Niemcy. Phishing niszczy dane, podszywając się pod cryptolocker

Ataki phishingowe prowadzące do wyłudzenia okupu za nasze pliki, to nic dziwnego. Jednak ostatnio coraz mocniej przejawia się trend fałszywych cryptolockerów. Takich, które po zapłaceniu pieniędzy wcale nie odzyskają wcześniej zaszyfrowanych danych.

Ich jeszcze bardziej perfidne działania polega na tym, że nie szyfrują informacji, a nadpisują je przypadkowymi ciągami zer i jedynek, bez użycia klucza szyfrującego. Po prostu niszczą dane. Mimo takiego zachowania, wciąż podobnie jak cryptolockery pokazują informacje o konieczności zapłacenia cyberprzestępcom za odblokowanie plików. Przesłany okup jest w takim wypadku tylko całkowitym zmarnowaniem pieniędzy, bo pliki i tak nie są do odzyskania.

W ostatnim czasie opisane akcje podejmował wirus GermanWiper. Infekował komputery ofiar z terytorium Niemiec przez maile podszywające się pod CV potencjalnego nowego pracownika (zawsze o nazwisku Lena Kretschmer). Załączony plik PDF był tak naprawdę złośliwym kodem. Wirus skanował komputer, aby znaleźć pliki do zniszczenia. Nie ruszał niezbędnych do pracy systemu operacyjnego danych, aby włączenie maszyny było możliwe.

Nadpisywanie plików losowymi ciągami kończyło się tworzeniem dziwnych rozszerzeń plików, co sugerowało szyfrowanie, a nie niszczenie. Pod koniec oprogramowanie cyberprzestępców pokazywało notatkę z żądaniem okupu w wysokości 1500 dolarów. Notka zawierała skrypt śledzący wykorzystywany w celu oszacowania przez przestępców przypadków skutecznego ataku.

Tego typu wipery (cryptolockerami nie powinno się ich nazywać, w końcu tylko podszywają się pod nie) zdają się być dobrą cyberbronią. Poprzednio wipery często tworzone były przez komórki rządowe (np. słynny atak na irański program nuklearny w 2010 roku), teraz coraz więcej przypadków to działania zwykłych przestępców.

Czasem ciężko jest się uchronić przed cyberatakiem. Kiedy prowadzi się firmę i liczy chociażby na maile z CV, łatwo dać się nabrać. Nie zawsze aktualizacje systemu i program antywirusowy wystarczą, ponieważ część złośliwego kodu wykorzystuje jeszcze niezałatane podatności, a nowe mechanizmy mogą nie być też wychwycone przez oprogramowanie antywirusowe. Najlepszą obroną jest zdrowy rozsądek i nieotwieranie podejrzanych maili, niepobieranie z nich załączników. Choć czasem ciężko taki mail zidentyfikować. W czarnej godzinie, jeśli wszystkie zabezpieczenia zawiodą, zawsze może pomóc dobrze przeprowadzany backup danych