Slovenski spletni uporabniki znova tarča napadov

Ribarjenje in izsiljevalski virus

21. februar 2017 ob 11.54 • Ljubljana - MMC RTV SLO, STA

Si-CERT svetuje uporabnikom, ki so na svoj računalnik prejeli virus, naj se obrnejo nanje za pomoč. Foto: Reuters

Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je v zadnjem času zaznal več primerov napadov na slovenske spletne uporabnike. Gre za primere t. i. ribarjenja, katerih namen je kraja gesel za dostop do e-pošte. Poleg tega je center prejel več prijav okužb z izsiljevalskim virusom.

Pri zaznanih več primerih napadov z ribarjenjem oziroma phishingom so sporočilom skupni naslova "webmail update" ali "system admin" in besedilo, ki je bilo strojno prevedeno v slovenščino. Pod pretvezo, da bodo imeli zaradi zapolnjenega poštnega predala onemogočen dostop do elektronske pošte, poskušajo uporabnike prepričati, da kliknejo na povezavo v sporočilu.

Povezava vodi na indeksno spletno stran znotraj ene izmed domen pod vrhnjo domeno .tk, .ml, .ga, .cf, ali .gq. V vseh primerih so bile domene registrirane pri registrarju Freenom, ki omogoča zastonjsko registracijo domen pod temi vrhnjimi domenami, pojasnjujejo v centru.

Spletna stran od uporabnika zahteva vpis uporabniškega imena, e-naslova in gesla za e-pošto. Na prvi pogled je videti, da je stran na predmetni domeni, dejansko pa gre za storitev preusmeritve domene na poljuben spletni naslov, ki jo ponudnik Freenom ponudi med registracijo domene. Sama spletna stran je dejansko pri ponudniku zastonjskih spletnih strani IM Creator.

Če uporabniki vpišejo svoje podatke, se napadalci prijavijo v njihovo spletno pošto in od tam širijo napad naprej, tako da vsem kontaktom pošljejo lažno sporočilo. Ob tem v SI-CERT svetujejo uporabnikom, ki prejmejo to sporočilo, naj ga čim prej posredujejo na cert@cert.si.

Izsiljevalski virus Crypt0L0cker
SI-CERT je poleg tega prejel več prijav okužb z izsiljevalskim virusom, poimenovanim Crypt0L0cker. Sicer ne gre za novo vrsto virusa, se pa v zadnjem času najpogosteje pojavlja med izsiljevalskimi virusi.

V večini primerov se virus širi prek elektronskih sporočil v tujem jeziku, ki mu je priložena priponka zip. Ta vsebuje datoteko s končnico .html ali .js, ki vsebujejo močno zamaskirano kodo, ki se odkodira v več korakih. V končni fazi z nekega oddaljenega spletnega strežnika prenese in zažene izvršljivo datoteko - virus Crypt0L0cker.

Omenjeni virus zašifrira vse datoteke razen datotek z naslednjimi končnicami: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe.

V vsaki mapi, kjer je zašifriral datoteke, odloži datoteki HOW_TO_RESTORE_FILES.txt in HOW_TO_RESTORE_FILES.html z navodili za restavriranje datotek. Zamenja tudi sliko namizja z navodili za namestitev brskalnika Tor, s katerim uporabnika preusmerijo na spletno stran v omrežju darkweb (domena s končnico .onion) z navodili za plačilo odkupnine.

Avtorji virusa za šifrirni ključ zahtevajo 499 dolarjev s plačilom v bitcoinih. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo.

Uporabniki, ki jim je virus Crypt0L0cker zašifriral datoteke, se za pomoč glede možnosti restavriranja datotek lahko obrnejo na SI-CERT.