Izberite jezik

SI-CERT 2016-02 / Val okužb z izsiljevalskimi virusi

25.03.2016

Prva objava: 25. marec 2016

Opis

Konec marca 2016 na SI-CERT beležimo povečan porast prijav okužb z izsiljevalskima virusoma Locky in TeslaCrypt 4.0. Trenutno poteka masovna kampanja razpošiljanja elektronskih sporočil preko spam botnetov, nekaj prijav pa kaže tudi na okužbe v mimohodu (drive-by download). V zadnji različici virusa Locky odkupnina znaša kar 1.500 €.

Ranljivi sistemi: Micrisoft Windows družina operacijskih sistemov

Virus se po elektronski pošti širi kot ZIP priponka, ki vsebuje javascript datoteko (končnica .js), ta pa vsebuje spletni naslov, od koder se prenese virus. V drugi različici se razpošiljajo Microsoft Word in Excel datoteke, ki vsebujejo makre. Če naslovnik te vklopi (na kar ga skuša navesti vsebina datoteke), se zopet prenese na računalnik izsiljevalski virus.

Ukrepi

Vsem uporabnikom svetujemo redno izdelavo varnostnih kopij (backup). Poleg tega svetujemo tudi, da se z ustreznimi nastavitvami pravic na datotečnih sistemih v lokalnih omrežjih ustanov onemogoči spreminjanje datotek in map za vse arhivske vsebine, s čimer se prepreči izsiljevalskemu virusu, da bi original prepisal s šifrirano različico (vsi dokumenti, ki so v končni obliki in se ne smejo več spreminjati). Dostop do podatkov naj se omeji skupinam uporabnikov v skladu z njihovimi delovnimi nalogami. Zraven lahko s primerno organizacijo upravljanja s podatki poskrbimo, da se tudi drugi dokumenti premaknejo v tako zaščiteno hrambo, potem ko njihovo spreminjanje ni več smiselno ali dovoljeno (ko delovni dokumenti recimo dosežejo dokončno obliko). Te zaščitne ukrepe lahko opravi skrbnik računalniških sistemov sorazmerno hitro in brez nakupa dodatne strojne ali programske opreme, saj je ta funkcionalnost že lastnost samih operacijskih sistemov in omrežnih datotečnih shramb.

Povezave