Το 43% των υπολογιστών που εξέτασε η εταιρεία antivirus ESET στην Ελλάδα έχουν μολυνθεί από λογισμικό που θα επιχειρήσει να κλειδώσει τα αρχεία του χρήστη και να απαιτήσει λύτρα για το ξεκλείδωμά τους. Το ransomware που πλήττει την Ευρώπη είναι γνωστό ως Locky.
Συγκεκριμένα, η τηλεμετρία ESET LiveGrid εμφανίζει μία κορύφωση στην ανίχνευση του κακόβουλου λογισμικού JS/Danger.ScriptAttachment σε διάφορες ευρωπαϊκές χώρες. Τα πιο αξιοσημείωτα ποσοστά ανίχνευσης σημειώνονται στο Λουξεμβούργο (67%), Τσεχία (60%), Αυστρία (57%), Ολλανδία (54%) και Ηνωμένο Βασίλειο (51%), αλλά και σε άλλες ευρωπαϊκές χώρες. Ιδιαίτερα αυξημένα παρουσιάζονται και τα ποσοστά ανίχνευσης σε Ελλάδα και Κύπρο, όπου φτάνουν στο 43%.
Σημειώστε πως το ESET LiveGrid είναι μια υπηρεσία που αξιοποιεί στοιχεία που συλλέγονται από όλους τους χρήστες των αντι-ικών προγραμμάτων της εταιρείας με σκοπό να προβλέψει τις επόμενες απειλές -κάθε φορά που καταγράφεται κάτι περίεργο, γίνεται ανάλυση από τα ερευνητικά της εργαστήρια. Ανάλογες μεθόδους πρόβλεψης, αξιοποιώντας την ανοικτή διαδικτυακή επικοινωνία με τους πελάτες τους, χρησιμοποιούνται κατά κόρον σήμερα από τις περισσότερες εταιρείες ανάπτυξης antivirus. Η ανίχνευση του Locky δεν σημαίνει ότι κλειδώθηκαν τα αρχεία, αλλά ότι εντοπίστηκε πριν προχωρήσει στην κρυπτογράφηση αρχείων.
Το “ransomware” (ranson+software, λύτρα+λογισμικό) στο οποίο αναφέρεται η ESET είναι γνωστό ως Locky. Η διάδοσή του ξεκινά από ένα φαινομενικά αθώο μήνυμα ηλεκτρονικού ταχυδρομείου, στο οποίο επισυνάπτεται ένα έγγραφο -Word, ή Excel (με καταλήξεις doc, docx, xls ή κάτι σχετικό), σύμφωνα με τηνανάλυση του Locky από τους ειδικούς της ESET.
Το αδύνατο σημείο που εκμεταλλεύονται οι επίδοξοι «απαγωγείς» αρχείων είναι τα macro, δηλαδή οι μακροεντολές, μερικές γραμμές κώδικα που επιτρέπουν τη διεκπεραίωση επαναλαμβανόμενων ενεργειών, προσθέτοντας χρήσιμη λειτουργικότητα στο Microsoft Word ή στο Excel. Απενεργοποιημένη εκ προοιμίου, για να εκτελεστεί μια μακροεντολή ζητά την συναίνεση του χρήστη, ζητώντας να κάνει κλικ στην προτροπή Enable Content.
Εάν ο χρήστης το επιτρέψει, τότε στην περίπτωση του Locky, ξεκινά η διαδικασία μόλυνσης του συστήματος. Δημιουργείται ένα batch αρχείο, για την εκτέλεση διαδοχικών εντολών στο λειτουργικό αλλά και ένα αρχείο VBScript το οποίο επίσης τρέχει και φέρνει από τον διακομιστή του υπεύθυνου για τη διάδοση το κρίσιμο αρχείο που αφενός θα διαγράψει τα ίχνη της μόλυνσης, αφετέρου θα κρυπτογραφήσει τα αρχεία του συστήματος και σε κάθε reboot θα ζητά από τον χρήστη να καταβάλλει λύτρα σε bitcoin για να τα ξεκλειδώσει.
Η ESET, όπως και όλοι οι δημιουργοί antivirus συνιστούν στους χρήστες την πρόληψη -μην ανοίγετε αρχεία από άγνωστες πηγές, να εγκαθιστάτε antivirus (η ESET παραπέμπει στο ESET Smart Security) και να τηρείτε αντίγραφα των αρχείων σας σε εξωτερικό μέσο αποθήκευσης. Παρά το γεγονός ότι το ransomware ανιχνεύεται σε τόσο υψηλά ποσοστά ανά τον κόσμο, οι εταιρείες antivirus επιμένουν ότι μπορούν να το εντοπίσουν εγκαίρως.
«Οι χρήστες των λύσεων ESET είναι προστατευμένοι από αυτή την απειλή. Οι λύσεις μας μπορούν να μπλοκάρουν τις κακόβουλες προθέσεις για λήψη και εκτέλεση διάφορων οικογενειών ransomware», σχολιάζει ο Ondrej Kubovič, IT Security Specialist της ESET.
Επίσης, δεν συνιστούν στους χρήστες να πληρώσουν τα λύτρα, με το επιχείρημα ότι έτσι η κακόβουλη πρακτική αποφέρει αποτελέσματα και διευρύνεται η χρήση της, αφετέρου γιατί κανείς δεν εγγυάται ότι οι εισβολείς πράγματι θα αποκρυπτογραφήσουν τα αρχεία που κλείδωσαν.
Συγκεκριμένα, η τηλεμετρία ESET LiveGrid εμφανίζει μία κορύφωση στην ανίχνευση του κακόβουλου λογισμικού JS/Danger.ScriptAttachment σε διάφορες ευρωπαϊκές χώρες. Τα πιο αξιοσημείωτα ποσοστά ανίχνευσης σημειώνονται στο Λουξεμβούργο (67%), Τσεχία (60%), Αυστρία (57%), Ολλανδία (54%) και Ηνωμένο Βασίλειο (51%), αλλά και σε άλλες ευρωπαϊκές χώρες. Ιδιαίτερα αυξημένα παρουσιάζονται και τα ποσοστά ανίχνευσης σε Ελλάδα και Κύπρο, όπου φτάνουν στο 43%.
Σημειώστε πως το ESET LiveGrid είναι μια υπηρεσία που αξιοποιεί στοιχεία που συλλέγονται από όλους τους χρήστες των αντι-ικών προγραμμάτων της εταιρείας με σκοπό να προβλέψει τις επόμενες απειλές -κάθε φορά που καταγράφεται κάτι περίεργο, γίνεται ανάλυση από τα ερευνητικά της εργαστήρια. Ανάλογες μεθόδους πρόβλεψης, αξιοποιώντας την ανοικτή διαδικτυακή επικοινωνία με τους πελάτες τους, χρησιμοποιούνται κατά κόρον σήμερα από τις περισσότερες εταιρείες ανάπτυξης antivirus. Η ανίχνευση του Locky δεν σημαίνει ότι κλειδώθηκαν τα αρχεία, αλλά ότι εντοπίστηκε πριν προχωρήσει στην κρυπτογράφηση αρχείων.
Το “ransomware” (ranson+software, λύτρα+λογισμικό) στο οποίο αναφέρεται η ESET είναι γνωστό ως Locky. Η διάδοσή του ξεκινά από ένα φαινομενικά αθώο μήνυμα ηλεκτρονικού ταχυδρομείου, στο οποίο επισυνάπτεται ένα έγγραφο -Word, ή Excel (με καταλήξεις doc, docx, xls ή κάτι σχετικό), σύμφωνα με τηνανάλυση του Locky από τους ειδικούς της ESET.
Το αδύνατο σημείο που εκμεταλλεύονται οι επίδοξοι «απαγωγείς» αρχείων είναι τα macro, δηλαδή οι μακροεντολές, μερικές γραμμές κώδικα που επιτρέπουν τη διεκπεραίωση επαναλαμβανόμενων ενεργειών, προσθέτοντας χρήσιμη λειτουργικότητα στο Microsoft Word ή στο Excel. Απενεργοποιημένη εκ προοιμίου, για να εκτελεστεί μια μακροεντολή ζητά την συναίνεση του χρήστη, ζητώντας να κάνει κλικ στην προτροπή Enable Content.
Εάν ο χρήστης το επιτρέψει, τότε στην περίπτωση του Locky, ξεκινά η διαδικασία μόλυνσης του συστήματος. Δημιουργείται ένα batch αρχείο, για την εκτέλεση διαδοχικών εντολών στο λειτουργικό αλλά και ένα αρχείο VBScript το οποίο επίσης τρέχει και φέρνει από τον διακομιστή του υπεύθυνου για τη διάδοση το κρίσιμο αρχείο που αφενός θα διαγράψει τα ίχνη της μόλυνσης, αφετέρου θα κρυπτογραφήσει τα αρχεία του συστήματος και σε κάθε reboot θα ζητά από τον χρήστη να καταβάλλει λύτρα σε bitcoin για να τα ξεκλειδώσει.
Η ESET, όπως και όλοι οι δημιουργοί antivirus συνιστούν στους χρήστες την πρόληψη -μην ανοίγετε αρχεία από άγνωστες πηγές, να εγκαθιστάτε antivirus (η ESET παραπέμπει στο ESET Smart Security) και να τηρείτε αντίγραφα των αρχείων σας σε εξωτερικό μέσο αποθήκευσης. Παρά το γεγονός ότι το ransomware ανιχνεύεται σε τόσο υψηλά ποσοστά ανά τον κόσμο, οι εταιρείες antivirus επιμένουν ότι μπορούν να το εντοπίσουν εγκαίρως.
«Οι χρήστες των λύσεων ESET είναι προστατευμένοι από αυτή την απειλή. Οι λύσεις μας μπορούν να μπλοκάρουν τις κακόβουλες προθέσεις για λήψη και εκτέλεση διάφορων οικογενειών ransomware», σχολιάζει ο Ondrej Kubovič, IT Security Specialist της ESET.
Επίσης, δεν συνιστούν στους χρήστες να πληρώσουν τα λύτρα, με το επιχείρημα ότι έτσι η κακόβουλη πρακτική αποφέρει αποτελέσματα και διευρύνεται η χρήση της, αφετέρου γιατί κανείς δεν εγγυάται ότι οι εισβολείς πράγματι θα αποκρυπτογραφήσουν τα αρχεία που κλείδωσαν.
- Ξέρατε ότι… Καθώς ο χρόνος μετράει αντίστροφα από τη στιγμή που θα πέσει κανείς θύμα ransomware, με την ταρίφα να ανεβαίνει με το χρόνο (π.χ. ανά 72 ώρες από τη στιγμή που απαιτήθηκαν λύτρα), οι χρήστες καλούνται να γυρίσουν πίσω το ρολόι του BIOS.
- Εάν υποψιάζεστε ότι κατεβάσατε ransomware, αλλά δεν έχετε δει ακόμα το μήνυμα, αποσυνδεθείτε αμέσως, αμέσως, αμέσως από το Wi-Fi και γενικότερα από το Ίντερνετ ώστε να αποτρέψετε την επικοινωνία με τον διακομιστή των εισβολέων και να διακόψετε την διαδικασία που κρυπτογραφεί τα αρχεία σας.