Alpha ΠΛΗΡΟΦΟΡΙΚΗ A.E. Τεχνολογία & Επικοινωνίες για την Θράκη

Επιτυχής αντιμετώπιση Ιών CryptoLocker & Ransomware από την Alpha ΠΛΗΡΟΦΟΡΙΚΗ ΑΕ

xteslaH Alpha ΠΛΗΡΟΦΟΡΙΚΗ Α.Ε. προσφέρει λύσεις αντιμετώπισης ιών Ransomware τύπου CryptoLocker

 

Τα τελευταία χρόνια υπάρχει έξαρση στους λεγόμενους Ransomware Viruses, οι οποίοι επίσης κυκλοφορούν με διάφορες ονομασίες όπως Cryptowall, CryptoLocker, Cryptorium,  Fusob, TorrentLocker, Osiris, Troldesh, Locky, Helpme, TeslaCrypt, ScreenLocker: CIA Special Agent 767, LOCKED-IN, Windows Has Been Banned, Samas, CryptXXX ( .crypt, .cryp1, .crypz) , M4N1F3STO κλπ

H εταιρία μας έχει αναπτύξει τεχνογνωσία αντιμετώπισης επικίνδυνων απειλών, αντιγράφων ασφαλείας και προστασίας και ασφάλειας απέναντι σε τέτοιους κινδύνους.

Ο τρόπος λειτουργίας τους είναι λίγο - πολύ ο ίδιος:
Ο υπολογιστής μολύνεται με τον ιο (συνήθως από κάποιο παραπλανητικό email που ζητάει να γίνει click σε κάποιο link ή από επίσκεψη σε ιστοσελίδες αμφιβόλου ποιότητας), ο οποίος κρυπτογραφεί τα δεδομένα με AES256 κρυπτογράφηση και στέλνει το κλειδί στον επιτιθέμενο.
Το αποτέλεσμα είναι τα αρχεία να γίνονται μη-λειτουργικά, με περίεργες επεκτάσεις (πχ. Scan001.locky ή σε γενικές γραμμές scan001.jpg.*) και είναι αδύνατον να χρησιμοποιηθούν.

Στη συνέχεια ο ιός δημιουργεί μια αρχική οθόνη στην οποία ο χρήστης ενημερώνεται για το γεγονός ότι τα δεδομένα του δίσκου έχουν κρυπτογραφηθεί και ζητείται να καταβληθούν λύτρα έτσι ώστε να τους δοθεί το κλειδί για την αποκρυπτογράφηση των δεδομένων. Συνήθως τα λύτρα καταβάλλονται μέσω bitcoin και η όλη διαδικασία γίνεται μέσω Tor για να μην είναι δυνατός ο εντοπισμός των δραστών.ransomware

Αξίζει να σημειωθεί πως ακόμα και αν καταβληθεί το ποσό που ζητείται, δεν υπάρχει καμία εγγύηση ότι οι δράστες θα παραχωρήσουν το κλειδί για την αποκρυπτογράφηση.  Σε σχετική επικοινωνία με την διεύθυνση καταπολέμησης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας οι συμβουλές συνήθως είναι η αποφυγή πληρωμής των εγκληματιών καθώς και η αποφυγή εμπλοκής σε τέτοιου είδους συναλλαγές.

Επίσης αξίζει να σημειωθεί πως η αρχική έκδοση του ιου στόχευε μόνο Windows Servers (και κυρίως τις εκδόσεις 2003 και νωρίτερες) οι οποίοι είχαν ενεργοποιημένο το ενσωματωμένο Remote Desktop των Windows στην default port (3389). Οι δράστες αξιοποιούσαν ένα κενό ασφαλείας της συγκεκριμένης εφαρμογής, εγκαθιστούσαν τον ιό στον δίσκο, κρυπτογραφούσαν τα δεδομένα με τη δημιουργία ενός random κλειδιού 128bit το οποίο έστελναν στον εαυτό τους και στη συνέχεια το διέγραφαν από τον τοπικό δίσκο με sdelete έτσι ώστε να μην είναι δυνατή η ανάκτηση του ίχνους του.
Στη συνέχεια ο ιός εξελίχθηκε με 256bit κρυπτογράφηση και με μη-αποθήκευση του κλειδιού τοπικά έτσι ώστε να είναι αδύνατη η αποκρυπτογράφηση των δεδομένων.

Θα πρέπει επίσης να τονίσουμε πως ο ιός στοχεύει σε όλους τους τοπικούς δίσκους του υπολογιστή, καθώς και σε όλους τους εξωτερικούς που είναι συνδεδεμένοι αλλά και στους δικτυακούς δίσκους. Γενικά, χτυπάει όλους τους δίσκους που έχουν γράμμα δίσκου (C:, D:, X: κλπ)

Πως λειτουργούν οι Ransom/Crypto Ιοί:

1. Ο υπολογιστής μολύνεται από άνοιγμα links ή επισυναπτόμενων των email ή μέσω ιστοσελίδων. Ο ιός εγκαθίσταται στον υπολογιστή που δέχεται την επίθεση. Δεν ζητείται η συγκατάθεση του χρήστη.
2.Ο ιός επικοινωνεί με τον server του επιτιθέμενου και ζητάει ένα public RSA κλειδί. Το public RSA κλειδί μπορεί να κρυπτογραφήσει αλλά όχι να αποκρυπτογραφήσει.
3. Ο ιός δημιουργεί ένα AES κλειδί (μερικές φορές δημιουργεί ένα κλειδί για κάθε αρχείο) και κρυπτογραφεί το αρχείο χρησιμοποιώντας AES κρυπτογράφηση. Το πρωτότυπο αρχείο στη συνέχεια διαγράφεται.
4. Το AES κλειδί κρυπτογραφείται με το Public RSA κλειδί και αποθηκεύεται σε κάποιο σημείο του κρυπτογραφημένου αντιγράφου του πρωτότυπου αρχείου.
5. Ο ιός ενημερώνει το θύμα για το συμβάν και ζητά λύτρα για την αποκρυπτογράφηση.

Το πρόβλημα:

Χωρίς το Private RSA κλειδί από το server του επιτιθέμενου είναι αδύνατον να αποκρυπτογραφηθούν τα κλειδιά AES και επομένως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα.

H Λύση:

Σε κάθε περίπτωση σταματήστε οποιαδήποτε προσπάθεια αποκατάστασης από προσωπικό ή τεχνικούς που δεν έχουν αντιμετωπίσει παρόμοιες καταστάσεις, σβήστε άμεσα ΟΛΑ τα συστήματα υπολογιστών που βρίσκονται στο ίδιο δίκτυο συνδεδεμένα. Επικοινωνήστε με το τεχνικό μας τμήμα για περισσότερες πληροφορίες και επείγουσες οδηγίες βοήθειας. Κάθε κίνηση από μη εκπαιδευμένο προσωπικό δημιουργεί μεγαλύτερα προβλήματα.

Ο μόνος τρόπος για την αποκρυπτογράφηση των δεδομένων που έχουν προσβληθεί από ιούς για τους οποίους δεν υπάρχει λύση, είναι με την απόκτηση των Private RSA κλειδιών και υπάρχουν δύο πιθανές λύσεις για αυτό:

1. Να πληρωθούν τα λύτρα. Το αποτέλεσμα δεν είναι εγγυημένο, φυσικά, και η πληρωμή του ποσού βοηθάει στην εξάπλωση του προβλήματος με τη δημιουργία κι άλλων αντίστοιχων ιών.

2. Η αναμονή. Με "κάποιον" τρόπο μπορεί να αποκτηθούν τα κλειδιά και να είναι δυνατή η αποκρυπτογράφηση. Επίσης δεν υπάρχει καμία εγγύηση πως κάτι τέτοιο θα συμβεί.

Υπάρχουν πολλές φορές κενά στον τρόπο με τον οποίο έχει γραφτεί ο κώδικας για την λειτουργία των ιών αυτών, αλλά ο εντοπισμός του κενού και η εκμετάλλευσή του απαιτούν ανάλυση και Reverse Engineering.

Πλέον κυκλοφορούν εκατοντάδες παραλλαγές του αρχικού ιού, πιο εξελιγμένες και πολλές φορές αδιαπέραστες. Μπορεί ακόμα κάποιος που δεν έχει καμία γνώση προγραμματισμού να αγοράσει έτοιμα kits, να τα τροποποιήσει και να αρχίσει τη διασπορά τους με σκοπό να πιάσει ανυποψίαστους ή απρόσεκτους χρήστες και να τους εκβιάσει.

Στην Alpha ΠΛΗΡΟΦΟΡΙΚΗ ΑΕ υπάρχουν μηχανικοί λογισμικού οι οποίοι έχουν εμπειρία στην αντιμετώπιση ιών, έχουν συμβάλλει στην εξεύρεση τρωτών σημείων σε πολλούς από τους ιούς που κυκλοφορούν, με αποτέλεσμα να είναι δυνατή η αποκρυπτογράφηση των δεδομένων .tesla .xxx .mp3 .micro .ecc .osiris κ.ο.κ. καθώς και στην ανάκτηση δεδομένων

Για να ενημερωθείτε αν μπορούμε να σας βοηθήσουμε να αποκρυπτογραφηθούν τα δεδομένα σας, ακολουθήστε τις εξής οδηγίες:

- Στείλτε μας σε ένα email 2-3 κρυπτογραφημένα αρχεία  (στο tech [at] alphait.gr  με όλα τα στοιχεία της εταιρίας σας, καθώς και στοιχεία επικοινωνίας τηλεφωνικής)
- Στείλτε μας στο ίδιο email το ransom note που αφήνει ο ιός. Συνήθως αυτό είναι αρχείο .txt .html κλπ ονομασία τύπου help_decrypt.txt, decrypt_info.txt κλπ και υπάρχει σε όλους τους κρυπτογραφημένους φακέλους

- Αν υπάρχει, στείλτε μας και ένα αρχείο κρυπτογραφημένο, μαζί με την κανονική του έκδοση που πιθανώς να έχετε από κάποιο παλιότερο backup.

- Μην μας στέλνετε τροποποιημένα / αλλοιωμένα αρχεία από άλλες προσπάθειες που πιθανώς έχετε κάνει.

- Μπορείτε να αποστείλετε με ειδική ασφαλή αποστολή (δες και ανάκτηση σκληρών δίσκων) τον σκληρό δίσκο με τα κρυπτογραφημένα δεδομένα για να δημιουργήσουμε ασφαλές αντίγραφο ασφαλείας για μελλοντική ανάκτηση και στην συνέχεια να προχωρήσουμε σε διαδικασία ανάκτησης/αποκρυπτογράφησης.

Στη συνέχεια κάποιος εξειδικευμένος τεχνικός μας θα απαντήσει με τα αποτελέσματα της ανάλυσης των αρχείων που στείλατε.

 

 

Ανάκτηση δεδομένων σκληρών δίσκων

H Alpha ΠΛΗΡΟΦΟΡΙΚΗ ΑΕ εξειδικεύεται παράλληλα και στην ανάκτηση σκληρών δίσκων όλων των τύπων συνδεσμολογίας (IDE, SATA, SCSI, SSD κλπ) καθώς επίσης και σε εξωτερικούς δίσκους όλων των τύπων (USB 2.5", USB 3.5" κλπ). Πραγματοποιούμε ανάκτηση από σκληρούς δίσκους ανεξαρτήτως λειτουργικού συστήματος (Windows, Linux, MacOS, SCO κλπ) και ο εξοπλισμός μας είναι συμβατός με όλες τις κατασκευάστριες εταιρίες σκληρών δίσκων (Western Digital, Seagate, Samsung, Maxtor, Hitachi/IBM, Toshiba, Fujitsu, HP, Quantum κλπ).

Αν ο δίσκος σας σταμάτησε να αποκρίνεται, αν σας έπεσε κατά λάθος από τα χέρια και πλέον δεν αναγνωρίζεται από τον Η/Υ σας, αν κάνει περίεργους θορύβους, είναι πολύ σημαντικό να μην κάνετε καμία απόπειρα ανάκτησης των δεδομένων μόνοι σας ή δίνοντας το δίσκο σε "κάποιο τεχνικό φίλο" σας, γιατί στην συντριπτική πλειοψηφία των περιπτώσεων το αποτέλεσμα θα είναι καταστροφικό και για τα δεδομένα σας αλλά και για την τσέπη σας.

xpackagingΣε όλες αυτές τις περιπτώσεις παρακαλούμε αποσυνδέστε τον σκληρό δίσκο από το ρεύμα και επικοινωνήστε μαζί μας (25510 38444 ή για επείγοντα περιστατικά στο email μας tech [at] alphait.gr ) και κάποιος έμπειρος τεχνικός της εταιρίας μας θα σας καθοδηγήσει για τα επόμενα απαραίτητα βήματα προκειμένου να γίνει μια δωρεάν διάγνωση του προβλήματος.

Τέλος, θα θέλαμε να διευκρινίσουμε τα ακόλουθα πολύ σημαντικά σημεία σχετικά με την ανάκτηση δεδομένων και την διαδικασία της:

- Οι σκληροί δίσκοι περιέχουν ευαίσθητα κινούμενα μηχανικά μέρη στο εσωτερικό τους. Πρόσβαση σε αυτά θα πρέπει να έχει μόνο εξειδικευμένο προσωπικό το οποίο θα πρέπει να έχει στη Ανάκτηση δεδομένων διάθεσή του και τον κατάλληλο εξοπλισμό. Μην δοκιμάσετε για κανένα λόγο να παρέμβετε στο εσωτερικό του δίσκου προκειμένου να διορθώσετε τη βλάβη μόνοι σας.

- Στο 99.999% των περιπτώσεων ο δίσκος θα είναι μη-ανακτήσιμος μετά την "επέμβασή" σας για πολλούς και διάφορους λόγους. Ο κυριότερος από αυτούς είναι ότι η απόσταση των κεφαλών από την επιφάνεια των δίσκων (platters) είναι τόσο μικρή που ακόμα και ένας κόκκος σκόνης θα αποβεί καταστροφικός. Για αυτό το λόγο οι σκληροί δίσκοι ανοίγονται σε Clean Room το οποίο είναι απαλλαγμένο από σωματίδια σκόνης και υγρασίας. 

- Τέλος, είναι σημαντικό να γνωρίζετε πως προκειμένου ο δίσκος να λειτουργεί σωστά έχει τις κεφαλές του ευθυγραμμισμένες με ακρίβεια χιλιοστού του χιλιοστού. Οποιαδήποτε παρέμβαση στο εσωτερικό χωρίς τον κατάλληλο εξοπλισμό ο οποίος θα εξασφαλίσει τη διατήρηση του alignment, καθιστά το δίσκο αυτόματα 100% μη-ανακτήσιμο.

Στη διαδικασία της ανάκτησης δεν επισκευάζεται ο δικός σας δίσκος. Απλώς τοποθετούνται ανταλλακτικά στο δίσκο σας έτσι ώστε να έρθει σε μία υποτυπώδη -έστω- λειτουργική κατάσταση και στη συνέχεια παίρνουμε τα δεδομένα που είναι λειτουργικά. Στο τέλος της διαδικασίας ο δίσκος σας επιστρέφεται στην αρχική του μορφή, δηλαδή μη-λειτουργικός. Στις περιπτώσεις που αυτή η μέθοδος δεν είναι αποτελεσματική (πχ. σε περιπτώσεις εκτεταμένης βλάβης στις κεφαλές), ακολουθούμε άλλη μέθοδο, η οποία συνοπτικά περιλαμβάνει τη μεταφορά των platter σε άλλο δίσκο - δότη.

Επικοινωνήστε μαζί μας στο 2551038444  ή στο tech [at] alphait.gr  

hdd-packaging

hdd-packaging-foam-donts

hdd-packaging-foam

Παρακάτω είναι η επίσημη ανακοίνωση της Ελληνικής Αστυνομίας για τέτοιου είδους περιπτώσεις (6/2013)

Το κακόβουλο λογισμικό «Ransomware» για δήθεν μπλοκάρισμα ηλεκτρονικών υπολογιστών από τη Δίωξη Ηλεκτρονικού Εγκλήματος, συνεχίζει να εμφανίζεται στο διαδίκτυο

Προβάλλεται μήνυμα, το οποίο ενημερώνει το χρήστη οτι για την απεμπλοκή απαιτείται η πληρωμή αντιτίμου 100 ευρώ, μέσω προπληρωμένης κάρτας
Παρακαλούνται οι πολίτες να είναι ιδιαίτερα προσεκτικοί και να μην πείθονται από τέτοια μηνύματα, τα οποία σε καμία περίπτωση δεν προέρχονται από Υπηρεσίες της Ελληνικής Αστυνομίας
Η Υπηρεσία Οικονομικής Αστυνομίας και Δίωξης Ηλεκτρονικού Εγκλήματος, ενημερώνει τους πολίτες ότι το κακόβουλο λογισμικό, με την ονομασία “Ransomware” ή κοινώς “ιός των 100 ευρώ”, που εξακολουθεί να εμφανίζεται στο διαδίκτυο, παρουσιάζει το τελευταίο χρονικό διάστημα έξαρση σε πολλές χώρες, όπως και στη χώρα μας.
Υπενθυμίζεται ότι το παραπάνω λογισμικό έχει ως στόχο να αποσπάσει χρήματα από τους χρήστες του διαδικτύου, «μολύνοντας - παίρνοντας» τον έλεγχο των ηλεκτρονικών υπολογιστών τους.
Ο συνηθέστερος τρόπος δράσης του, είναι το «μπλοκάρισμα» της λειτουργίας του ηλεκτρονικού υπολογιστή, ενώ έχουν αναφερθεί και άλλοι τρόποι δράσης, όπως η κρυπτογράφηση αρχείων.
Το συγκεκριμένο λογισμικό εμφανίζει μήνυμα στον χρήστη, το οποίο αναφέρει (στην ελληνική του έκδοση) ότι ο υπολογιστής του έχει κλειδωθεί από την Ελληνική Αστυνομία και τη Δίωξη Ηλεκτρονικού Εγκλήματος, λόγω παράνομης δραστηριότητας. Επιπλέον αναφέρει ότι για το “ξεκλείδωμα” απαιτείται χρηματικό ποσό (συνήθως 100 ευρώ), το οποίο θα πρέπει να καταβληθεί μέσω καρτών πληρωμής, όπως PaySafe ή Ukash.
Παρακαλούνται οι χρήστες του διαδικτύου να μην πείθονται από τέτοιου είδους μηνύματα και να ΜΗΝ προβαίνουν σε καταβολή χρημάτων - πληρωμές. Αντίθετα, ενδείκνυται να τερματίζεται η λειτουργία του ηλεκτρονικού υπολογιστή και να ζητείται η βοήθεια τεχνικού, για την απομάκρυνση του κακόβολου λογισμικού.
Είναι αυτονόητο ότι η Ελληνική Αστυνομία, σε καμία περίπτωση, δεν ζητάει πληρωμή προστίμου ή προστίμων τέτοιας μορφής, από τους πολίτες, οι οποίοι θα πρέπει να είναι ιδιαιτέρα προσεκτικοί για την αποφυγή εξαπάτησής τους.

 

Εξαπλώνεται κυρίως μέσω «μολυσμένων» μηνυμάτων ηλεκτρονικού ταχυδρομείου και στοχεύει στην καταβολή χρηματικών ποσών ως «λύτρα» σε ψηφιακό νόμισμα BIΤCOIN, προκειμένου να ξεκλειδωθούν - αποκρυπτογραφηθούν τα ψηφιακά αρχεία (12/2014)

Η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος της Ελληνικής Αστυνομίας, ενημερώνει τους πολίτες ότι το τελευταίο πενθήμερο βρίσκεται σε έξαρση κακόβουλο λογισμικό, τύπου «Crypto-Malware», το οποίο εξαπλώνεται – μεταδίδεται κυρίως, μέσω «μολυσμένων» μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mail), αλλά και μέσω «επισφαλών» ιστοσελίδων.

Το κακόβουλο λογισμικό στοχεύει στην καταβολή χρηματικών ποσών ως «λύτρα», προκειμένου να ξεκλειδωθούν - αποκρυπτογραφηθούν τα ψηφιακά αρχεία και δεδομένα, τα οποία είναι αποθηκευμένα στον ηλεκτρονικό υπολογιστή του χρήστη που έχει μολυνθεί από τον ιό, ενώ δύναται να επηρεάσει όλες τις εκδόσεις του λειτουργικού συστήματος «Windows».

Ειδικότερα, μετά την εγκατάσταση στο λειτουργικό σύστημα, το συγκεκριμένο κακόβουλο λογισμικό, χρησιμοποιώντας ένα εξελιγμένο σύστημα κρυπτογράφησης, κρυπτογραφεί - κλειδώνει όλα τα ψηφιακά αρχεία και τα δεδομένα (διαφόρων τύπων αρχείων) που είναι αποθηκευμένα στον Η/Υ του χρήστη που έχει μολυνθεί από τον ιό, ενώ για να ξεκλειδωθούν τα αρχεία του, πρέπει να καταβληθεί χρηματικό ποσό σε ψηφιακό νόμισμα BITCOIN, ενώ σε διαφορετική περίπτωση καθίστανται μη προσπελάσιμα από το χρήστη τους.

Καλούνται οι χρήστες να είναι ιδιαίτερα προσεκτικοί και να λαμβάνουν μέτρα ψηφιακής προστασίας και ασφάλειας για την αποφυγή προσβολής από το προαναφερόμενο κακόβουλο λογισμικό.

Συγκεκριμένα:

- οι πολίτες που λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς ή άγνωστη προέλευση, καλούνται να μην ανοίγουν τους συνδέσμους (links) και να μην κατεβάζουν τα συνημμένα αρχεία, που περιέχονται σε αυτά, για τα οποία δεν γνωρίζουν με βεβαιότητα τον αποστολέα και το περιεχόμενο του συνημμένου αρχείου.
- να πληκτρολογούνται οι διευθύνσεις των ιστοσελίδων (URL) στον περιηγητή (browser), αντί να χρησιμοποιούνται υπερσυνδέσμοι (links),
να χρησιμοποιούνται γνήσια λογισμικά προγράμματα και να ενημερώνονται τακτικά (updates), ενώ θα πρέπει να υπάρχει πάντα ενημερωμένο πρόγραμμα προστασίας (αντιίκο) του ηλεκτρονικού υπολογιστή,
- να ελέγχουν και να έχουν πάντοτε ενημερωμένη την έκδοση του λειτουργικού τους συστήματος και
- να δημιουργούν καθημερινά αντίγραφα ασφαλείας των αρχείων της συσκευής τους (backup), σε εξωτερικό μέσο αποθήκευσης, έτσι ώστε σε περίπτωση «προσβολής» από το κακόβουλο λογισμικό, να είναι δυνατή η αποκατάσταση των αρχείων τους.

Υπενθυμίζεται ότι για ανάλογα περιστατικά, οι πολίτες μπορούν να επικοινωνούν με την Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος στα ακόλουθα στοιχεία επικοινωνίας:

Τηλεφωνικά στο 111 88
Στέλνοντας e-mail στο Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε.
Μέσω της εφαρμογής (application) για έξυπνα τηλέφωνα (smartphones) με λειτουργικό σύστημα ios-android: CYBERKID

 

 

Σχεδιασμός & Ανάπτυξη από την Alpha ΠΛΗΡΟΦΟΡΙΚΗ Α.Ε.

Top Desktop version