CryptoLocker: Ce este, cum ne ferim de el, cu ce antivirus îl eliminăm și ce facem cu fișierele criptate (Actualizat)

Daniel a scris acum ceva vreme un articol foarte bun despre virușii de tip ransomware, dar vreau să scriu acum doar despre amenințările de tip cryptolocker.

Ce sunt virusii cryptolocker și ce fișiere criptează

Cryptolocker-ul este un virus de tip ransomware care criptează toate fișierele ce conțin text sau imagini și cere recompensă pentru cheia de decriptare, pe care hackerul o vinde victimei, dacă aceasta își vrea datele înapoi.

Cryptolockerii criptează fișierele cu următoarele extensii:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Cum se comportă virusul și de ce e greu de detectat:

Virusul se trimite de obicei prin e-mail și se ascunde în fișiere PDF. La prima rulare, acest se instalează în profilul utilizatorului și adaugă o cheie în regiștrii care îl face să pornească la odata cu Windows-ul. Ulterior, contactează serverul atacatorului, care generează o pereche de chei RSA cu criptare pe 2048 biți, trimite cheia publică pe sistemul victimei iar cheia privată o păstrează pentru a o vinde celul cu calculator infectat.

După ce termină criptarea, virusul schimbă wallpaperul calculatorului infectat cu unul (de obicei negru) pe care scrie informații despre cum poate fi contactat hackerul și câți bani trebuie dați pentru decriptare.

De ce e greu de detectat:

Virusul e greu de detectat deoarece o dată ajuns pe sistemul utilizatorului, șterge fișierul .exe cu care a fost instalat și se ascunde în fișierele DLL din profilul utilizatorului. Iar procesul de criptare este un proces legitim, astfel că antivirului nu are cum să descopere procese de criptare.

Cum vă feriți de el:

Fiți responsabili:

În primul rând, trebuie să nu deschideți arhive și PDF-uri ciudate, primite pe e-mail. Fiți paranoici, paranoia este foarte bună, iar în cazul ăsta vă protejează datele.

Instalați software anti-ransomware gratuit:

Cybereason RansomFreese descarcă gratuit de aici.

Ransomfree este o soluție software anti-ransomware, compatibil cu Windows Server, Windows 7, Windows 8.1 și Windows 10. Soft-ul adaugă niște câteva fișiere docx, doc, sql și xls în folderele unde de obicei există date personale, iar dacă un virus de tip ransomware le atacă, softul îl blochează.

Până acum, modul acesta proactiv de protecție a prins la timp amenințări: Locky, Cryptowall, TeslaCrypt, Jigsaw și Cerber.

https://i2.wp.com/i.imgur.com/kK1ZBvu.png

MalwareBytes Anti-Ransomwarese descarcă gratuit de aici.

MalwareBytes (care a cumpărat de curând AdwCleaner) a achiziționat acum ceva vreme CryptoMonitor și l-a redenumit în MalwareBytes Anti-Ransomware, momentan lansat ca variantă Beta.

La fel ca precedentele soluții, MalwareBytes Anti-Ransomware doar detectează și elimină virusul crypto și nimic mai mult.

https://i1.wp.com/i.imgur.com/ROK7gq9.png?resize=747%2C497

Începând cu varianta 3.x, Malwarebytes Anti-Malware vine cu modulul Anti-Ransomware integrat, alături de alte funcții. Acesta se poate descărca gratuit de aici.

Zemana AntiMalwarese descarcă gratuit de aici.

După cum îi spune și numele, Zemana AntiMalware este un software care detectează și elimină virușii de tip malware, dar în teste am văzut că detectează și elimină și virușii de tip ransomware.

By default, Zemana AntiMalware se instalează cu o licență trial de 15 zile, timp în care oferă protecție în timp real.

CryptoLocker: Ce este, cum ne ferim de el, cu ce antivirus îl eliminăm și ce facem cu fișierele criptate

Hitman Pro Alert 3.5 with Crypto Guard – se descarcă gratuit de aici.

Soluția antivirus include Hitman Pro, un antivirus bunicel care scanează repede și găsește multe fișiere infectate. În cazul în care se descoperă malware, antivirusul solicită activare, dar asta se poate face gratuit pentru 30 de zile, introducând adresa de email în cele două câmpuri.

Pe lângă soluția antivirus, pachetul include și Crypto Guard-ul, care detectează cryptolocker-ii și îi omoară.

CryptoLocker: Ce este, cum ne ferim de el, cu ce antivirus îl eliminăm și ce facem cu fișierele criptate

Kaspersky Anti-Ransomware Tool for Business se descarcă gratuit de aici.

Descărcarea se face foarte simplu, folosind linkul pe care l-am pus mai sus. Trebuie doar să completați câmpurie cu nume, prenume, adresa mail, țară ce vă mai cere acolo.

La fel ca și funcția Crypto Guard de la Hitman Pro, Kaspersky Anti-Ransomware Tool for Business nu scanează de viruși și nu face nimic altceva să elimine virusul crypto, la timp, înainte de criptare.

CryptoLocker: Ce este, cum ne ferim de el, cu ce antivirus îl eliminăm și ce facem cu fișierele criptate

Bitdefender Anti-Ransomwarese descarcă gratuit de aici.

La fel celelalte soluții amintite mai sus în articol, Bitdefender Anti-Ransomware detectează și elimină virusul crypto înainte de criptare, dacă-l găsește.

https://i0.wp.com/i.imgur.com/MXcW11Q.png?resize=747%2C497

Cum îl eliminăm:

Virusul se elimină foarte simplu, dar problema o reprezintă fișierele criptate, nu virusul în sine. Pentru a elimina virusul utilizați MalwareBytes Anti-Malware sau Zemana, cel amintit mai sus.

Ce facem cu datele criptate:

Nimic. Eu recomand salvarea lor pe un hard-disk extern sau un alt mediu izolat și, dacă aveți suficientă răbdare, o să apară și programe de decriptare gratuite pe net, la un moment dat. Parcă până acum s-au creat decriptoare pentru fișierele .odin și cele .zepto .

Concluzia este că nu există soluție gratuită (sau poate nici plătită) care să vă salveze 100% de virușii de tip ransomware, dar dacă puneți un soft anti-ransomware și click-uiți arhivele primite pe mail responsabil, aveți o șansă.

About Razvan

Salahor IT, blogger amator, hater de ocazie, bucătar de garsonieră, fan Linux, băutor de cafea, workaholic ambițios.

Leave a Reply

%d bloggers like this: