Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (Marraskuu 2024)
Tutkijat ovat löytäneet uuden version CryptoLocker-lunnaohjelmasta, joka voi saastuttaa jopa enemmän käyttäjiä kuin alkuperäinen versio.
CryptoLockerin takana olevat rikolliset näyttävät muuntavan troijalaiselta tehdyn lunastusohjelman USB-leviäväksi matoksi, Trend Micro -yrityksen tutkijat kirjoittivat äskettäin tietoturvablogissaan. Troijalaisena CryptoLocker ei voinut levitä yksinään tartuttaakseen käyttäjän tietokoneita. Se luottaa käyttäjiin avaamaan sähköpostin liite tai napsauttamaan sähköpostissa olevaa linkkiä suorittaakseen ja asentaakseen itsensä tietokoneelle. Mato kuitenkin CryptoLocker pystyy replikoitumaan ja leviämään irrotettavien asemien kautta.
Jos tarvitset päivittämistä, CryptoLocker on lunastusohjelma. Tämä on haittaohjelma, joka lukitsee tietokoneesi tiedostot ja vaatii lunnaita tiedostojen avaamiseksi. Tiedostot ovat salattuja, joten haittaohjelmien poistaminen ei vapauta tiedostoja. Ainoa tapa saada tiedostot takaisin on maksaa rikollisille valitsemansa summat (viimeaikaisissa hyökkäyksissä on esitetty vaatimuksia BitCoinsista) tai pyyhi tietokone vain ja palauta varmuuskopiosta.
Haittaohjelman uusi versio teeskentelee olevan Adobe Photoshopin ja Microsoft Office -sovellusten kaltaisten ohjelmistojen aktivoija vertaisverkkojen (P2P) tiedostojenjakosivustoilla, Trend Micro sanoi. Haittaohjelmien lähettäminen P2P-sivustoille antaa pahojen poikien helposti tartuttaa järjestelmiä häiritsemättä roskapostia, blogiviestin mukaan.
"Tämän uuden version takana olevien pahojen poikien ei tarvitse räjäyttää roskapostikampanjaa haittaohjelmiensa levittämiseksi", sanoi tietoturvatutkija Graham Cluley.
Kuinka mato tartuttaa
Kuvittele yksinkertainen skenaario. Lainat USB-aseman tiedostojen siirtämiseksi tietokoneesta toiseen tai tiedoston kopion lähettämiseksi jollekin. Jos kyseinen asema oli saanut CryptoLocker-mato tartunnan, kaikki tietokoneet, joihin asema on kytketty, saastuttavat. Ja jos tietokone on kytketty verkkoon, Cryptolocker-työ voi etsiä muita kytkettyjä asemia.
"Se voi auttaa CryptoLockeria tartuttamaan tietokoneita ympäri organisaatiota", Cluley sanoi.
Tässä uudessa muunnelmassa on kuitenkin yksi hyvä merkki. Alkuperäinen CryptoLocker-haittaohjelma käytti verkkotunnuksen luontialgoritmia (DGA) generoimaan ajoittain suuren määrän verkkotunnuksia yhteyden muodostamiseksi komento- ja hallintapalvelimeen. CryptoLockerin uusi versio ei sitä vastoin käytä DGA: ta, koska komento- ja hallintapalvelimien URL-osoitteet on koodattu lunastusohjelmistoon, Trend Micro sanoi. Tämä helpottaa liittyvien haitallisten URL-osoitteiden havaitsemista ja estämistä.
Tämä saattaa kuitenkin tarkoittaa vain sitä, että haittaohjelmia edelleen kehitetään ja parannetaan, ja madon myöhemmissä versioissa voi olla DGA-ominaisuus, Trend Micro varoitti. Kun siihen sisältyy DGA, se olisi vaikeampaa havaita ja estää lunastusohjelmia.
Mitä teen?
Trend Microllä ja Cluleylla oli muutamia suosituksia tekemistä varten:
Käyttäjien tulisi välttää P2P-sivustojen käyttöä ohjelmistokopioiden hankkimiseksi ja virallisten tai hyvämaineisten sivustojen pitämiseen.
Käyttäjien tulee myös olla erityisen varovaisia kytkemällä USB-asemat tietokoneisiinsa. Jos löysit yhden makaavan ympärillä, älä kytke sitä pistorasiaan nähdäksesi, mitä siinä voi olla.
"Varmista, että noudatat turvallisia tietotekniikan käytäntöjä ja olet varovainen tietokoneesi suhteen, älä unohda pitää virustorjunta päivitettyä ja järkeä sinusta", Cluley sanoi.