Luand in considerare numarul in crestere al infectarii sistemelor informatice cu virusi de tip Ransomware, Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO) atrage atentia utilizatorilor cu privire la aceasta problema printr-o serie de informatii menite sa-i ajute sa previna si sa minimizeze daunele provocate de acest tip de malware.
Mai exact virusii de tip ransomware blocheaza accesul la diverse fisiere sau in unele cazuri chiar la intregul sistem, solicitand in schimbul deblocarii o recompensa sub diferite forme, in principal sume de bani: euro, dolari, bitcoin. In limbaj de specialitate, acest malware se numeste CryptoWall, iar versiunea 3.0 cripteaza asimetric fisierele stocate si redirectioneaza victima catre o pagina web in care sunt explicatii „pasii ce trebuie urmati pentru deblocarea sistemului”.
Modul de operare al malware-ului
CryptoWall 3.0 este greu de sesizat inainte de blocarea calculatorului si afisarea paginii in care utilizatorul infectat este anuntat ca trebuie sa plateasca pentru a-si recupera datele din calculator, deoarece criptarea fisierelor se face in fundal. De fapt, pagina care se afiseaza este un fisier HTML care prezinta pasii ce trebuie urmati pentru deblocare. Documentele vizate sunt criptate in RSA-2048, iar cheia de decriptare unica pentru calculatorul afectat se gaseste pe un server secret si este singura posibilitate pentru recuperarea datelor. Pentru a adauga un plus de presiune, se stabileste un termen pentru efectuarea platii cuprins intre 5 si 7 zile, ilustrat de un cronometru care arata orele, minutele si secundele. Dupa efectuarea platii, victima trebuie sa downloadeze Tor Browser, singurul navigator prin care se poate accesa serverul care contine cheia de decriptare.
Criptowall 3.0 este programat sa cripteze fisierele cu valoare pentru utilizator, precum documente office, fisiere audio, video sau fotografii, pe care le sterge. Astfel, principalele consecinte ale acestor atacuri sunt pierderea temporara sau permanenta a datelor, intreruperea serviciilor oferite de catre companiile afectate, perderi financiare reprezentand sumele platite pentru recuperarea datelor, afectarea reputatiei victimei.
Metode de prevenire
Pentru evitarea pierderii iremediabile a documentelor sensibile este recomandata copierea si pastrarea datelor critice pe harduri sau alte instrumente de stocare ce nu sunt direct conectate la internet, precum si realizarea de back-up-uri periodice ale sistemului si mentinerea la zi a sistemului de operare, antivirusului si a celorlalte software-uri instalate.
Intrucat majoritatea acestor malware-uri vin prin intermediul unor reclame sau site-uri care par respectabile, este bine ca linkurile primite prin mail sau prin mesaje venite prin intermediul retelelor de socializare sa fie verificate inca dinainte de a fi accesate, iar atasamentele sa fie scanate inainte de deschiderea lor.
Ce sa facem daca am fost infectati
Unul dintre lucrurile pe care mizeaza infractorii este nu doar impactul psihologic al cronometrului, ci si faptul ca timpul estimat nu este suficient pentru gasirea unei solutii alternative la plata, datorita modului complex in care informatia a fost decriptata.
Cu toate acestea este totusi bine sa fie evitata plata recompensei solicitate, intrucat aceasta nu garanteaza redobandirea accesului la fisierele pierdute si in plus incurajeaza aceste practici. Un prim pas este izolarea calculatorului infectat prin deconectarea din internet pentru a impiedica extinderea virusului catre alte terminale conectate la aceeasi retea. Urmatorul pas consta in inlaturarea virusului printr-un anti-malware care permite dezinstalarea acestuia. Dar eliminarea virusului nu inseamna ca documentele au fost decriptate.
Cea mai la indemana metoda este restaurarea sistemului la o data anterioara, desigur, aceasta se poate doar in cazul in care este realizat un back up periodic, sau daca functia System Restore a Windows este activata.
O metoda de a le recupera fara decriptare, chiar daca sistemul nu a fost programat sa realizeze un back-up, sau fara System Restore, se bazeaza pe faptul ca in momentul in care documentele sunt criptate, acestea sunt de fapt sterse, versiunile criptate fiind de fapt copii. Astfel, documentele pot fi restaurate folosind aplicatii care pot recupera documentele care au fost sterse, de tipul data recovery.