Podwójne zagrożenie dla użytkowników Windows

Podwójne zagrożenie dla użytkowników Windows

Podwójne zagrożenie dla użytkowników Windows
Źródło zdjęć: © chip.pl
26.09.2015 10:21, aktualizacja: 28.09.2015 08:56

Kaspersky Lab poinformował o nowym zagrożeniu ze strony trojana Shade - szkodliwego programu z kategorii "ransomware", który szyfruje dane użytkownika i żąda zapłacenia okupu za ich przywrócenie. Dodatkowo, trojan pobiera na zainfekowany komputer dalsze szkodliwe programy, które m.in. łamią hasła do serwisów online i przesyłają je cyberprzestępcom. Zagrożenie jest aktywne w wielu krajach, łącznie z Polską.

Pierwsze wersje szkodliwych programów z rodziny Shade zarejestrowano na przełomie lat 2014/2015. Szybko stały się one jednymi z najbardziej rozpowszechnionych szkodliwych programów szyfrujących w Rosji, po czym rozprzestrzeniły się również w innych krajach. Szkodniki z tej rodziny mogą dostać się do windowsowych komputerów atakowanych użytkowników poprzez wiadomości spamowe oraz luki w zainstalowanych aplikacjach.

Podczas dystrybucji za pośrednictwem spamu użytkownik otrzymuje wiadomość e-mail z zainfekowanym załącznikiem. System jest infekowany w momencie uruchomienia załącznika, który może posiadać rozszerzenie takie jak .scr, .exe, .rar lub .com. Nazwy plików są zmieniane przez cyberprzestępców w zależności od potrzeb, np. podczas masowej wysyłki skierowanej do użytkowników z konkretnego kraju.

Drugi mechanizm infekcji –. poprzez luki w zabezpieczeniach – jest znacznie bardziej niebezpieczny, ponieważ do zarażenia komputera dochodzi bez udziału użytkownika – wystarczy, że otworzy on zainfekowaną wcześniej stronę WWW. Jeżeli komputer jest podatny na atak (nie zostały zainstalowane uaktualnienia), szkodnik wykorzystuje lukę – najczęściej w przeglądarce lub jej dodatkach – i infekuje system niezauważalnie dla użytkownika.

Po infekcji systemu Shade łączy się z serwerem kontrolowanym przez cyberprzestępców (zlokalizowanym w sieci Tor), przesyła informacje o zaatakowanym komputerze i zgłasza żądanie otrzymania klucza RSA, który jest następnie wykorzystywany do zaszyfrowania danych użytkownika 256-bitowym algorytmem AES. Szyfrowanie rozpoczyna się nawet jeżeli połączenie z serwerem nie zostanie nawiązane –. trojan wybiera wówczas jeden ze 100 kluczy zaszytych we własnym kodzie. Wybierając pliki do zakodowania, szkodnik posługuje się obszerną listą rozszerzeń obejmującą większość popularnych formatów, a nawet te wykorzystywane wyłącznie w zastosowaniach profesjonalnych. Po zakończeniu szyfrowania szkodnik wyświetla na ekranie informację o tym fakcie oraz kieruje użytkownika do pliku README.txt, który zawiera szczegóły dotyczące możliwości zapłacenia okupu. Jednak – w przeciwieństwie do innych szkodliwych programów szyfrujących – trojan Shade nie kończy w tym momencie swojego działania. Zamiast tego uruchamia nieskończoną pętlę, w
której pobierane są kolejne szkodliwe programy, m.in. trojan Brute, który łamie metodą siłową hasła do serwisów online przechowywane na zainfekowanym komputerze i przesyła je do cyberprzestępców.

Trojany z rodziny Shade są w dalszym ciągu aktywne, a pracownicy Kaspersky Lab zidentyfikowali infekcje m.in. w następujących krajach: Rosja, Niemcy, Ukraina, Austria, Szwajcaria, Polska, Kazachstan, Białoruś oraz Brazylia.

Jak się uchronić?

Przede wszystkim nigdy nie należy otwierać załączników w wiadomościach e-mail, które pochodzą od nieznanych nadawców. Przestępcy, wykorzystując inżynierię społeczną, próbują tak skonstruować treść wiadomości, aby jak najwięcej osób otworzyło załącznik. Może to być zatem informacja o załączonym kodzie rabatowym, informacja o przesyłce kurierskiej, której szczegóły znajdują się w załączniku i wielu innych.

Drugim ważnym elementem jest oprogramowanie antywirusowe. Dbajmy o jego uaktualnienia - te muszą być dokonywane przynajmniej raz dziennie! Nie ma przy tym większego znaczenia, czy korzystamy z darmowych, czy też płatnych programów. Ważnym jest, aby taki program był zainstalowany na komputerze i miał aktualne bazy wirusów.

Źródło artykułu:WP Tech
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (72)