21 December 2012
Geekyspecs Security Guide vol.02 – Η απειλή των ransomware

geekysecurity

Εισαγωγή

Η απειλή των malware υπήρχε καιρό και απειλούσε τα δεδομένα των χρηστών. Μια νέα εξέλιξή τους είναι τα ransomware που όπως είχαμε αναφερθεί σε αυτά σε προηγούμενο άρθρο μας (link), κλειδώνουν τον υπολογιστή μας και ζητάν από τον χρήστη να καταβάλει ένα ποσό για να του ξεκλειδώσουν τον υπολογιστή.

Πως λειτουργεί

Το ransomware εμφανίζει ένα μήνυμα στον χρήστη, από την υπηρεσία ηλεκτρονικού εγκλήματος και τον ενημερώνει ότι έχει προβεί σε κάποια παράνομη πράξη όπως:

  • Κατέβασμα ή διαμοιρασμός copyrighted υλικού
  • Πορνογραφία
  • Παιδική πορνογραφία
  • Τυχερά παιχνίδια

Όταν εμφανιστεί το μήνυμα στον χρήστη, του αφαιρείται ο έλεγχος του υπολογιστή και πρέπει να πληρώσει ένα ποσό για να του επιστραφεί ο έλεγχος του υπολογιστή του και να αποφύγει την ποινική δίωξη. Οι νέες εκδόσεις του ransomware έχουν την δυνατότητα, εφόσον ο υπολογιστής διαθέτει web-cam, να καταγράφουν τον χρήστη σαν ένα μέσο εκφοβισμού.

Για να μπορέσει το ransomware να τρέξει τις περισσότερες φορές απαιτείται ο υπολογιστής να είναι συνδεδεμένος στο internet. Εάν ο υπολογιστής δεν είναι συνδεδεμένος στο internet, το μήνυμα δεν θα εμφανιστεί μέχρι ο χρήστης να συνδεθεί. Αυτό δεν σημαίνει ότι ο υπολογιστής δεν κινδυνεύει και δεν πρέπει να προβεί ο χρήστης σε καθαρισμό, καθώς ο ιός μπορεί να μολύνει τα αρχεία του υπολογιστή και να μεταδοθεί σε άλλους μέσα από USB drives ή εξωτερικούς σκληρούς δίσκους.

ransomware greece

Κίνδυνοι

Σε περίπτωση που ο χρήστης επιλέξει να πληρώσει το ποσό που του ζητείται, ο ιός δεν καθαρίζεται από τον υπολογιστή αλλά μένει και τον αφήνει εκτεθειμένο σε νέες επιθέσεις. Οι μολυσμένοι υπολογιστές έχουν μεγάλη πιθανότητα να χρησιμοποιηθούν από επίδοξους hackers σε επιθέσεις DDoS (Denial-of-service attack) Wikipedia link, επίσης τα αρχεία του χρήστη είναι προσβάσιμα από τους δημιουργούς του ιού. Σε κάθε περίπτωση οι χρήστες θα πρέπει να προσπαθήσουν να καθαρίσουν το σύστημά τους από τον ιό.

Τρόποι καθαρισμού

Εφόσον τις περισσότερες φορές το ransomware για να τρέξει απαιτεί την σύνδεση του υπολογιστή στο internet, ο υπολογιστής είναι προσβάσιμος από τον χρήστη εάν τον αποσυνδέσει από το internet. Επίσης καλό θα ήταν να απαγορευόταν στο flash να έχει πρόσβαση στην webs-cam και το μικρόφωνο του χρήστη, μέχρι να αφαιρεθεί ο ιός. Σε περίπτωση που ο ιός δεν επιτρέπει την πρόσβαση του χρήστη στον λογαριασμό του, ακόμα και αν δεν είναι συνδεδεμένος στο internet, ο χρήστης μπορεί να χρησιμοποιήσει έναν άλλο λογαριασμό (εφόσον υπάρχουν πάνω από ένας στο υπολογιστή) ή να διαλέξει να ξεκινήσει το σύστημά του σε safe mode. Με αυτόν τον τρόπο ο χρήστης έχει τις εξής λύσεις για καθαρισμό:

  1. Επαναφορά του συστήματος σε παλιότερη ημερομηνία
  2. Χρήση ενός malware removal software
  3. Χρήση εξωτερικού σκληρού δίσκου
  4. Manual καθαρισμός των αρχείων και του registry
1. Επαναφορά του συστήματος σε παλιότερη ημερομηνία

Σε πολλές περιπτώσεις ο ιός μπορεί να αφαιρεθεί εάν επαναφέρουμε το σύστημα σε ημερομηνία παλιότερη από αυτή της μόλυνσης. Αυτή η λύση προϋποθέτει να μην έχουν περάσει πολλές μέρες από την μόλυνση καθώς τα σημεία επαναφοράς του συστήματος θα περιέχουν τον ιό.

Εάν ο υπολογιστής μπορεί να λειτουργήσει κανονικά εφόσον αποσυνδεθεί από το internet τότε μπορούμε να χρησιμοποιήσουμε το System Restore, που βρίσκεται στο Start Menu > All Programs > System Tools > System Restore ή πληκτρολογώντας rstrui.exe στο Run του Start Menu (αυτή η λύση μπορεί να χρησιμοποιηθεί και μέσα από την εκκίνηση του συστήματος σε safe mode).

ransomware 01

2. Χρήση ενός malware removal software

Ο ευκολότερος τρόπος είναι μέσο ενός malware removal software. Το πρόβλημα είναι ότι ο υπολογιστής δεν έχει πρόσβαση στο internet και το υπάρχον antivirus θα έχει καταστραφεί. Σε αυτές τις περιπτώσεις οι χρήστες μπορούν να κατεβάσουν σε κάποιον άλλο υπολογιστή κάποιο από τα ακόλουθα προγράμματα:

Για μια πιο πλήρη λίστα μπορείτε να μεταβείτε στο Geekyspecs Security Guide vol.01# free-antivirus-list

Εφόσον τώρα έχουμε ένα malware software μπορούμε με την βοήθεια ενός USB flash drive ή ενός εξωτερικού σκληρού δίσκου, να μεταφέρουμε το πρόγραμμα στον μολυσμένο υπολογιστή, να κάνουμε την εγκατάσταση και να προβούμε σε έλεγχο του συστήματος και τον καθαρισμό του.
Εάν φοβόμαστε για την ασφάλεια των αρχείων του USB flash drive μας, μπορούμε να χρησιμοποιήσουμε κάποιο παλιό που δεν περιέχει άλλα αρχεία και μετά να προβούμε σε format του ή να γράψουμε το πρόγραμμα σε ένα CD και να προβούμε στην μεταφορά του στον μολυσμένο υπολογιστή.

3. Χρήση εξωτερικού σκληρού δίσκου

Εάν το σύστημά μας δεν είναι προσβάσιμο, έχουμε την δυνατότητα να τοποθετήσουμε τον σκληρό δίσκο με το μολυσμένο σύστημα σε μια εξωτερική θήκη και να τον συνδέσουμε σε κάποιον υπολογιστή, που έχει εγκατεστημένο το malware removal software.
Η λύση αυτή μπορεί όμως να οδηγήσει σε μόλυνση και του δεύτερου υπολογιστή και συνιστάται μόνο εάν δεν μπορούμε με κάποιον τρόπο να συνδεθούμε στο μολυσμένο σύστημα!

4. Manual καθαρισμός των αρχείων και του registry

Στην περίπτωση που οι λύσεις μέσω κάποιου προγράμματος malware removal δεν καθαρίσουν την μόλυνση, μπορούμε να δοκιμάσουμε να καθαρίσουμε τα αρχεία του ιού μόνοι μας. Για να το κάνουμε αυτό θα πρέπει να ρυθμίσουμε τα κρυφά αρχεία του υπολογιστή μας να είναι φανερά, εάν δεν γνωρίζεται πως, καλύτερα θα ήταν να αποφύγετε αυτήν την λύση καθώς αν αφαιρεθούν λανθασμένα κρυφά αρχεία αλλά και registry values μπορεί ο υπολογιστής μας να σταματήσει να λειτουργεί.

ransomware 02

  1. Στην εξερεύνηση των Windows ή των υπολογιστή μου, εισάγεται στην γραμμή διεύθυνσης %appdata%
  2. Βρείτε τον φάκελο Microsoft\Windows\Start Menu\Programs\Startup και αν υπάρχει διαγράψτε το ctfmon ή ctfmon.lnk
  3. Στην γραμμή διεύθυνσης %userprofile%
  4. Βρείτε τον φάκελο Appdata\Local\Temp και ψάξτε και διαγράψτε τα αρχεία rool0_pk.exe, V.class και όλα τα αρχεία *.mof (καλό θα ήταν να καθαρίσετε ολόκληρο τον φάκελο temp)
  5. Αν και δεν είναι απαραίτητο ο ιός μπορεί να έχει κάνει εγκατάσταση και άλλα αρχεία σε διάφορες τοποθεσίες του συστήματός μας που θα ήταν καλό να ελέγξουμε. Μια πιο πλήρης λίστα με τα αρχεία του ιού:
    • %Program Files%\FBI Moneypak Virus
    • %AppData%\Protector-[rnd].exe
    • %AppData%\Inspector-[rnd].exe
    • %AppData%\vsdsrv32.exe
    • %AppData%\result.db
    • %AppData%\jork_0_typ_col.exe
    • %appdata%\[random].exe
    • %Windows%\system32\[random].exe
    • %Documents and Settings%\[UserName]\Application Data\[random].exe
    • %Documents and Settings%\[UserName]\Desktop\[random].lnk
    • %Documents and Settings%\All Users\Application Data\FBI Moneypak Virus
    • %CommonStartMenu%\Programs\FBI Moneypak Virus.lnk
    • %Temp%\0_0u_l.exe
    • %Temp%\[RANDOM].exe
    • %StartupFolder%\wpbt0.dll
    • %StartupFolder%\ctfmon.lnk
    • %StartupFolder%\ch810.exe
    • %UserProfile%\Desktop\FBI Moneypak Virus.lnk
    • WARNING.txt
    • V.class
    • cconf.txt.enc
    • tpl_0_c.exe
    • irb700.exe
    • dtresfflsceez.exe
  6. Για να αφαιρέσουμε τις κακόβουλες εγγραφές στο μητρώο των Windows, από το Start Menu αν είμαστε στα Window XP επιλέγουμε την εντολή Run και γράφουμε regedit.exe, αλλιώς στα Windows Vista & 7, γράφουμε regedit. Η λίστα με εγγραφές του μητρώου που πρέπει να διαγραφούν (και σε αυτή την περίπτωση δεν είναι απαραίτητο να υπάρχουν όλες οι εγγραφές):
    ransomware 03
    • HKEY_CURRENT_USER > Software > FBI Moneypak Virus HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Internet Settings ‘WarnOnHTTPSToHTTPRedirect’ = 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Internet Settings > WarnOnHTTPSToHTTPRedirect 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > System ‘DisableRegedit’= 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > System ‘DisableRegistryTools’ = 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > System ‘DisableTaskMgr’ = 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > System “DisableRegistryTools” = 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > System “DisableTaskMgr” = 0
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run ‘Inspector’
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run > [random].exe
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run > Inspector %AppData% > Protector-[rnd].exe
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Settings > ID 4
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Settings > net [date of installation]
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Settings > UID [rnd]
    • HKEY_LOCAL_MACHINE > SOFTWARE > FBI Moneypak Virus
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AAWTray.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AAWTray.exe > Debugger svchost.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AVCare.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AVCare.exe > Debugger svchost.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AVENGINE.EXE
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > AVENGINE.EXE > Debugger svchost.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Image File Execution Options > protector.exe
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system ‘EnableLUA’ = 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system “ConsentPromptBehaviorAdmin” = 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system “ConsentPromptBehaviorUser” = 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system “EnableLUA” = 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system > ConsentPromptBehaviorAdmin 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system > ConsentPromptBehaviorUser 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > policies > system > EnableLUA 0
    • HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Uninstall > FBI Moneypak Virus
Επίλογος

Τον τελευταίο χρόνο η απειλή των ransomware γίνεται όλο και πιο αισθητή. Οι δημιουργοί τους φροντίζουν να βγάζουν νέες εκδόσεις, ώστε να παρακάμπτουν τα συστήματα ασφαλείας μας, αλλά να γίνονται και πιο πειστικά.

Καλό είναι να έχετε πάντα εγκατεστημένο ένα σύστημα προστασίας από ιούς στο σύστημά σας και να φροντίζεται να είναι ενημερωμένο. Επίσης σε περίπτωση μόλυνσης, δεν θα πρέπει να πληρώσετε το ζητούμενο ποσό και θα πρέπει να προβείτε στον άμεσο καθαρισμό του συστήματός σας.

Για απορίες & λεπτομέρειες περιμένω τα σχόλιά σας.

Tags
Similar
Comments
Αυτή η ιστοσελίδα χρησιμοποιεί cookies. Εφόσον χρησιμοποιείτε το web-site μας, συμφωνείτε με τη χρήση των cookie απο εμάς.Μάθετε περισσότεραΑποδοχή