Parādījusies jauna šifrējošā izspiedējvīrusa versija CryptoWall 4.0

Globālajā tīmeklī vērojams jauns šifrējošo izspiedējvīrusu izplatības vilnis. Lietotājam vairs nav jāatver e-pasta pielikums, lai inficētu savu datoru ar izspiedējvīrusu. Pietiek apmeklēt leģitīmu, bet vāji aizsargātu un tādēļ kompromitētu mājas lapu, un datorā nonāk CryptoWall 4.0.

Šifrējošais izspiedējvīruss CryptoWall 4.0 izmanto neatjauninātas vai citādi ievainojamas komponentes, piemēram, Adobe Flash, Java vai Microsoft Windows, lai inficētu upura iekārtu. Vīruss veic ne tikai failu satura, bet arī failu nosaukumu šifrēšanu. Tas sarežģī nošifrēto failu atpazīšanu un lietotājam ir grūti saprast, ko tad viņš ir zaudējis un vai tas ir atjaunošanas vērts.

Latvijā pagaidām ir konstatēti tikai daži CryptoWall 4.0 inficēšanās gadījumi, taču nevajadzētu zaudēt modrību.

Šifrējošais izspiedējvīruss pa laikam tiek izplatīts, izmantojot arī e-pasta sistēmas. Papildu piesardzību vajadzētu ievērot tiem, kas izmanto ārzemju e-pasta servisus, piemēram, AOL, veic intensīvu saraksti ar ārzemēm vai saņem daudz mēstuļu. Šajos gadījumos ir lielāka iespēja, ka kāds no e-pastiem saturēs kaitīgu pielikumu ar šifrējošo izspiedējvīrusu. Jāņem vērā arī tas, ka ļoti maz antivīrusu spēj atpazīt šo ļaunatūru, jo, līdzīgi gripai, šis vīruss nepārtraukti mainās.

Lai sevi pasargātu, jāatceras:

• nevērt vaļā negaidīti saņemtus e-pasta pielikumus, pat no pazīstamiem sūtītājiem,
• veidot svarīgo failu rezerves kopijas uz datu nesēja, kas ikdienā nav pievienots lietotāja datoram,
• datora ikdienas lietošanai izmantot lietotāja kontu, kuram nav administratora tiesību.

Ja tiek pamanītas dīvainības datora darbībā, datorā parādās nesaprotami, kodēti faili, datoru steidzami jāizslēdz un jāvēršas pēc palīdzības pie datorspeciālista. Ja datorā savu darbu būs sācis šifrējošais izspiedējvīruss, iespējams, šajā stadijā daļu datu vēl varēs atjaunot.

Tehniskā informācija:

CryptoWall 4.0 darbība:

• Šifrē ne tikai failus, bet arī to nosaukumus.
• Tāpat kā tā priekšteči, injektē sevi Explorer.exe un atslēdz System Restore, dzēš visas Shadow Volume kopijas un, izmantojot bcdedit, atslēdz arī Windows Startup Repair.
• Pēc tam injektē sevi svchost.exe un nošifrē visu lokālo disku, pārvietojamo datu nesēju, kas pievienoti datoram, un tīkla disku saturu, ja lietotājam uz šiem diskiem ir rakstīšanas tiesības.
• Pēc šifrēšanas pabeigšanas veido instrukcijas failus ar nosaukumu HELP_YOUR_FILES
• Maksāšanas „instrukcijā” vairs nav norādīts cryptowall versijas numurs, bet parādās tikai CryptoWall.
• Failu nosaukumus nav iespējams atšifrēt, jo lokāli vairs nesaglabā šifrēto failu sarakstu.

Vīruss pašlikvidējas no temp mapes pēc failu un to nosaukumu šifrēšanas pabeigšanas, neatstājot citas pēdas, kā vien nelietojamus failus un instrukciju HELP_YOUR_FILES katrā mapē un uz Desktopa.

Komunikācija ar C&C serveri CryptoWall 4.0 gadījumā ir identiska iepriekšējām šī vīrusa versijām. CryptoWall 4.0 turpina šifrēšanai izmantot RC4. Upura unikālais identifikators joprojām tiek veidots no MD5 hašota datora nosaukuma (Computer Name), diska seriālā numura (volume serial number), procesora informācijas un operētājsistēmas versijas.

Vairāk informācijas par Cryptowall 4.0 http://www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names/ un http://arstechnica.com/security/2015/12/newest-ransomware-pilfers-passwords-before-encrypting-gigabytes-of-data/