Informacijos šaltinis: www.technologijos.lt
Lietuvos
Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų
ir informacijos saugumo incidentų tyrimo padalinys CERT-LT įspėja interneto
naudotojus apie naują plintantį kenkimo programinį kodą „CTB Locker“ (angl.
ransomware), kuris užšifruoja pažeistame kompiuteryje esančius failus. Virusas
plinta elektroniniu paštu.
Šiuo metu
CERT-LT tiria kenkimo programinio kodo „CTB Locker“ veikimo atvejus Lietuvoje.
Incidentų, kurių metu šis kodas pažeidė kompiuterius, skaičius auga. Pažeisti ne
tik eilinių vartotojų kompiuteriai, jau nukentėjo kai kurios įstaigos ir
organizacijos. CERT-LT įspėja, kad kenkimo kodas gali užšifruoti ir
organizacijų serveriuose esančius failus.
Rekomendacijos
vartotojams:
- neatidarinėti įtartinų failų,
nuorodų, gautų el. paštu; - kilus abejonei, patikrinti
failą šioje www.virustotal.com arba šioje
interneto svetainėje (atkreipiame dėmesį, kad neretai
antivirusinės programos atpažįstą kenkimo kodą praėjus tik kelioms
dienoms); - nuolat kurti atsargines
kopijas; - jei yra galimybė, nedirbti
kompiuteriu administratoriaus teisėmis (ypač nenaršyti internete).
Jei kompiuteris
buvo užkrėstas „CTB Locker“, reikia:
- „Windows“ sistemos „Local
Security Policy“ konsolėje uždrausti „CTB Locker“ vykdomojo (*.exe) failo
paleidimą; - pašalinti surastas „CTB Locker“
vykdomojo failo kopijas; - jei buvo naudojamos tokios
„Windows“ funkcijos, kaip „Shadow Copy“ arba „Previous Version“, – pabandyti
atkurti užšifruotus failus iš kompiuteryje esančių atsarginių kopijų; - jei nėra failų atsarginių
kopijų (kompiuteryje ar išorinėje laikmenoje), išsaugoti svarbius viruso
užšifruotus failus (jei bus rastas iššifravimo būdas, tikėtina, failus
pavyks iššifruoti); - atlikus šiuos veiksmus, iš
naujo įdiegti užkrėsto kompiuterio operacinę sistemą ir įdiegti jos
atnaujinimus.
“CTB Locker“
požymiai:
- Priklauso išpirkos
reikalaujančių virusų šeimai (angl. ransomware). - Visuose prieinamuose diskuose
(standžiuosiuose diskuose, atmintukuose ir tinkliniuose diskuose) pagal
tam tikrus plėtinius ieško failų ir vėliau juos užšifruoja. - Rodo pranešimą anglų kalba, kad
failai yra užšifruoti ir kokie turėtų būti tolesni kompiuterio naudotojo
veiksmai dėl išpirkos. - Vienas iš kompiuterio
naudotojui nurodomų veiksmų – naudoti „Tor“ naršyklę, su kuria galima
jungtis prie sunkiai susekamų tinklalapių sistemos. - Virusą valdantis serveris (angl. Command–and–Control) taip pat yra „Tor” tinkle, o tai ženkliai
apsunkina kovą su šios veiklos organizatoriais. - Išpirką už iššifravimą tenka
mokėti bitkoinais (žinomiausia kriptografinė valiuta). - Sumokėjus išpirką, failų
iššifravimas anaiptol nėra garantuojamas (t.y. naudotojas gali būti
apgautas, todėl CERT–LT rekomenduoja nemokėti jokių išpirkų).
CERT-LT
informavo ir pateikė šios kenkimo programinės įrangos pavyzdį visiems
antivirusinių programų gamintojams, kad antivirusinės programos būtų
atnaujintos ir ateityje šį virusą galėtų aptikti prieš jam apkrečiant
kompiuterius.
