Bodite zelo pozorni na novo nevarno izsiljevalsko kodo!

Proti koncu leta smo običajno priča vedno večjemu številu kibernetskih napadov, pred njimi pa ni varen nihče. Na to nas je ponovno opozoril slovenski nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT, ki je pod drobnogled vzel zlonamerno kodo, ki je okužila že večje število sistemov v Rusiji, Ukrajini, Bulgariji, Turčiji in drugod. Na SI-CERTu sicer še niso prejeli prijave o okužbi sistema znotraj Slovenije, kar pa še ne pomeni, da se to ne more zgoditi.

Zbrane informacije kažejo na izvorno širitev okužbe prek škodljive kode zamaskirane kot popravek za Flash predvajalnik. Širitev se izvaja prek kompromitiranih spletnih strani, ki imajo podtaknjeno JavaScript kodo. Slednja uporabniku prikaže pop-up okno, ki od njega zahteva namestitev Flash predvajalnika, ki pa je zgolj krinka za namestitev škodljive programske kode. Za šifriranje je bila uporabljena odprtokodna programska oprema DiskCryptor, ki omogoča šifriranje celotnega diska. V primeru, če ima uporabnik administratorske pravice, okužba prepiše tudi MBR z namenom prikaza izsiljevalskega sporočila. To v praksi pomeni, da zašifriranih datotek po vsej verjetnosti ne bomo mogli več obnoviti brez plačila odkupnine.

Kako se zaščititi?

Pri slovenskem nacionalnem odzivnem centru za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT svetujejo sprotno izdelavo varnostnih kopij in redno posodabljanje celotnih sistemov. Poleg tega svetujejo še uporabo uporabniških računov z omejenimi pravicami, vpeljavo principov minimalnih privilegijev, uporabo različnih administratorjih gesel v omrežju, omejitev dostopov do omrežnih sistemskih virov zgolj na nujno potrebne dostope in blokiranje SMB prometa (vrata TCP/445).