke v zameno za plačilo odkupnine.

Ordinypt wiper ransomware pustoši po Nemčiji


GUTE-URLS

Wordpress is loading infos from scmagazine

Please wait for API server guteurls.de to collect data from
www.scmagazine.com/ordinypt-wiper...

Ordinypt wiper ransomware

Novi izsiljevalski virus Ordinypt, ki tudi briše datoteke, se širi po Nemčiji, in sicer kot lažna prijava na delovno mesto. Zlonamerna koda je skrita v dveh priponkah, ki sta imenovani “Viktoria Henschel – Bewerbungsfoto.jpg” in “Viktoria Henschel – Bewerbungsunterlagen.zip”. Elektronsko sporočilo torej izgleda tako kot da bi Viktoria Henschel poslala svojo prijavo na delovno mesto s svojo sliko in življenjepisom. Zip datoteka vsebuje dve .exe datoteki, ki imata dvojno končnico, tako se na hitro ti dve izgledata kot povsem navadni .pdf datoteki, v resnici pa sta .exe datoteki.

Bad Rabbit Ransomware

Letos sta v IT svetu povzročila veliko škode že dva izsiljevalska programa, WannaCry in Petya. V Rusiji, kjer je okuženih največ računalnikov, in Ukrajini pa se sedaj širi nov napad z izsiljevalskim virusom (ransomware), imenovan Bad Rabbit, ki se sedaj iz vzhodne Evrope širi tudi že v Turčijo in Nemčijo. Tako poročajo, da so okužene večje ruske medijske organizacije (tudi ruska neodvisna zasebna tiskovna agencija Interfax), letališče v Odessi in sistem podzemne železnice v ukrajinski prestolnici Kijev. Ukrajinske oblasti so napade v svoji državi potrdile.

Zlonamerna programska oprema (ransomware) se širi z lažnim namestitvenim programom za posodobitev za Flash.

Bad Rabbit, tako kot vsi izsiljevalski programi, po svoji namestitvi kriptira vse podatke na napadenem računalniku in za dešifriranje podatkov zahteva odkupnino. V tem primeru ta trenutno znaša 0,05 bitcoina, kar je po zdajšnjih vrednostih bitcoina okoli 250 evrov, verjetno pa je, da se bo ta znesek v bližnji prihodnosti še zvišal.

Windows 10 z vgradno zaščito pred večino izsiljevalskih virusev

Microsoft ima sedaj v Windows 10 preprosto rešitev za težave, ki skrbijo na milijone uporabnikov Windows 10 po svetu. Dva množična napada z izsiljevalskimi virusi  WannaCry in Petya sta v prejšnjem mesecu povzročila kaos in motnje po celem svetu, ki so bolnišnice, bankomate, ladjarske družbe, vlade, letališča in avtomobilska podjetja prisilila k zaustavitvi dela za nekaj časa. In prav Microsoftu se sedaj najbolj očita, da ne zna preprečiti teh napadov in da so njegovi sistemi Windows zelo ranljivi. Po nedavnih uničujočih svetovnih izbruhih izsiljevalskega virusa je Microsoft sedaj končno potrdil, da je njegov operacijski sistem Windows ranljiv za take izsiljevalske viruse. Zato je za reševanje teh resnih težav Microsoft včeraj zvečer uvedel novo protivirusno funkcijo v najnovejšem Windows 10 Insider Preview Build (16232).

Anit-ransomware funkcija je poimenovana Controlled Folder Access in je del programa Windows Defender, ki blokira nepooblaščene programe, da ne spreminjajo pomembnih datotek v določenih “zaščitenih” mapah. Do zaščitenih map lahko dostopajo le aplikacije iz tako imenovanega belega seznama. Nekateri programi bodo avtomatsko na belem seznamu, saj jih bo tja dodal že Microsoft.

Kako vključiti Controlled Folder Access

  • Pojdi na Start menu in odpri Windows Defender Security Center.
  • Pojdi na Virus & Threat Protection nastavitev.
  • Vklopi stikalo.

Kaj je treba vedeti o Wannacry – ransomware (izsiljevalski virus)

V petek, 12. maja 2017, je bilo veliko podjetij in ustanov napadeno s crypto-ransomware, izsiljevalskim virusom, imenovanim Wannacry. Uporabniki, ki so okuženi z izsiljevalskim virusom Wannacry, ne morejo uporabljati svojih računalnikov, dokler ne plačajo najmanj 300$ v Bitcoinih. Po treh dneh se ta znesek podvoji, po sedmih dneh pa bodo datoteke izbrisane, če odkupnina ne bo plačana. V obvestilu izsiljevalskega virusa tudi piše, da če tega denarja nimate, vam sicer odklenejo zakodirane datoteke brezplačno, toda šele po 6 mesecih 🙂 Wannacry zakriptira datoteke s končnico .WCRY

Kdo je bil napaden z Wannacry?

Veliko podjetij in javnih ustanov je bilo napadenih z Wannacry. Med drugimi v Sloveniji tudi Revoz. Gre za izbruh virusa, ki je napadel več kot 99 držav po svetu. Izsiljevalski virus Wannacry je napadel telekomunikacijska podjetja, podjetja, ki se ukvarjajo z distribucijo plina, javne bolnice, podjetja, ki se ukvarjajo s prodajo električne energije idr.

Trenutno najbolj odmeva napad na zdravstveni sistem National Health Service (NHS) v Angliji, ki je zdravstvo zelo ohromil, tako da so morali celo prestavljati operacije in druge posege.

V Rusiji so bile tarča izsiljevalskega virusa med drugim tudi ruska centralna banka, vlada in železniški sistem. V petek pozno zvečer naj bi napade zabeležilo več ruskih ministrstev in vladnih agencij. Notranje ministrstvo je sporočilo, da je bilo okuženih njihovih tisoč računalnikov. Poizkus okužbe z Wannacry so potrdili tudi v Sberbanki, a so bili ustrezno zaščiteni.

Napadene so bile tudi nemške železnice Deutsche Bahn. Izsiljevalski virus Wannacry je napadel njihove informacijske zaslone in avtomate za vozovnice. Potniki so tvitali fotografije zaslonov, na katerih so bile namesto podatkov o odhodih vlakov zahteve po plačilu odkupnine.

Iz španske Telefonice so sporočili, da je prizadeta oprema pod nadzorom in da jo znova nameščajo.

 

Zakaj je napad Wannacry tako velik?

WannaCry izkorišča napako v Server Message Block (SMB) v operacijskem sistemu Microsoft Windows, ki lahko omogoči oddaljeno izvajanje kode. Microsoft je izdal popravek že marca (MS17-010), vendar pa veliko podjetij še vedno ne posodablja svojih računalnikov dovolj hitro in redno. Drugi problem pa je ta, da veliko podjetij še vedno uporablja Windows XP in Windows server 2003, za katerega pa na voljo ni več uradnih popravkov. Obstaja tudi večje število računalnikov, ki ima nameščene piratske kopije Windows (predvsem na Kitajskem in v Rusiji), na katere se ne da nameščati uradnih popravkov in tako ostaja tak računalnik trajno ogrožen.

Zaradi velikosti izbruha je Microsoft včeraj izdal popravek tudi za Windows XP in Server 2003.

Zakaj se Wannacry širi tako hitro?

Razlog, zakaj se izsiljevalski virus WannaCry širi tako hitro, je v ranljivosti MS17-010, ki omogoča, da se širi kot računalniški črv (worm). Računalniški črvi pa se znajo zelo hitro širiti. WannaCry ima zmožnost, da skenira omrežje in najde druge gostitelje preko EternalBlue ranljivosti, tako da se lahko širi sam, ne da bi uporabnik rabil karkoli narediti na računalniku. 14. aprila so hekerji, znani kot The Shadow Brokers, trdili, da so ukradli programsko opremo WannaCry, ki ga je razvila ameriška obveščevalna agencij NSA.

 

Število izsiljevalskih napadov hitro narašča

Odstotek izsiljevalskih napadov se je od julija do decembra 2016 zvišal s 5,5 % na 10,5 % vseh poznanih napadov.

 

Najpogostejši malware v drugi polovici leta 2016

  1. Conficker (14,5 %) črv, ki računalniku omogoča oddaljen pristop in prenos malware. Okužena naprava je kontrolirana s pomočjo botneta, ki se povezuje do “Command & Control” strežnika, od kode sprejema navodila.
  2. Sality (6,1 %) virus, ki omogoča oddaljeno upravljanje in prenos dodatnih malware datotek. Glavna naloga je obstoj na okuženem računalniku in s tem omogočiti oddaljen dostop in nadaljnjo širitev malware.
  3. Cutwail (4,6 %) botnet, ki je pogosto vključen v pošiljanje nezaželene pošte in nekatere DDoS napade. Ko je nameščen na okužen računalnik, se botnet poveže direktno do “Command & Control” strežnika in sprejme navodila glede elektronskega sporočila, ki ga mora razposlati. Ko konča z opravilom, pošlje poročilo s statistiko o pošiljanju.
  4. JBossjmx (4,5 %) črv, ki cilja sisteme z ranljivostjo na serverju JBoss Application Server. Malware kreira okuženo JSP spletno stran na ranljivem sistemu. Poleg tega pa odpre stranska vrata, da omogoča komunikacijo preko IRC srežnika.
  5. Locky (4,3 %) ransomware, ki je začel z distribucijo februarja 2106 in se širi predvsem preko nezaželjene elektronske pošte, sn  priponko v Word ali Zip formatu, ki ob odprtju te datoteke namesti malware in zaklene uporabniške datoteke.

Najpogostejši ransomware v drugi polovici leta 2016

  1. Locky (41 % vseh napadov ransomware)
  2. Cryptowall (27n%) ransomware, ki je začel kot dvojnik Cryptolocker, a je presenetil. Ko se je nekako uspešno umaknil Cryptolocker, ga je nadomestil njegov dvojnik. Za Cryptowall je značilno, da uporablja AES enkripcijo in za komunikacijo uporablja TOR omrežje. Najpogosteje se distribuira preko varnostnih lukenj, malvertising in phishing kampanij.
  3. Cerber (23n%) nabolj raširjena ransomware-as-a-service shema. Dobesedno deluje kot franšiza, tako da razvijalec rekrutira ostale, ki nato širijo malware, s tem da jim odstopi delež pri dobičku.

Najpogostejši malware za mobilne naprave v drugi polovici leta 2016

  1. Hummingbad (60 % vseh mobilnih napadov) Malware za Android naprave, ki omogoča namestitev key-loger, krajo dovoljenj, zaobide zakodirane maile.
  2. Triada (9 %) modularni malware za Android naprave, ki omogoča, da se pridobi superuser dostop do mobilne naprave. Triada tudi prevara URL naslove v brskalniku.
  3. Ztorg (7 %) trojanc, ki uporabi root dostop, ki omogoča prenos in inštalacijo aplikacij na mobilne naprave, ne da bi uporabnik za to sploh vedel.