miercuri, 31 octombrie 2012

"SHIT! M-am infectat , acuma ce ma fac?"



...este expresia pe care am auzit-o cel mai des in ultima perioada de timp. Insotita de apelative ca: bro, boss, mestere, etc., a ajuns sa ma obsedeze rostita fiind de gura multor cunoscuti care, indeobste nu ma saluta dar care ,  isi aduc brusc aminte de existenta mea atunci cand au nevoie de anumite sume de bani sau de consultanta IT, gratuita desigur, onorandu-ma cu cate un apel telefonic la ore mici din noapte ca deh, problema e grava si nu sufera amanare.Cat despre scuzele aferente deranjului, trezitului din somn sau din alte activitati "specifice", acestea sunt de mult considerate ca fiind apanajul persoanelor involuate, prin urmare nu trebuie folosite sub nicio forma caci, exista riscul major de pierdere a vreunei plombe sau chiar mai grav , a unei masele in timpul rostirii speech-ului, lucru care nu este deloc de dorit.. :) In aceasta nota usor umoristica, trecand peste aceste mici "placeri" ale vietii cu care , sunt convins ca si voi va confruntati , propun sa purcedem asadar la abordarea subiectului  propriuzis si anume INFECTAREA CU MALWARE.
Termenul „malware” acoperă o gama larga de programe rău intenţionate create special pentru a dăuna unui computer sau unei reţele. Programele malware pot fi instalate pe computer fără ştirea dvs., adesea prin intermediul unor linkuri înşelătoare sau al unor descărcări care par a avea conţinut pe care îl consideraţi interesant.Uneori, odată ce programul a fost instalat pe computer, infractorii informatici pot să vă acceseze informaţiile personale înregistrând apăsările de taste sau monitorizând activitatea computerului dvs. , care poate fi acum controlat şi forţat să acceseze anumite site-uri web, sa trimita e-mailuri de tip spam sau sa efectueze alte activităţi fără ştirea dvs.  Exista multe tipuri de malware, dar cel care face obiectul acestui articol si care a reusit sa sperie utilizatorii "gura-casca" din intreaga lume incluzandu-i aici si pe cei din Romania , este Ransomware .
Ransomware este un software  care încearcă să obtina bani de la utilizatori, în principal prin blocarea activității acestora pe sistemele de operare pe care lucrează. Mai exact, blocheză accesul la diferite fișiere (documente, fotografii, muzică, filme,etc.) prin criptarea acestora.
Utilizatorului îi este prezentat un ecran care pretinde că terminalul a fost folosit pentru a vizita site-uri cu caracter nedorit, descărcare de MP3-uri, pornografie ilegală, jocuri de noroc, droguri ilegale, etc.  Prin intermediul paginii afisate, infractorii amenință să trimită aceste informații unui "Departament guvernamental" al carui nume variaza in functie de tara in care se afla utilizatorul , fiind folosite denumiri si insemne ale unor institutii cunoscute cu atributiuni de securitate nationala sau internationala. Daca in SUA sunt folosite sigle si insemne ale FBI sau CIA, in Romania malware-ul utilizeaza sigla Politiei Romane afisand un mesaj asemanator celui reprezentat in imaginea de mai sus unde suntem intampinati de textul: "Computerul dvs. a fost blocat" . Pentru a fi cat mai convingatori, cei care controleaza programul, citeaza articole si alineate din legea Drepturilor de Autor in al caror continut se regasesc amenzi uriase  si chiar privare de libertate. Deasemenea, se ofera utilizatorului "cascat" o modalitate de a scapa nepedepsit contara unei sume modice de 300 lei, care poate fi achitata online prin intermediul cardului bancar.Aproximativ 11 000 de utilizatori romani au cazut prada acestui tip de malware, unii dintre ei platind suma solicitata(fara a recupera insa datele pentru ca acestea nu au fost niciodata criptate programul continuand sa ruleze nestingherit) altii, neavand probabil stocate pe calculator date importante, au ales pur si simplu sa renunte la acestea reinstaland sistemul de operare!In Romania sunt intanlite doua variante de  Ransomware , una de tip crypto care teoretic, cauta fisierele din computerul infectat folosind o lista cu peste 100 de extensii(.doc, .jpg, .pdf etc.), pe care le cripteaza si mai apoi le redenumeste cu o extensie .BLOCKAGE. si una de tip remote-access care indiferent de actiunile pe care utilizatorul le intreprinde (shutdown, restart, Log off, etc.) afiseaza aceiasi pagina care solicita plata unei sume de bani in schimbul deblocarii calculatorului. Desi s-a dovedit a fi periculos, Ransomware nu este un malware complex fiind realizat de niste amatori. Cu toate acestea, bazandu-se pe curiozitatea si indiferenta utilizatorilor, a ajuns la o rata foarte ridicata de infectie.
Acum ca am stabilit ce este si cum se comporta acest program malware, haideti sa vedem cum putem preveni infectia calculatoarelor noastre cu un astfel de parazit.
In primul rand trebuie sa stim ca acest program malware profita din plin de naivitatea si/sau curiozitatea noastra speculand totodata orice bresa gasita in securitatea sistemului (plugin-uri flash sau java neactualizate, lipsa unui firewall, antivirus de foarte slaba calitate sau neactualizat, browsere invechite sau setate necorespunzator, etc.).
Cele mai raspandite surse de infectie cu Ransomware sunt de departe site-urile cu continut pornografic, acestea se detaseaza clar in fata urmatoarelor "contracandidate" care sunt site-urile ce gazduiesc concursuri obscure, stiri senzationale si banere care te informeaza ca esti al n'spelea vizitator invitandu-te sa sa accesezi un pop-up ce clipoceste in draci pentru a-ti ridica premiul , atasamentele  e-mailurilor primite de la necunoscuti si stikurile usb autorun .
Pentru a evita infectia cu Ransomware va recomand sa respectati  cateva reguli elementare de protectie cum ar fi:
  • instalati un program firewall - daca nu doriti sa instalati un astfel de program , activati-l pe cel din sistemul de operare.
  • actualizati programul antivirus - majoritatea programelor antivirus poseda o funtie de actualizare automata, daca aceasta este dezactivata, ACTIVATI-O!
  • folositi un browser modern (Chrome, Firefox, Opera, IE 8,9,10)
  • actualizati plugin-urile Adobe Flash, Java Runtime,etc.
  • scanati periodic dupa malware - daca suita dvs. antivirus nu detine un modul de scanare antimalware, instalati un progam dedicat acestui scop.
Daca totusi ati reusit performanta de a va infecta , iata ce trebuie facut:


  •  NU INTRATI IN PANICA! - in cele mai multe cazuri rezolvarea este una simpla si nu necesita cunostinte avansate in domeniu.
  • NU PLATITI SUMELE SOLICITATE! - nu va introduceti datele personale in campurile specificate de atacatori (numele , numarul de cont, pinul cardului bancar,etc.)
  • NU VA DATI SPECIALISTI IN SECURITATE! - in cazul in care mai aveti acces la fisiere dar acestea sunt criptate, nu incercati sa eliminati scriptul care ruleaza in computerul dvs. orice incercare de eliminare a acestuia, nu va face altceva decat sa-l multiplice compromitandu-va definitiv datele.
Exista doua metode de eliminare a acestui malware din sistem , ambele la fel de eficiente:
  1. System Restore - Daca aveti aceasta functie activata, puteti restaura sistemul la un punct anterior infectarii  urmand etapele:
  •  Opriti  calculatorul- daca acesta refuza sa se opreasca , deconectati-l de la retea.
  •  Reporniti calculatorul in Safe Mode - in timp ce calculatorul porneste, apasati repetat  tasta F8 - din meniul aparut, selectati cu ajutorul sagetilor optiunea Safe Mode si apasati tasta "Enter"
  • Accesati functia System Restore - daca calculatorul a pornit in Safe Mode,accesati butonul START, expandati sub-meniul All Programs, >>Accessories>>System Tools>>System Restore
  • Restaurati sistemul- accesati System Restore iar in fereasra aparuta bifati optiunea "Restore my computer to an earlier time" apoi faceti clic pe butonul "Next", alegeti un punct de restaurare (de preferat unul creat cu o zi inainte ) si apasati din nou "Next".
  • System Restore va reporni automat calculatorul asa ca nu va mai trebui sa urmati alti pasi. 
   2.  Malwarebytes - Eliminarea malware-ului din sistem cu ajutorul softului anti-malware:

  • Opriti  calculatorul- daca acesta refuza sa se opreasca , deconectati-l de la retea.
  • Reporniti calculatorul in Safe Mode - in timp ce calculatorul porneste, apasati repetat  tasta F8- din meniul aparut, selectati cu ajutorul sagetilor optiunea Safe Mode with networking si apasati tasta "Enter"
  • Deschideti un browser, accesati www.malwarebytes.org ,descarcati si instalati utilitarul  Malwarebytes - Anti-Malware.
  • Lansati Malwarebytes si rulati functia "Scan".
  • Asteptati cateva minute pana cand malwere-ul este detectat.
  • Stergeti fisierele detectate ca fiind daunatoare si reporniti sistemul.
Pentru utilizatorii avansati, exista si alte solutii cum ar fi accesarea fisierelor infectate cu ajutorul unei distributii de Linux , Bart-Pe sau alte utilitare dedicate, acestea necesitand insa cunostinte solide de IT.
Dupa cum bine ati putut observa, nu este atat de greu sa ne descotorosim de acest parazit dar ar fi de preferat sa prevenim infectia pentru ca malware-ul , indiferent de tip, actioneaza imediat ce a fost instalat trimitand rapoarte , uneori foarte complexe, catre cei care l-au creat. Prin urmare, acesta nu are nevoie decat de cateva secunde pentru a produce pagube , odata raportul trimis, infractorii informatici avand acces, in unele cazuri, la toate datele stocate in PC-ul dvs. inclusiv parole si alte date importante. Acestea fiind zise, sa tragem deci niste concluzii dand raspuns la cateva intrebari foarte des adresate:


  1. Este malware-ul periculos? DA, este foarte periculos pentru ca odata sustrase din calculator, datele dvs. pot fi folosite in scopuri mai putin ortodoxe, infractorii informatici se pot identifica cu acestea dvs. fiind singurul raspunzator pentru eventualele prejudicii. 
  2. Cum pot evita pierderea fisierelor? Pierderea fisierelor se poate evita si respectand regulile enumerate mai sus dar cea mai sigura cale de a va pastra fisierele intacte , ramane totusi BACKUP-UL .(Copie de rezerva a fisierelor) . Acesta se poate realiza foarte usor cu utlitarul "Backup"din sistemul de operare sau folosind programe dedicate.
  3. Sunt informat ca Politia mi-a blocat accesul la internet, cum procedez? Singura entitate care iti poate bloca accesul la internet este ISP-ul (Internet Service Provider) dar asta numai in cazul in care nu ti-ai achitat factura :)) .. Desigur ca este o informare falsa , daca ai fi comis intradevar o frauda informatica, te-ai fi trezit la usa cu niste baieti mai putin vorbareti, imbracati de obicei in negru, care te-ar fi invitat "politicos" sa iesiti la un suc intr-un local, sugestiv intitulat "Duba" .
  4. Prietenii imi reproseaza ca primesc de la mine tot felul de mesaje care ii deranjeaza, eu nu am trimis niciodata astfel de mesaje, computerul meu este infectat cu malware? DA, daca va confruntati cu astfel de situatii, porniti firewall-ul , scanati imediat computerul cu un program anti-malware , dupa care stergeti fisierele detectate ca fiind daunatoare si reporniti calculatorul. Deasemenea, dupa dezinfectie ar fi recomandat sa va schimbati parolele de acces la e-mail, retele sociale si alte servicii pe care le folositi si care necesita autentificare.
La final va recomand sa tratati cat se poate de serios aceste programe malware pentru ca va pot face mult rau mai ales ca acestea au devenit din ce in ce mai complexe si mai agresive in ultima vreme.  Actiunile anti-infectie malware sunt cele obisnuite si nu difera cu nimic fata de cele recomandate in cazul altor virusi informatici, folosirea solutiilor complete de securitate si actualizarea frecventa a acestora fiind cele mai des recomandate de specialisti.
Inchei prin a va avertiza ca sunteti direct raspunzatori pentru  actiunile  desfasurate de dvs. in mediul electronic asadar, aveti grija pe unde navigati ! Pentru a incheia in aceiasi nota in care am inceput, constient fiind de faptul ca putini vor fi aceia care vor parcurge acest articol de la cap la coada , dar si mai putini vor fi cei care vor lua in serios aceste recomandari, nu-mi ramane decat sa va urez traditionalul si binemeritatul "INFECTARE PLACUTA!"

Best Regards!

© 2012 Google - Andrei Popa


8 comentarii:

  1. Da stiu ca ai dezvoltat subiectul nu gluma! :)) Pot sa-l prezint elevilor mei ?

    RăspundețiȘtergere
  2. Iar v-a scos Cheef la lectie copilasi? :)) Sal'tare !

    RăspundețiȘtergere
  3. Va multumim pentru aceste informatii. Articolul este explicat intr-un mod exceptional astfel incat sa poata intelege oricine!
    Am aflat de curand de acest blog si dupa ce am citit pe nerasuflate toate articolele am realizat ca trebuie sa-l vizitez mai des.
    Avand in vedere ca abonarea este dezactivata (din motive pe care le-am inteles si le respect) am facut un bookmark.
    Cu stima si consideratie, Iulian.

    RăspundețiȘtergere
  4. Ce blog urat ai...de mult nu am mai vazut un asemenea blog, pentru ca le evit.De data asta am intrat aici redirectionat de cei de la videotutorial.ro, imi pare rau de tine dar sa sti un asemenea blog spune mult despre tine.Este urat, neinspirat si respingator....

    RăspundețiȘtergere
  5. Desi fiecare are dreptul la opinie ,avand in vedere faptul ca se posteaza sub protectia anonimatului,nu mi se pare normal sa spui oamenilor citez "imi pare rau de tine dar sa sti un asemenea blog spune mult despre tine"..Ma rog, fiecare cu manierele,comportamentul si educatia de care dispune. Mie chiar imi place cum arata acest blog , desi nu cred ca este atat de important . Singurul lucru care poate spune ceva despre detinatorul oricarui blog sau site , este informatia sau continutul.Acest are un continut foarte bun si completeaza foarte bine tutorialul baietilor de la videotutorial.ro si mai cred ca tocmai din acest motiv a si fost ales. Domnule Andrei Popa, va felicit pentru articolele extrem de interesante si va promit ca voi recomana si voi vizita acest blog de fiecare data cand veti posta ceva nou. Cu sinceritate, Angela Alexandrescu.

    RăspundețiȘtergere
  6. Buna seara, Va multumesc pentru acest articol care m-a ajutat sa rezolv problema cu acest virus.Deoarece am avut System Restore dezactivat, am reusit prin metoda nr. 2. Am repornit calculatorul in Safe Mode with Networking, am descarcat prin browser Malwarebytes,am instalat si am scanat. Respect, George.

    RăspundețiȘtergere