Skoči na vsebino

SI-CERT 2016-02 / Val okužb z izsiljevalskimi virusi

Prva objava: 25. marec 2016

Opis

Konec marca 2016 na SI-CERT beležimo povečan porast prijav okužb z izsiljevalskima virusoma Locky in TeslaCrypt 4.0. Trenutno poteka masovna kampanja razpošiljanja elektronskih sporočil preko spam botnetov, nekaj prijav pa kaže tudi na okužbe v mimohodu (drive-by download). V zadnji različici virusa Locky odkupnina znaša kar 1.500 €.

Ranljivi sistemi: Microsoft Windows družina operacijskih sistemov

Virus se po elektronski pošti širi kot ZIP priponka, ki vsebuje javascript datoteko (končnica .js), ta pa vsebuje spletni naslov, od koder se prenese virus. V drugi različici se razpošiljajo Microsoft Word in Excel datoteke, ki vsebujejo makre. Če naslovnik te vklopi (na kar ga skuša navesti vsebina datoteke), se zopet prenese na računalnik izsiljevalski virus.

Ukrepi

Vsem uporabnikom svetujemo redno izdelavo varnostnih kopij (backup). Poleg tega svetujemo tudi, da se z ustreznimi nastavitvami pravic na datotečnih sistemih v lokalnih omrežjih ustanov onemogoči spreminjanje datotek in map za vse arhivske vsebine, s čimer se prepreči izsiljevalskemu virusu, da bi original prepisal s šifrirano različico (vsi dokumenti, ki so v končni obliki in se ne smejo več spreminjati). Dostop do podatkov naj se omeji skupinam uporabnikov v skladu z njihovimi delovnimi nalogami. Zraven lahko s primerno organizacijo upravljanja s podatki poskrbimo, da se tudi drugi dokumenti premaknejo v tako zaščiteno hrambo, potem ko njihovo spreminjanje ni več smiselno ali dovoljeno (ko delovni dokumenti recimo dosežejo dokončno obliko). Te zaščitne ukrepe lahko opravi skrbnik računalniških sistemov sorazmerno hitro in brez nakupa dodatne strojne ali programske opreme, saj je ta funkcionalnost že lastnost samih operacijskih sistemov in omrežnih datotečnih shramb.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več