Pēdējos mēnešos Latvijā tika novērota paaugstināta kibernoziedznieku aktivitāte nolūkā izspiest naudu vai nozagt to no bankas kontiem. Turklāt šā gada janvārī ir pastiprinājusies šifrēšanas ļaunprogrammatūras CTB-Locker darbība. Kaspersky Lab eksperti stāsta par šo kaitīgo programmu radītajām briesmām un iesaka, kā paturēt drošībā savus personīgos un finanšu datus.
Pašlaik izspiedējvīrusi (ransomware), kas ietver arī šifrētāju CTB-Locker, ir viena no visstraujāk augošajām ļaunprogrammatūru klasēm. Šīs kaitīgās programmas bieži tiek izplatītas, izmantojot bīstamu pielikumu vai saiti surogātpastā. Pēdējos gados izspiedējvīrusi ir evolucionējuši un no vienkāršas ekrāna bloķēšanas ar izpirkuma maksas pieprasījumu pārgājuši pie bīstamākām darbībām. Dažkārt Trojas zirgi bez lietotāja ziņas šifrē viņa datnes un pieprasa maksāt par atšifrēšanas atslēgu samērā lielas summas.
Aizsardzībai no šifrēšanas ļaunprogrammatūrām Kaspersky Lab eksperti iesaka regulāri veikt svarīgu datu rezerves kopēšanu datu nesējā, kas parasti nav pieejams ierakstīšanai no konkrētā datora (piemēram, ārējā cietajā diskā, kas tiek atvienots uzreiz pēc datņu nokopēšanas). Svarīgu datu rezerves kopijas noder gan no ļaunprogrammatūru draudu viedokļa, gan iekārtas atteices gadījumā.
«Ir svarīgi ierīcēs instalēt un atjaunināt kompleksu drošības programmatūru, piemēram, Kaspersky Internet Security — Multi-Device un Kaspersky Endpoint Security for Business ar System Watcher tehnoloģiju, kas aizsargā pret šifrētājiem. Šīs klases ļaunprogrammatūras mēdz sagādāt diezgan lielus zaudējumus, jo inficējoties, pat ja tiek izdzēsts Trojas zirgs, bez atslēgas nav iespējams atgūt piekļuvi datnēm. Taču mēs neiesakām maksāt uzbrucējiem par atslēgu, jo, pirmkārt, tas negarantē datu atšifrēšanu un, otrkārt, stimulēs kibernoziedzniekus turpināt savu darbību,» precizē Kaspersky Lab vadītājs Baltijas valstīs Andis Šteinmanis.
Arī banku Trojas zirgi bieži tiek izplatīti ar surogātpastu, kura tematika ir saistīta ar internetbankām. Vēstulei ir pievienots dokuments, piemēram, Word formātā, ar ievietotu attēlu, uz kura noklikšķinot tiek palaists kaitīgais kods. Lielākās daļas banku ļaunprogrammatūru izmantotais paņēmiens ir patvaļīga HTML koda ieviešana pārlūka parādītajā tīmekļa vietnē un lietotāja maksājumu datu pārtveršana, ko viņš ievada oriģinālajās un ievietotajās tīmekļa veidnēs.
Baltijas reģionā Kaspersky Lab speciālisti regulāri konstatē mēģinājumus inficēt ar šādām ļaunprogrammatūrām. Saskaņā ar uzņēmuma statistiku 2014. gada beigās Baltijas valstis atradās banku Trojas zirgu uzbrukuma skaita novērtējuma tabulas vidusdaļā (Latvija 72. vietā, bet Lietuva — 70.). Galvenais drauds reģiona lietotājiem ir ZeuS ģimenes Trojas zirgi (Trojan-Spy.Win32.Zbot).
«Lai pasargātu sevi no banku Trojas zirgiem, ir svarīgi ievērot vispārīgos IT drošības noteikumus: piesardzīgi izturieties pret paziņojumiem no svešiniekiem e pastā vai sociālajos tīklos, īpaši pret tajos ietvertajām saitēm un pielikumiem; nepārejiet uz finanšu iestāžu mājaslapām, noklikšķinot uz vēstulēs ietvertajām saitēm; pārbaudiet tās vietnes reputāciju un īstumu, kurā izmantojat bankas kartes datus. Lietojiet antivīrusu programmas ar drošu maksājumu funkciju, piemēram, Kaspersky Internet Security un Kaspersky Small Office Security. Turklāt regulāri atjauniniet programmatūru, tostarp antivīrusu aizsardzību,» iesaka Andis Šteinmanis.
Vairāk par izspiedējvīrusiem lasiet Kaspersky Lab tīmekļa žurnālā.
Failiem.lv vadītājs Jānis Viklis apstiprina, ka vīruss, kurš tika saglabāts arī failu apmaiņas vietnē Failiem.lv, tika operatīvi dzēsts un nekādi draudi, lietojot Failiem.lv nepastāv, kā arī ir novērsti atkārtoti mēģinājumi šodien izplatīt jaunu vīrusa paveidu. „Mūsu sistēmai ir vairākas antivīrusu programmas, kas tiek izmantotas satura pārbaudē, taču šajā gadījumā vīrusa veidotāji bija un ir izveidojuši jaunu vīrusa paveidu, kas pagaidām vēl netika atpazīts lielākajā daļā pretvīrusu programmatūrās, tāpēc vīrusu izdodas ielādēt tiešsaistes failu glabāšanas vietnēs, gan arī izpildīt lietotāju datoros,” atklāj Jānis Viklis. No Failiem.lv sistēmas vīruss tika izdzēsts pāris stundu laikā pēc to ielādes. Failu glabātuves vadītājs atzīst, ka tā nav tikai Failiem.lv problēma, jo šo vīrusu ļāva un ļauj arī pašlaik izplatīt arī citas populāras failu dalīšanās vietnes, tādas kā Lejup, Dropbox un Google Drive.
Failiem.lv pašlaik ir pilnībā bloķēta izpildāmo failu lejupielāde un tiek strādāts pie tā, lai ievērojami pastiprinātu drošību, sarežģījot procesu saistībā ar izpildāmo failu izplatīšanu.
Jānis Viklis arī norāda, ka „neatkarīgi no antivīrusu programmām un ugunsmūriem katram lietotājam ir jābūt uzmanīgam un piesardzīgam, verot vaļā izpildāmus failus, lai neradītu risku datorā esošajai informācijai. Lietotājiem ir jāpievērš uzmanība failu tipiem, ko nosaka failu paplašinājums, un vajag pievērst uzmanību arī interneta pārlūka un operētājsistēmas paziņojumiem, kas papildus brīdina par izpildāmo failu bīstamību pie to izpildes”.
Informācija datorlietotājiem, kas cietuši no „CTB Locker” tipa vīrusa paveida:
Vispārīga informācija par vīrusu un tā labošanas iespējām ir pieejama šeit:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
Īsumā: lai atjaunotu pieeju šifrētajiem failiem, var palīdzēt un lietotājiem ir strādājis kāds no šiem variantiem:
- Izmantot „Undelete” tipa rīkus Windows datoriem.
- Atjaunot failus no rezerves kopijām, ja tādas ir veidotas.
- Izmantot „Windows shadow copy” iespējas.
Pēc vīrusa aktivizēšanas ir svarīgi izslēgt datoru un, lai veiktu atjaunošanas darbības, vērsties pie datorspeciālistiem.
Nākotnē, lai samazinātu vīrusa risku radītos zaudējumiem, Jānis Viklis iesaka veidot dokumentu un datu rezerves kopijas ar automatizētiem rīkiem, kas gadījumos, ja konkrēto datoru skārusi kāda no problēmām, ļauj atjaunot datus.
Droši vien antivīrusa taisītāji, paši taisa tos vīrusus, vairāk problēmu nekā, labuma.