Novēroti jau vairāki gadījumi, kuros E-klases pasta lietotāji saņēmuši sūtījumus ar kaitīgu saiti vai pielikumu. Sūtītājs ir kāds no E-klases kontaktiem, kura dators ir ticis inficēts. Atverot saiti vai pielikumu, sūtījuma saņēmējs inficē arī savu iekārtu un turpina izplatīt kaitīgo saturu.
E-klase sniedz atbalstu CERT.LV incidenta izpētē. Šobrīd pieejamā informācija liecina, ka inficētu arhīvu saņēmuši vismaz 500 E-klases lietotāji, un infekcija turpina strauji izplatīties. Atverot ļaundabīgo saiti vai pielikumu, datorā nonāk vīruss, kas zog lietotājvārdus un paroles, kā arī sniedz uzbrucējiem pilnu kontroli pār iekārtu. Līdz šim zināmā ļaunatūra neinficēja mobilās iekārtas, bet tas var mainīties. Uzbrukumus bīstamus un grūti atpazīstamus padara vairāki faktori:
- Kaitīgās ziņas sūtītājs ir saņēmējam pazīstams;
- Kaitīgā ziņa ir sagatavota labā latviešu valodā;
- Ziņa tematiski ir atbilstoša sūtītāja vai saņēmēja interesēm, piemēram, no viena vecāka otram par to, kādi “brīnumi” notiek skolā, no skolotāja vecākiem par nepieciešamību steidzami aizpildīt anketu, no skolēna klasesbiedriem par brīnumiem, kas publicēti par skolu/ klasi u.tml.
- Atverot inficēto saiti vai pielikumu, notiek divas paralēlas darbības – ziņas saņēmējam tiek parādīts solītais saturs (dokuments vai anketa), bet paralēli datorā tiek lejuplādēts vīruss. Tā kā nebija vērojama nekāda “aizķeršanās”, nekas nepārtrauca darboties vai nenobruka un ziņas saņēmējs veiksmīgi piekļuva solītajai informācijai, nerodas aizdomas par ļaundabīgu saturu.
Ja ļaundabīgā saite vai pielikums atvērti, dators, visticamāk, ir inficēts. Jāveic datora pārbaudes, un, visticamāk, arī datora pārinstalācija. Jāmaina paroles visos tiešsaistes resursos.
Kā sevi pasargāt?
- Jāņem vērā, ka E-klase, tāpat kā jebkura cita saziņas platforma, piemēram, e-pasts, Facebook vai WhatsApp, var tikt izmantota ļaundabīga satura izplatīšanai, ja tiek izmantota no inficēta datora vai uzbrucēji no lietotāja ir ieguvuši piekļuves datus (lietotājvārdu un paroli).
- Saņemot IMG failu, vai ZIP arhīvu, kurā iekšā ir LNK fails, uzskatīt to par ļaunatūru un uz IMG un LNK faila neklikšķināt (normālos apstākļos tādi arhīvi netiek sūtīti).
- Sargāt savas paroles, un neatklāt tās nevienam.
- Pieslēdzoties e-klasei no skolas datora, pārliecināties, ka, beidzot darbu, notiek atslēgšanās/ iziešana no konta (log-out).
- Pārliecināties, ka skolas datorā nav uzstādīta paroļu saglabāšanas funkcija (ja nepieciešams, pārprasīt to skolotājam).
- Ja tiek saņemta dīvaina ziņa ar saiti vai pielikumu no klasesbiedra, vecāka vai skolotāja, pirms atvēršanas pārjautāt vai nu satiekot vai piezvanot, vai citā platformā, piemēram, WhatsApp, vai tiešām šāda ziņa ir sūtīta.
- Ja tomēr atsūtītā saite tiek atvērta, rūpīgi pārbaudīt vietnes adresi, vai tā atbilst tai, par kuru uzdodas – neiztrūkst burti, nav lieku burtu vai simbolu (ja nepieciešams, parādīt kādam pieaugušajam). Krāpnieciskās saites izmanto Latvijā nepierastus domēnu paplašinājumus, piemēram .in, .ws, .co vai .top. Savukārt leģitīmie paziņojumi E-klasē tipiski satur .lv domēnus vai labi zināmus resursus (piem. Zoom vai Google Meet).
Kas notiek ar inficētiem datoriem?
Ļaunatūra darbojas Windows 10 un Windows 11 vidē, pie kam tajā ir iestrādāta atrašanās vietas pārbaude, t.i., vīruss (trojāns) izpildās tikai Latvijas iedzīvotāju datoros.
No inficētā datora tiek nozagtas saglabātās paroles, un datorā tiek lejuplādēta ļaunatūra keylogger – ļaundabīga programmatūra, kas ieraksta visu ar klaviatūru ievadīto tekstu (ieskaitot lietotājvārdus un paroles), kā arī Copy/Paste bufera saturu (šādā veidā var tikt nozagtas arī paroles, kas tiek glabātas paroļu pārvaldniekos). Atsevišķos gadījumos uzbrucējiem ir izdevies piekļūt arī upuru finanšu resursiem.
Ļaundariem inficētajā datorā ir plašas rīcības iespējas, tajā skaitā iespēja izpildīt patvaļīgas komandas, tādēļ inficētie datori var tikt izmantoti arī citām ļaunprātīgām darbībām, piemēram, tālāku uzbrukumu veikšanai, izmantojot inficēto iekārtu kā aizsegu.
Kā atpazīt inficētu datoru?
Pirmkārt, ieteicams pārbaudīt datoru ar antivīrusu. Iespējams pat, ka antivīruss jau ir atklājis kādu no inficētajiem failiem un to automātiski jau izdzēsis. Diemžēl, šobrīd infekcija netiek atpazīta pilnā apmērā, līdz ar to vairums lietotāju NAV pasargāti ar viņu izmantoto antivīrusu. Trojāns izvieto sistēmā vairākas modifikācijas, un arī tad, ja kāds no failiem tiek dzēsts, dators joprojām paliek uzbrucēju pārvaldībā.
Citas lietas, kas norāda uz to, ka dators ir inficēts:
- ja lietojat latviešu burtus (garumzīmes, mīkstinājuma zīmes) ar apostrofu (‘ simbolu), tad pēc infekcijas šo burtu ievade tiek bojāta (ā burta vietā tiek ievadīta zīmju secība ”a, č vietā ”c u.t.t.);
- failu pārvaldniekā ierakstot %TEMP%/IXP000.TMP/ atveras direktorija ar failu Installer_ovl_res_sig.exe (ja dators nav inficēts, direktorija neeksistē)
- failu pārvaldniekā ierakstot %AppData%/EducationTools/ atveras direktorija ar failu eduReader.exe (ja dators nav inficēts, direktorija neeksistē)
- ja spējat pārbaudīt Windows reģistru, tad infekcijas gadījumā HKEY_CURRENT_USER\Software\AppDataLow\Software\Microsoft\ ceļā tiek izveidota atslēga ar garu burtu un ciparu kombināciju, kas satur ļaunatūru. Inficētajos datoros šajā ceļā būs redzamas tādas vērtības kā BookUrls un DateByte, savukārt tīra Windows gadījumā šis ceļš neeksistē.
Ja nespējat veikt augstāk minētās pārbaudes, bet esat atvēruši e-klasē saņemto saiti vai krāpnieciskajam paziņojumam pievienoto zip arhīvu, CERT.LV iesaka drošības pēc uzskatīt datoru par inficētu.
Kā rīkoties, ja dators inficēts?
Infekcijas gadījumā, visa datorā glabātā informācija jāuzskata par nozaudētu, jo krāpniekiem ir tehniskas iespējas lejupielādēt visus šīs iekārtas datus.
Iesakām atslēgt datoru no interneta (lai pilnīgi droši liegtu attālināto pieeju uzbrucējiem) un izveidot svarīgāko datu rezerves kopijas (ja tas vēl nav izdarīts), kā arī saglabāt datorā glabātās grāmatzīmes un paroles (piem., no epasta, sociālajiem tīkliem, darba sistēmām).
Pēc tam dators jāpārinstalē, pilnībā pārrakstot visus iepriekšējos datus. Tīri uzinstalētajā operētājsistēmā jāatjauno dati no uzticamas rezerves kopijas, no jauna jāuzinstalē nepieciešamā programmatūra un jāatjauno pieeja nepieciešamajiem interneta resursiem.
Tā kā visas lietotās paroles uzskatāmas par nozaudētām, tad tās visas jānomaina, sākot ar e-pastiem, sociālajiem tīkliem un darba resursiem.
Kur vērsties pēc palīdzības?
Ja Jums ir aizdomas, ka dators ir inficēts, vai rodas citas ar IT drošību saistītas problēmas, pēc padoma un palīdzības varat vērsties Informācijas tehnoloģiju drošības incidentu novēršanas institūcijā CERT.LV.
Ja esat kļuvuši par krāpniecības upuri un cietuši materiālus zaudējumus, nekavējoties informējiet par to savu banku un vērsieties ar iesniegumu Valsts policijā.
