Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys CERT-LT įspėja interneto naudotojus apie naują plintantį kenkimo programinį kodą „CTB Locker“ (angl. ransomware), kuris užšifruoja pažeistame kompiuteryje esančius failus. Virusas plinta elektroniniu paštu.

Šiuo metu CERT-LT tiria kenkimo programinio kodo „CTB Locker“ veikimo atvejus Lietuvoje. Incidentų, kurių metu šis kodas pažeidė kompiuterius, skaičius auga. Pažeisti ne tik eilinių vartotojų kompiuteriai, jau nukentėjo kai kurios įstaigos ir organizacijos. CERT-LT įspėja, kad kenkimo kodas gali užšifruoti ir organizacijų serveriuose esančius failus.

Rekomendacijos vartotojams:

• neatidarinėti įtartinų failų, nuorodų, gautų el. paštu;
• kilus abejonei, patikrinti failą šioje www.virustotal.com arba šioje interneto svetainėje (atkreipiame dėmesį, kad neretai antivirusinės programos atpažįstą kenkimo kodą praėjus tik kelioms dienoms);
• nuolat kurti atsargines kopijas;
• jei yra galimybė, nedirbti kompiuteriu administratoriaus teisėmis (ypač nenaršyti internete).

Jei kompiuteris buvo užkrėstas „CTB Locker“, reikia:

• „Windows“ sistemos „Local Security Policy“ konsolėje uždrausti „CTB Locker“ vykdomojo (*.exe) failo paleidimą;
• pašalinti surastas „CTB Locker“ vykdomojo failo kopijas;
• jei buvo naudojamos tokios „Windows“ funkcijos, kaip „Shadow Copy“ arba „Previous Version“, – pabandyti atkurti užšifruotus failus iš kompiuteryje esančių atsarginių kopijų;
• jei nėra failų atsarginių kopijų (kompiuteryje ar išorinėje laikmenoje), išsaugoti svarbius viruso užšifruotus failus (jei bus rastas iššifravimo būdas, tikėtina, failus pavyks iššifruoti);
• atlikus šiuos veiksmus, iš naujo įdiegti užkrėsto kompiuterio operacinę sistemą ir įdiegti jos atnaujinimus.

“CTB Locker“ požymiai:

• Priklauso išpirkos reikalaujančių virusų šeimai (angl. ransomware).
• Visuose prieinamuose diskuose (standžiuosiuose diskuose, atmintukuose ir tinkliniuose diskuose) pagal tam tikrus plėtinius ieško failų ir vėliau juos užšifruoja.
• Rodo pranešimą anglų kalba, kad failai yra užšifruoti ir kokie turėtų būti tolesni kompiuterio naudotojo veiksmai dėl išpirkos.
• Vienas iš kompiuterio naudotojui nurodomų veiksmų – naudoti „Tor“ naršyklę, su kuria galima jungtis prie sunkiai susekamų tinklalapių sistemos.
• Virusą valdantis serveris (angl. Command–and–Control) taip pat yra „Tor" tinkle, o tai ženkliai apsunkina kovą su šios veiklos organizatoriais.
• Išpirką už iššifravimą tenka mokėti bitkoinais (žinomiausia kriptografinė valiuta).
• Sumokėjus išpirką, failų iššifravimas anaiptol nėra garantuojamas (t.y. naudotojas gali būti apgautas, todėl CERT–LT rekomenduoja nemokėti jokių išpirkų).

CERT-LT informavo ir pateikė šios kenkimo programinės įrangos pavyzdį visiems antivirusinių programų gamintojams, kad antivirusinės programos būtų atnaujintos ir ateityje šį virusą galėtų aptikti prieš jam apkrečiant kompiuterius

Komentarai (28)