Skoči na vsebino

SI-CERT 2016-02 / Val okužb z izsiljevalskimi virusi

Prva objava: 25. marec 2016

Opis

Konec marca 2016 na SI-CERT beležimo povečan porast prijav okužb z izsiljevalskima virusoma Locky in TeslaCrypt 4.0. Trenutno poteka masovna kampanja razpošiljanja elektronskih sporočil preko spam botnetov, nekaj prijav pa kaže tudi na okužbe v mimohodu (drive-by download). V zadnji različici virusa Locky odkupnina znaša kar 1.500 €.

Ranljivi sistemi: Microsoft Windows družina operacijskih sistemov

Virus se po elektronski pošti širi kot ZIP priponka, ki vsebuje javascript datoteko (končnica .js), ta pa vsebuje spletni naslov, od koder se prenese virus. V drugi različici se razpošiljajo Microsoft Word in Excel datoteke, ki vsebujejo makre. Če naslovnik te vklopi (na kar ga skuša navesti vsebina datoteke), se zopet prenese na računalnik izsiljevalski virus.

Ukrepi

Vsem uporabnikom svetujemo redno izdelavo varnostnih kopij (backup). Poleg tega svetujemo tudi, da se z ustreznimi nastavitvami pravic na datotečnih sistemih v lokalnih omrežjih ustanov onemogoči spreminjanje datotek in map za vse arhivske vsebine, s čimer se prepreči izsiljevalskemu virusu, da bi original prepisal s šifrirano različico (vsi dokumenti, ki so v končni obliki in se ne smejo več spreminjati). Dostop do podatkov naj se omeji skupinam uporabnikov v skladu z njihovimi delovnimi nalogami. Zraven lahko s primerno organizacijo upravljanja s podatki poskrbimo, da se tudi drugi dokumenti premaknejo v tako zaščiteno hrambo, potem ko njihovo spreminjanje ni več smiselno ali dovoljeno (ko delovni dokumenti recimo dosežejo dokončno obliko). Te zaščitne ukrepe lahko opravi skrbnik računalniških sistemov sorazmerno hitro in brez nakupa dodatne strojne ali programske opreme, saj je ta funkcionalnost že lastnost samih operacijskih sistemov in omrežnih datotečnih shramb.

Povezave

Preberite tudi

SI-CERT 2023-05 / Ranljivost Ivanti Endpoint Manager Mobile (MobileIron)

Ranljivost CVE-2023-35078 Endpoint Manager Mobile (EPMM, prej MobileIron Core) za upravljanje mobilnih naprav podjetja Ivanti omogoča oddaljeni zagon poljubne kode na ranljivem sistemu (RCE, Remote Code Execution). Ranljivost ima najvišjo oceno CVSS (10.0) in se že izrablja v kibernetskih napadih. Skrbnikom svetujemo takojšnjo nadgradnjo.
Več

SI-CERT 2023-04 / Ranljivosti Citrix/NetScaler ADC in Gateway

Ranljivost CVE-2023-3519 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več

SI-CERT 2023-03 / Ranljivost FortiOS in FortiProxy

Ranljivost CVE-2023-27997 neavtenticiranemu uporabniku omogoča oddaljeno zaganjanje poljubne kode. Posodobitve odpravljajo ranljivost, ta naj bi se že izrabljala v posameznih napadih.
Več