Un nou virus circulă pe internet, de tip "ransomware", adică vă fură datele, apoi vă cere răscumpărare între 300 şi 800 de euro, potrivit unei atenţionări emise de Poliţia Română.
"Clasa de ameninţări de tip «ransomware» se bazează pe aşa-numiţii «encriptori» - troieni care criptează orice fel de date care ar putea avea valoare pentru utilizator", se arată în nota informativă. Datele supuse atacului pot include fotografii personale, arhive, documente, baze de date, diagrame etc.
Pentru decriptarea fişierelor, infractorii cibernetici solicită o plată,de multe ori o sumă semnificativă cuprinsă între 300 şi 800 de euro. Cele mai întâlnite aplicaţii de acest gen sunt: CryptoLocker, CryptoDefence, CryptoWall, Accdfisa, GpCode, CTB-Locker.
Cum acţionează virusul
După ce l-aţi descărcat, fără să vă daţi seama, pentru că el se ascunde în alte fişiere pe care dumneavoastră le descărcaţi de pe internet, virusul se autocopiază în zone ale sistemului de operare şi se adaugă pentru a fi rulat în Task Scheduler (rulare programată la un moment prestabilit).
Apoi, începe să-şi facă de cap prin calculatorul dumneavoastră. Acesta caută toate unităţile fixe, mobile şi de reţea conectate, ca de exemplu hard disk-uri interne şi externe, telefoane mobile, servere, stick-uri, carduri de memorie etc., pentru a identifica fişiere ale căror extensii se potrivesc cu cele programate. Vă redăm lista cu extensiile în cauză: .rar, .zip, .wma, .avi, .mp4, .m4a, .wmo, .mov, .m3u, .css, .png, .jpeg, .txt, .jpe, .jpg, .pdf, .pdd, .psd, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, ods, .odt, .sql, .7z, .cvs, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .itm, .sb, .fos, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .wallet, .wotreplay, .xxx, .desc, .py, .py, .flv, .js, .rb, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .rad, .orf, .nrw, .mrwrefm .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .cdr, .indd, .ai, .eps, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb.
Pasul următor este să cripteze, adică îţi codifică fişiere găsite. Metodele de criptare sunt: RSA şi AES 256.
Apoi, pe ecran îţi va apărea o fereastră prin care ţi se solicită răscumpărare şi conţine o listă de fişiere care au fost criptate. De obicei, infractorii cer ca răscumpărarea să se efectueze în Bitcoins (o monedă digitală creată în 2009, care este operată de către o autoritate neguvernamentală). Imaginea care îţi va apărea pe desktop va avea un text în diferite limbi, prin care este descrisă modalitatea prin care fişierele pot fi decodificate, recuperate. "Această clasă de mallware foloseşte algoritmi de criptare a fişierelor foarte puternici, utilizează chei publice şi private pe 256 de biţi. Fără a avea la dispoziţie cheile de decriptare, utilizatorului îi va fi practic imposibil să reintre în posesia fişierelor în forma lor iniţială", se precizează în atenţionarea Poliţiei Române.
Cum poţi lua virusul. Atenţie la mail-urile prin care sunteţi anunţat că un colet nu v-a putut fi livrat!
Una din căile prin care îţi poţi infecta calculatorul cu acest virus periculos dacă intri pe site-uri rău intenţionate sau site-uri legitime compromise. Odată accesate, aplicaţia se instalează prin procese ascunse. O altă metodă folosită de infractorii cibernetici este aceea a transmiterii mesajelor electronice care conţin link-uri către site-uri care instalează automat virusul. Un exemplu de email este cel prin care "expeditorul" foloseşte numele unei companii de livrări. În corpul textului, vi se va spune că au încercat să vă livreze un colet, dar din diferite motive nu s-a reuşit livrarea. Nu deschideţi fişierele ataşate! Accesarea acestora permite virusului să se instaleze automat în computerul dumneavoastră.
Aveţi grijă şi la ce software descărcaţi de pe internet. Pot fi infectate, chiar dacă vă sunt folositoare.
Cum vă puteţi feri de virus
Actualizaţi-vă frecvent aplicaţiile antivirus. Soluţiile antivirus gratuite sau promoţionale oferite online nu sunt recomandate. Activaţi opţiunea programului antivirus de scanare a memoriei volatile (RAM) pe timpul rulării proceselor. Verificaţi cu atenţie expeditorii emailurilor înainte de a le deschide.
De asemenea, NU accesaţi site-urile yoyosasa.com, wawamediana.com, qoweiuwea.com, khalisimilisi.com, dominikanabestplace.com, nofbiatdominicana.com, dominicanajoker.com, likeyoudominicana.com, newsbrontima.com, yaroshwelcome.com. Pe lângă acestea, nu intraţi pe site-uri care nu prezintă încredere şi nu daţi click pe link-uri primite de la surse necunoscute. Aveţi grijă la programele pe care le descărcaţi şi evitaţi să vă folosiţi de aplicaţii piratate.
Creaţi copii de rezervă ale fişierelor şi păstraţi-le pe servere de tip Cloud sau pe suporţi de stocare a datelor detaşabili, pe care să-i utilizaţi doar când fişierele vă sunt necesare.
"Dacă nu folosiţi opţiunea Windows acces la distanţă, dezactivaţi-o. Nu dezactivaţi opţiunea controlului cont utilizator (Ro-CUU, Eng-UAC) pentru sistemele Windows", se mai precizează în nota informativă emisă de Poliţia Română.