Emanuel Mares

Tech - Fotografie - Timp liber

Hai sa vorbim ransomware cu cryptolocker

M-am confruntat recent cu un ransomware de gen Cryptolocker. Ce face el? Apare sub forma unui e-mail, foarte convingator, cu un atasament ce la prima vedere pare ok. Sefului meu i s-a prezentat cu un mail scris foarte coerent in italiana, in care apare un excel. Pe urma, daca nu e stopat de antivirus, aplica un algoritm de criptare cu o cheie, si se raspandeste oriunde userul are acces prin retea sau drive-urile personale. Ataca pe urma orice tip de fisier care nu apartine catorva tipuri exceptate, de ex .exe, .txt, .dll, .cmd sau .bat Nu se atinge totusi de fisiere importante pentru sistem. Ca sa recuperam datele se dau instructiuni care te trimit sa apelezi la Tor pe un site .onion, si sa platesti o suma in bitcoin. Se recomanda sa nu platim pentru ca nu stim cu cine avem de-a face, si nu este nicio garantie, si totusi cine tine bitcoin in portofel.

Inainte de toate este important sa scapam de virus, pentru ca la startup se reaplica programelul de criptare si nu rezolvam nimic. Deci prima data dam o scanare cu diferite antispyware de genul HitmanPro sau Cryptoguard, iarasi antivirusi ca AVG si Malwarebytes previn alte atacuri nedorite, desi cred ca la momentul de fata sunt mai multe care blockeaza cryptolockerul.

Ce ne-a invatat asta?

Sa facem BACKUP. Dar si sa intarim securitatea cu privire la accesul pe folderele din retea. In mare parte am rezolvat cu un restore si apeland la Shadow Explorer pentru a recupera niste fisiere de pe statia infectata. Norocul a fost ca nu a reusit sa stearga punctele de restore si VSS-urile, avand ceva backup-uri la ceea ce era important. Totusi ce este in server a disparut doar daca se pot recupera ceva folosind niste tool-uri de decriptare.

Pentru recuperare se pot folosi decriptoare de la Kaspersky sau emsisoft, desi sunt mici sanse ca sa recuperam ceva, dar merita incercat. Al doilea lucru ce se poate face este sa recuperam fisierele necesare cu Shadow Explorer cum am procedat si noi mai sus. In ultimul rand, virusul sterge de obicei fisierul ce l-a criptat, astfel se poate incerca programele de recuperare, Recuva este unul ok si gratuit.

In concluzie securitatea face totul, nu dati permisie tuturor in orice locatie, limitati cat mai mult accesul, cereti parole si autentificare pentru scriere in cazul locatiilor importante. Faceti backup pe device-uri externe, pe care sa le tineti deconectate. Pentru binele vostru fiti mai atenti la mailuri, pentru ca e principalul mediu de raspandire.

Link-uri utile:

https://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#decrypt

https://noransom.kaspersky.com/

https://decrypter.emsisoft.com/

Share