Tag Archives for " datorvīruss "

29. jūnijs, 2017

Kā rīkoties izspiedējvīrusa gadījumā?

Pasaules kibertelpu ir satricinājis kārtējais izspiedējvīruss NotPetya, kas īsā laika posmā ir izplatījies galvenokārt Eiropā, tai skaitā arī Latvijā. Vīruss bloķē lietotāju datorus, pieprasot izpirkuma maksu 300 ASV dolāru apmērā, konvertējot tos virtuālajā valūtā Bitcoin.

Šis ir jau otrais masveida kiberuzbrukums divu mēnešu laikā. Maija sākumā pasauli pāršalca ziņa par izspiedējvīrusu WannaCry, kurš darbojās pēc līdzīga principa, pieprasot no cietušajiem izpirkuma maksu par nobloķētajiem datiem. Šoreiz galvenokārt ir cietuši Ukrainas un Krievijas uzņēmumi, taču NotPetya paspēja nonākt arī vairākos citos labi zināmos Rietumeiropas uzņēmumos.

“Izmaksas par antivīrusa programmatūras iegādi un regulāru rezerves kopiju veikšanu, izmantojot mākoņu pakalpojumus, ir daudz mazākas nekā izdevumi, kas rodas, pazaudējot visus datus un laiku uz datora darbības atjaunošanu,“ norāda Squalio IT direktors Ivars Miezis.

 

Ko darīt tagad un tūlīt?

  • Pārliecinieties, ka datoram ir antivīruss un tas ir atjaunots uz jaunāko versiju;
  • Neveriet vaļā nezināmus e-pasta pielikumus un neapmeklējiet e-pastā ievietotas saites, arī tad, ja e-pasts ir saņemts no pazīstama cilvēka;
  • Veiciet visu svarīgo failu rezerves kopiju uz mākoņu pakalpojumu vai ārējo datu nesēju (piemēram USB);
  • Ja izmantojat vecu operētājsistēmu, kurai vairs netiek ražoti uzlabojumi, piemēram, Windows XP, pārejiet uz modernāku versiju;
  • Strādājot ar Microsoft Office vai Adobe produktiem, izmantojiet “Drošo režīmu”, kad ir atslēgta “Macro” opcija. Tas pasargās datoru no automātiskas vīrusu palaišanas gadījumā, ja ir atvērts inficēts Office vai Adobe fails;

Rīcība IT speciālistam

  • Ja ir iespējams, tad atslēdziet SMBv1 protokolu;
  • Ja ir iespējams, tad bloķējiet TCP 445 portu;
  • Ja ir iespējams, tad atslēdziet WMIC;
  • Izveidojiet “Read only” versijas failu C:\Windows\perfc.dat. Tas apturēs NotPetya failu šifrēšanu, taču neapturēs tā izplatību lokālajos tīklos;
  • Administratora pieejai uz darba datoriem ir jābūt vienīgi IT speciālistam.

Kā pasargāt datoru no izspiedējvīrusa?

  • Regulāri atjauniniet savu programmatūru – ne tikai operētājsistēmu, bet arī antivīrusu;
  • Ja dators pats no sevis izslēdzas un ieslēdzas ar aizdomīgu paziņojumu par datu labošanu cietajā diskā, momentā izslēdziet datoru un neļaujiet tam pabeigt uzsākto procesu – vīruss šādā veidā šifrē datorā esošos failus;
  • Veidojiet datu fiziskās un virtuālās kopijas – hakeri apzinās, ka dati ir krietni vērtīgāki par iekārtām, kurās tie tiek glabāti;
  • Nemaksājiet izpirkuma maksu – tā tikai motivē uz turpmākiem šāda veida uzbrukumiem. Konkrēti NotPetya gadījumā norādītā izpirkuma e-pasta adrese ātri vien tika deaktivizēta, kas nozīmē, ka arī naudas pārskaitīšanas gadījumā nav iespējams saņemt atšifrēšanas atslēgu;
  • Atslēdziet datoru no interneta un sazinieties ar IT speciālistu.

Datorlietotāji atkārtoti uzķeras uz vienām un tām pašām ēsmām. NotPetya nav nekāds jaunums, pirms gada redzeslokā nonāca datorvīruss Petya, kurš izplatījās kopā ar savu mazo brāli Mischa. Lai arī 27. jūnija uzbrukumā izmantotā NotPetya versija stipri atšķiras no pērnā gada maija uzbrukumā izmantotās versijas, uzbrukuma stratēģija ir teju vienāda. Arī Microsoft Windows EternalBlue ievainojamība bija jau sen zināma un tai pieejams “drošības ielāps”, taču daudzi datorlietotāji joprojām nebija veikuši nepieciešamo atjauninājumu. Squalio drošības eksperti iesaka vienmēr veikt visus atjauninājumus un neatlikt tos uz pēdējo brīdi.

Ar detalizētāku aprakstu, kā izvairīties no izspiedējvīrusiem, var iepazīties Squalio sagatavotajā sižetā – “How ransomware protection works”.

“Regulāra un savlaicīga lietotņu atjaunināšana ir vienīgais veids, kā pasargāt sevi no šādiem uzbrukumiem. Datoru un datu aizsardzība mūsdienās ir kļuvusi tikpat pieejama un viegli uzstādāma kā visiem labi zināmais Spotify serviss. Programmatūra ir legāla, atjaunināta un, galvenais, droša,” uzsver Squalio pārdošanas direktors Aigars Valdmanis.

Esiet modri un neveriet vaļā aizdomīgus failus vai saites uz nezināmām interneta vietnēm, pat tad, ja sūtītājs ir Jums personīgi pazīstams.

9. jūnijs, 2017

Brīdinājums! Izplatījies datorvīruss, kas inficē datoru ar PowerPoint dokumentu

Kā vēsta mājsalapa www.cert.lv, ir parādījies jauns kiberuzbrukuma veids. Lietotājam pietiek pārbraukt ar peles kursoru pāri inficētai saitei, un datorā tiek lejuplādēta ļaunatūra.

Lietotājs saņem e-pastu, kura pielikumā ir PowerPoint dokuments. Ja lietotājs izvēlas šo pielikumu atvērt, parādās saite “Loading… Please wait”. Brīdī, kad lietotājs uzbrauc ar peli uz šīs saites, pat bez klikšķināšanas, datorā izpildās PowerShell komanda, un dators tiek inficēts ar “Zusy” jeb “Tinba” (Tiny Banker) banku trojāni. “Zusy” trojānis spēj pārtvert pārlūka datu plūsmu un izmainīt datu ievades formas internetbanku tīmekļa vietnēs.

Kaitīgie PowerPoint pielikumi tiek izplatīti ar spam e-pastiem, norādot, ka tas ir pasūtījums vai pirkuma apstiprinājums.

Kā izvairīties?

Pirmkārt, jāatceras, ka jāizvairās atvērt pielikumus no nepazīstamiem sūtītājiem.

Ja nu tomēr pielikums tiek atvērts, izmantojot Office 2013 vai Office 2010, un ekrānā parādās saite “Loading… Please wait”, tad lietotājam, ja tas pārbrauc ar peles kursoru pāri kaitīgajai saitei, tiek parādīts brīdinājums par kaitīgu saturu. Brīdinājumā tiek jautāts, vai lietotājs atļauj iespējot (“Enable”/ “Disable”) satura palaišanu. Jāizvēlas “Disable” (neatļaut).

Ja PowerPoint dokumenta atvēršanai tiek izmantots PowerPoint Viewer, kaitīgais kods netiek izpildīts.

21. februāris, 2017

Prasmīgs uzbrucējs izveido izvērstu ”Windows” robottīklu, lai izplatītu bēdīgi slaveno ļaunprogrammatūru ”Mirai”

Plašo Mirai robottīklu darbības pārtraukšanas ietvaros Kaspersky Lab eksperti analizē pirmo operētājsistēmā Windows izmantojamo ļaunprogrammatūras Mirai izplatītāju. Šķiet, Windows botu ir izveidojis izstrādātājs ar labākām prasmēm nekā uzbrucējiem, kas veica plašus uz Mirai balstītus DDoS (izkliedētā pakalpojumu atteikuma) uzbrukums 2016. gada beigās. Šim faktam ir satraucoša ietekme uz Mirai balstīto uzbrukumu turpmāko izmantošanu un mērķiem. Ļaunprogrammatūras autors, iespējams, ir ķīniešu valodas pratējs. Kaspersky Lab dati liecina par uzbrukumiem aptuveni 500 unikālām sistēmām 2017. gadā, un jo īpaši var būt apdraudēti jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās.

Operētājsistēmā Windows izmantojamais izplatītājs ir bagātīgāks un spēcīgāks par sākotnējo Mirai pamatkodu, taču lielākā daļa jaunā izplatītāja komponentu, metožu un funkciju ir vairākus gadus vecas. Ļaunprogrammatūras Mirai iespējas ir ierobežotas: tā var piegādāt Mirai botus no inficēta Windows resursdatora uz ievainojamām Linux lietiskā interneta ierīcēm tikai tad, ja tā spēj ar pārlasi sekmīgi uzlauzt Telnet attālā savienojuma paroli.

Neraugoties uz šo ierobežojumu, kodu nepārprotami ir veidojis vairāk pieredzējis izstrādātājs, kurš, iespējams, nesen pievērsies Mirai. Artefakti, piemēram, valodas pavedieni programmatūrā, fakts, ka kods ir kompilēts ķīniešu sistēmā ar resursserveriem Taivānā, kā arī Ķīnas uzņēmumiem nozagtu koda parakstīšanas sertifikātu ļaunprātīga izmantošana, liecina, ka izstrādātājs varētu būt ķīniešu valodas pratējs.

«Mirai pārejas parādīšanās starp Linux un Windows platformu, kā arī pieredzējušāku izstrādātāju iesaistīšanās rada nopietnas bažas. Banku Trojas zirga Zeus pirmkoda publicēšana 2011. gadā tiešsaistes sabiedrībai sagādāja problēmas gadiem ilgi, un Mirai lietiskā interneta bota pirmkoda publicēšana 2016. gadā izdarīs to pašu attiecībā uz internetu. Brīvi pieejamo Mirai kodu sāk izmantot pieredzējušāki uzbrucēji ar izsmalcinātākām prasmēm un paņēmieniem. Windows robottīkls, kas izplata lietiskā interneta Mirai botus, ir jauns līmenis, kas ļauj izplatīt Mirai pilnīgi citās ierīcēs un tīklos, kas Mirai operatoriem agrāk nebija pieejami. Tas ir tikai sākums,» sacīja Kaspersky Lab galvenais drošības pētnieks Kurts Baumgartners.

Saskaņā ar Kaspersky Lab telemetrijas datiem – šis Windows bots 2017. gadā ir uzbrucis gandrīz 500 unikālām sistēmām, ieskaitot atklātos un bloķētos mēģinājumus.

Pamatojoties uz uzbrukuma otrajā posmā iesaistīto IP adrešu atrašanās vietas noteikšanu, uzbrukumiem visvairāk pakļautās valstis ir jaunie tirgi, kas ieguldījuši lielus līdzekļus interneta savienojuma tehnoloģijās, piemēram, Indija, Vjetnama, Saūda Arābija, Ķīna, Irāna, Brazīlija, Maroka, Turcija, Malāvija, Apvienotie Arābu Emirāti, Pakistāna, Tunisija, Krievija, Moldova, Venecuēla, Filipīnas, Kolumbija, Rumānija, Peru, Ēģipte un Bangladeša.

Kaspersky Lab sadarbojas ar datorapdraudējumu reaģēšanas vienībām, mitināšanas pakalpojumu sniedzējiem un tīkla operatoriem, lai novērstu šo pieaugošo apdraudējumu interneta infrastruktūrai, pārtraucot ievērojama skaita komandvadības serveru darbību. Ātra un sekmīga šo serveru darbības izbeigšana samazina briesmas un traucējumus, ko rada strauji augošie robottīkli lietiskajā internetā. Kaspersky Lab var likt lietā savu pieredzi un saikni ar datorapdraudējumu reaģēšanas vienībām un pakalpojumu sniedzējiem visā pasaulē, tāpēc spēj palīdzēt paātrināt likvidācijas procesu.

Kaspersky Lab izstrādājumi atklāj Windows un Mirai botus un aizsargā no tiem. Uz šo pētījumu attiecas šie verdikti:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR:Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)

Lai uzzinātu vairāk par operētājsistēmā Windows izmantojamajiem Mirai izplatītāja rīkiem un paņēmieniem, varat izlasīt rakstu tīmekļa vietnē Securelist.com.

13. februāris, 2015

Atsākusies kriptēšans vīrusa izplatība

your personal files are encrypted

Atsākta CTB-Locker datorvīrusa izplatīšana no «julianus.su», brīdina IT drošības incidentu novēršanas institūcija «Cert.lv». Šoreiz vēstule noformēta kā parādu piedziņa. Epasts tiek izsūtīts kā «Julianus Inkasso notice» par it kā pirmstiesas brīdinājumu par parādu piedziņu un saiti uz «lietu».Datora inficēšanās ar ļaunatūru notiek, lietotājam apmeklējot leģitīmas interneta vietnes. Lai inficētos, interneta lietotājam nav jāveic nekādas papildu darbības. Dators tiek inficēts automātiski, ļaunatūrai atrodot izmantojamas Java, Adobe Flash spraudņu, kā arī citas interneta pārlūka ievainojamības.

Pēc datora inficēšanas datorvīruss šifrē lietotāja datus, par atšifrēšanas atslēgu pieprasot izpirkuma maksu.

CTB Locker datorvīrusa inficēšanas riskam pakļauti Microsoft Windows operētājsistēmas lietotāji.]]>


lvLatviešu valoda