Protectie CryptoWall
Salut, numele meu e Dan si am fost infectat cu Cryptowall. De fapt asta e o minciuna, m-am infectat singur si am depus toate eforturile pentru asta.
Ieri a trebuit sa fac o interventie remote la un client. Intrucat Teamviewer nu imi convine (considerente tehnice), Remote Desktop era imposibil iar softul nostru opensource www.f1f1.ro nu functioneaza foarte bine in Windows 8 (inca), am ales de comun acord cu clientul Ammyy (www.ammyy.com) . Clientul il folosea frecvent, era deja instalat la el. Si aici incepe aventura si se vede cat de tenace pot fi unii oameni.
Deschid Chrome (browserul default la mine si la marea majoritate) si accesez, prin Google pagina de download a Ammyy. Click pe client si Chrome zice:
Recunosc ca nu am mai vazut asta, dar in nici un caz nu ma va opri sa fac ce vreau, nu? Asa ca deschid Mozilla Firefox si ii dau din nou. De data asta vrea:
Super, am reusit! Asa ca rulez executabilul si Windows-ul zice:
Evident ca nimic nu ma poate opri, dau More Info, continui si.... gata. Toate fisierele mele sunt criptate, nu mai am nimic.
De abia dupa, am curiozitatea sa vad ce se intampla cu Ammyy si vad ca este cunoscut ca site-ul lor este virusat: http://www.theregister.co.uk/2015/11/12/fraudsters_ammyy_malware_downloads/ De o luna!!
Insa povestea asta este de fapt despre cum anume sa te protejezi de CryptoWall (sau alte variante de mallware Ransomware), nu despre cum m-am infectat eu.
In primul rand, inamicul, CryptoWall, este unul dintre primele Ransomware aparute. Ce face? Infecteaza un calculator dupa care cripteaza toate documentele si pozele gasite.
Odata criptate, aceste fisiere nu vor mai putea fi accesate decat utilizand cheia unica de criptare utilizata in acest proces (cel de criptare), si ce credeti, doar atacatorul o are :(
Foarte important este ca se duce si in retea ceea ce inseamna ca nu doar fisierele de pe propriul tau calculator vor fi afectate ci si cele aflate pe share-uri publice de pe servere, pe Google Drive sau pe Microsoft OneDrive. Criptarea se face cu o cheie foarte lunga si cu algoritmi de criptare moderni facand practic imposibila decriptarea prin metode clasice de tip brute force.
Singura varianta sa va puteti reaccesa/utiliza fisierele criptate este sa luati legatura cu atacatorul (este foarte amabil si va furnizeaza datele de contact) si sa ii cereti cheia de decriptare.
HELP_YOUR_FILES.TXT, HELP_YOUR_FILES.HTML, HELP_YOUR_FILES.PNG sunt fisierele (inofensive, cu date de contact si instructiuni) prin care atacatorul se asigura ca, daca va doriti fisierele inapoi, aveti posibilitatea de a le recupera, urmand instructiunile, cea mai importanta fiind plata "recompensei".
"Recompensa" este o suma variabila intre 1 si 5 Bitcoin (~300 EUR pentru un Bitcoin). Si bineinteles ca nu aveti nici o siguranta ca veti primi intradevar cheia.
Evident, trebuie sa ne protejam. Ceea ce pot sa va spun din prima este ca nu exista un antivirus care sa va protejeze complet de asa ceva. Exista cateva, foarte putine versiuni ale mallware-urilor de tip Ransomware care sunt prinse de antivirusi. Dar majoritatea vor trece nedectate. Variantele de protectie sunt in zona limitarii de acces si, mai ales, a unui backup curent si continuu. Eu de exemplu, nu am pierdut nimic ieri. Absolut nimic.
Dar cea mai importanta protectie este la nivelul utilizatorului. Dupa cum vedeti mai sus, sistemul de operare, browserul, toate au incercat sa ma opreasca sa imi fac singur rau. Si aici este vorba despre calculatorul de acasa, fara firewall, fara scanare de trafic, si cu Windows Defender instalat. Probabil ca la birou se schimba complet treaba. Dar eu, eroic, am reusit totusi sa trec peste toate protectiile si sa ma virusez.
Protectia exista pe orice sistem. Trebuie doar sa ne tinem sistemele de operare actualizate, sa nu oprim sistemele de alertare si protectie (care uneori pot fi obositoare, cel mai bun exemplu fiind sistemul UAC), si bineinteles sa citim de doua ori inainte de a da click pe OK/Allow.
Pentru aventurosi sau pentru cine vrea sa isi testeze sistemul antimallware :), mai jos regasiti 3 (trei) versiuni ale utilitarului ammyy, o versiune (curata din punctul nostru de vedere, descarcata de pe un mirror softpedia, [atentie, pe softpedia, din trei locatii de download, doar una a fost curata]).
ATENTIE, nu testati mostre de fisiere virusate decat daca aveti cunostinte avansate de IT si securitate !!! Toate testele efectuate de camscape au fost facute in medii izolate, dispensabile, fara acces la retea, daca vreti sa incercati si voi, asigurati-va ca aveti aceste medii de test (izolate, dispensabile, fara acces la retea). camscape nu isi asuma responsabilitatea pentru utilizarea incorecta a celor doua mostre de fisiere virusate disponibile pentru descarcare.
AA_v3_CLEAN.zip
ATENTIE, arhiva contine un fisier virusat AA_v3_INFECTED_sample1.zip, parola de dezarhivare:1234
Rezultate AA_v3_INFECTED_sample1:
- Windows 8.1, actualizari la zi, protectia antimalware asigurata de Windows Defender, UAC dezactivat: Mallware-ul (CryptoWall) NU a fost detectat .
- Windows 7 actualizari la zi, protectia antimalware asigurata de Windows Defender, UAC activat: Mallware-ul (CryptoWall) NU a fost detectat de catre Windows Defender, a fost in schimb emisa alerta de executie de catre sistemul UAC asupra unui fisier temporar neidentificat care incerca sa executa la fiecare 10 secunde
ATENTIE, arhiva contine un fisier virusat AA_v3_INFECTED_sample2.zip, parola de dezarhivare:1234
Rezultate AA_v3_INFECTED_sample2:
- Windows 8.1, actualizari la zi, protectia antimalware asigurata de Windows Defender, UAC dezactivat: Mallware-ul (CryptoWall) a fost detectat si stopat de sistemul Windows Defender.
- Windows 7 actualizari la zi, protectia antimalware asigurata de Windows Defender, UAC activat: Mallware-ul (CryptoWall) NU a fost detectat de catre Windows Defender, a fost in schimb emisa alerta de executie de catre sistemul UAC asupra unui fisier temporar neidentificat care incerca sa executa la fiecare 10 secunde
camscape, 7 decembrie 2015
Vrei sa primesti pe email articolele CAMSCAPE ? Inscrie-te
aici si le vei primi automat.
19/12/202125 de ani camscape29/10/2021Camscape Services Furnizor al Casei Regale a Romaniei15/07/2020Windows DNS Server Remote Code Execution Vulnerability30/05/2020Expirare certificat SSL SECTIGO21/04/2020Malware: Pericol ridicat. Contul dvs. a fost piratat. Va rugam sa schimbati parola imediat.15/04/2020Achizitie in rate cu amanare la plata07/03/2020Backup ca asigurare impotriva ransomware03/03/2020Criptare mesaje email02/03/2020A venit primavara!04/08/2019Securitate minima pentru acasa03/06/2019Optimizare viteza de incarcare site si securitate21/03/2019Bug in WinRAR care permite instalarea de Malware09/03/2019Citrix a fost hacked07/02/2019Vulnerabilitate OpenOffice si LibreOffice06/02/2019GDPR: Cookie conform GDPR verificate de Cookiebot22/01/2019GDPR : Raspunderea generata de folosirea Facebook in site-uri18/12/2018La Multi Ani Camscape!09/11/2018Activate Windows27/10/2018Vulnerabilitate X.org24/10/2018Web Application Firewall (WAF) de la Malware Expert07/10/2018IMWORLD 201806/10/2018Update la Windows 10 1809 va poate sterge documentele23/09/2018SEO pe Instagram29/07/2018Ce parola sa imi pun30/06/2018HTTPS Obligatoriu25/06/2018Atac Spam sustinut12/06/2018DOT Cloud Active Directory05/06/2018Microsoft cumpara GitHub03/06/2018GDPR : Data Protection Experts29/05/2018VPNFilter - Un atac informatic care a afectat 500.000 de echipamente29/05/2018E-Fail : o vulnerabilitate PGP08/05/2018Hosting in UK08/03/2018Vestitorii primaverii04/01/2018Meltdown si Spectre, doua vulnerabilitati extrem de grave14/12/2017Vulnerabilitate SSL ROBOT16/10/2017Securitatea conexiunii wireless04/10/2017Vulnerabilitate Linux, Android si routere02/10/2017IMWORLD 201720/09/2017Optionsbleed, un fel de Heartbleed mai mic27/07/2017Oferim solutii IT atat de bune incat clientii sunt fericiti21/06/2017Stack Clash : Vulnerabilitate grava Linux14/05/2017Microsoft Ransom Malware: WannaCry sau WCry04/04/2017la Karting, v2.023/03/2017Solutii marketing, generare studii de piata23/03/2017Solutii marketing, transmitere emailuri comerciale17/03/2017Probleme RIPE si ARIN07/03/2017WiFi vs cablu24/02/2017Cloudbleed - o vulnerabilitate care a afectat milioane de siteuri12/02/2017Exploit Wordpress09/02/2017Uite taxa nu e taxa07/01/2017HTTPS obligatoriu pentru Google05/01/2017Domeniile .ro cu plata anuala22/12/2016Craciun Fericit!05/10/2016IMWORLD 201623/09/2016500 milioane de conturi de la Yahoo29/08/2016la 20 de ani02/06/2016Vulnerabilitate Wordpress WP Mobile Detector22/05/2016Securitate webhosting, WordPress, fisiere backup, fisiere configurare site10/05/2016Aventurierii IT-isti04/05/2016Vulnerabilitate ImageMagick: ImageTragick13/04/2016Microsoft SQL Server 2016 pe Linux02/03/2016Vulnerabilitate OpenSSL DROWN29/02/2016Routere si securitate22/02/2016Locky Ransomware19/12/2015Vulnerabilitate Microsoft Outlook19/12/2015HTTP2 sau de ce un site are nevoie de HTTPS15/12/2015Vulnerabilitate grava JOOMLA07/12/2015Protectie CryptoWall05/12/2015Hosting PHP 7 in Romania02/10/2015CAMSCAPE la IMWORLD 201502/10/2015Microsoft Update compromis23/08/2015Sistem SIP anti frauda15/08/2015Vulnerabilitate SSH30/07/2015Telekom si acces DNS30/07/2015Vulnerabilitate grava DNS Bind09/07/2015Vulnerabilitate grava OpenSSL08/07/2015Zendesk si verificare email de suport24/06/2015ICANN doreste un WHOIS cu toate informatiile la vedere24/06/2015SMS dupa fiecare apel primit10/06/2015Servere cu uptime de 3 ani, fara intreruperi26/05/2015Callcenter TAXI PELICANUL17/05/2015Asterisk PBX VoIP in limba romana17/05/2015Rapoarte pentru centrale telefonice17/05/2015Telefon cu disc pentru centrale VoIP08/05/2015Vulnerabilitate Wordpress genericons26/04/2015Iphone 6 si DNSBL24/04/2015Vulnerabilitate Wordpress .... din nou07/04/2015Vulnerabilitate Wordpress23/03/2015Cat de importanta este o parola si ce trebuie sa contina o parola14/03/2015Antispam performant14/03/2015OpenSSL 1.0.204/03/20151 Leu va rog!11/02/2015Hosting Phalcon08/02/2015Sistem de backup incremental SyncBackup03/02/2015SPAM: Ocuparea fortei de munca oportunitate ID:7766526/01/2015Promotie calculator DELL PC Optiplex 3020 MiniTower12/01/2015Sistem de backup incremental gratuit05/01/2015PageSpeed - optimizare automata site-uri26/12/2014Callcenter VoIP cu matchmaking agent - client21/12/2014Securitate Linux: O noua vulnerabilitate grava NTP permite executia de cod remote19/12/2014Craciun fericit si La Multi Ani!19/12/2014Asterisk PBX cu telefoane VoIP Cisco 794201/12/2014Statie grafica de 20 de ori mai rapida decat un PC normal26/11/2014Blackfriday: Optimizare MySQL16/11/2014Vulnerabilitate Microsoft Secure Channel MS14-06616/11/2014Manager Relatii cu Clientii - spam03/11/2014Intel NUC, un calculator mic, rapid si comod03/11/2014SEO ridicat prin folosirea HTTPS, la recomandarea Google28/10/2014Test SERVER Black Friday 201416/10/2014Securitate OpenSSL vulnerabilitatea POODLE07/10/2014CAMSCAPE la IMWORLD 201428/09/2014Shellshock: securitatea serverului tau poate fi grav compromisa12/06/2014Sistem Antispam Junkify02/06/2014Atac spam02/06/2014SMS Gateway29/05/2014e-mail PUSH service23/04/2014Pentru ca ... server22/04/2014Butonul Start in Windows 817/04/2014Echipa CAMSCAPE va doreste Paste Fericit !16/04/2014Spam, Spam, Spam11/04/2014Securitatea serverului tau ar putea fi compromisa! - Heartbleed: o grava bresa de securitate10/04/2014OpenVPN vs PPTP vs IPsec04/04/2014Storage 48TB la doar 6700 EUR. Pentru ca ... Storage01/04/2014Modul Apache H26407/03/2014Incetarea asistentei pentru Windows XP si Office 200314/02/2014Atac DDoS folosind servere NTP14/02/2014Statie grafica de 13 ori mai rapida decat un PC normal19/12/2013A venit iarasi Mosul !18/12/2013CAMSCAPE 17 ANI11/12/2013Solutii complete pentru un Black Friday de succes25/11/2013Tableta de Black Friday22/11/2013Nu rata oferta Camscape de Black Friday: 4 luni de Abonament IT GRATUIT !12/11/2013We are Klingons !08/11/2013Inca un callcenter HASH livrat: StarShinerS.ro08/11/2013Black Friday, sau cat de multi vizitatori poti primi in magazinul tau online09/10/2013Calculatoare Intel LOOP All In One, prin CAMSCAPE27/09/2013VoiceBlue Next 2N - gateway VoIP25/09/2013Parteneriat 2N - solutii VOIP SIP si M2M09/09/2013CUPA COMISIONARULUI 2013 PARTEA II06/08/2013A fost lansat WinRAR 5.004/07/2013Tendinte in securitatea IT23/06/2013Dezinstalare antivirus McAfee03/06/2013Platiti in rate echipamentele IT de care aveti nevoie03/06/2013Instalare RCDPS, ECS, ICS si SOCLASS - NCTS pe Microsoft Windows 8 6428/05/2013Aventuri la pescuit - Cupa Comisionarului27/05/2013OpenVPN vs PPTP26/05/2013Economie de curent22/05/2013Foloseste si tu WinRAR legal07/05/2013Camscape a devenit mai verde si pentru asta a primit 10% discount !30/04/2013Protectia datelor prin criptare cu BitLocker sau TrueCrypt23/04/2013Accelerator de aplicatie - FusionIO - ioFX22/04/2013Am un bug17/04/2013802.11ac cea mai rapida conexiune wireless09/04/2013Sectiune Download06/04/2013Acces Remote Gratuit02/04/2013Cloud! The right way31/03/2013Server propriu vs Google vs Office36526/03/2013Cel mai mare atac informatic al tuturor timpurilor25/03/2013Pirateria software genereaza pierderi substantiale pentru consumatori si companii20/03/2013Optimizarea paginilor web pentru mobil: camscape.ro14/03/2013linuxsourceupdate.org14/03/2013Server modular Intel14/03/2013Lansare proiect fotoland.ro09/01/2013Angajatul lunii decembrie 201221/12/2012A venit Mos Craciun !18/12/2012La Multi Ani camscape !18/12/2012Antivirus de Craciun18/12/2012La Multi Ani 2013 !03/12/2012Windows 8, Intel si Vodafone iti ofera 12 luni de internet gratuit28/11/2012Google hack DNS poisoning14/11/2012Asbis Partner Roadshow 201212/11/2012Un idiot intr-o lume de descreierati05/11/2012Promotie avast: Avast! sustine partenerii business02/11/2012Un weekend minunat cu camscape31/10/2012De ce vrem sa ne cumparam o tableta?11/10/2012Tablete cu sisteme de operare Android, iOS, Windows dar si smartphone-uri!03/10/2012Angajatul lunii septembrie 201202/10/2012Angajat nou Camscape ...02/10/2012Promotie antivirus avast Octombrie 201201/10/2012Distribuitor autorizat Kaspersky Lab Romania28/09/2012Parteneriate Adobe si Apple28/09/2012Lansare itkb.ro - IT knowledge base05/09/2012Angajatul lunii august 2012