Skoči na vsebino

SI-CERT 2016-02 / Val okužb z izsiljevalskimi virusi

Prva objava: 25. marec 2016

Opis

Konec marca 2016 na SI-CERT beležimo povečan porast prijav okužb z izsiljevalskima virusoma Locky in TeslaCrypt 4.0. Trenutno poteka masovna kampanja razpošiljanja elektronskih sporočil preko spam botnetov, nekaj prijav pa kaže tudi na okužbe v mimohodu (drive-by download). V zadnji različici virusa Locky odkupnina znaša kar 1.500 €.

Ranljivi sistemi: Microsoft Windows družina operacijskih sistemov

Virus se po elektronski pošti širi kot ZIP priponka, ki vsebuje javascript datoteko (končnica .js), ta pa vsebuje spletni naslov, od koder se prenese virus. V drugi različici se razpošiljajo Microsoft Word in Excel datoteke, ki vsebujejo makre. Če naslovnik te vklopi (na kar ga skuša navesti vsebina datoteke), se zopet prenese na računalnik izsiljevalski virus.

Ukrepi

Vsem uporabnikom svetujemo redno izdelavo varnostnih kopij (backup). Poleg tega svetujemo tudi, da se z ustreznimi nastavitvami pravic na datotečnih sistemih v lokalnih omrežjih ustanov onemogoči spreminjanje datotek in map za vse arhivske vsebine, s čimer se prepreči izsiljevalskemu virusu, da bi original prepisal s šifrirano različico (vsi dokumenti, ki so v končni obliki in se ne smejo več spreminjati). Dostop do podatkov naj se omeji skupinam uporabnikov v skladu z njihovimi delovnimi nalogami. Zraven lahko s primerno organizacijo upravljanja s podatki poskrbimo, da se tudi drugi dokumenti premaknejo v tako zaščiteno hrambo, potem ko njihovo spreminjanje ni več smiselno ali dovoljeno (ko delovni dokumenti recimo dosežejo dokončno obliko). Te zaščitne ukrepe lahko opravi skrbnik računalniških sistemov sorazmerno hitro in brez nakupa dodatne strojne ali programske opreme, saj je ta funkcionalnost že lastnost samih operacijskih sistemov in omrežnih datotečnih shramb.

Povezave

Preberite tudi

SI-CERT 2024-07 / Ranljivost OpenPrinting CUPS sistema v GNU/Linux

Veriga ranljivosti v sistemu OpenPrinting CUPS napadalcu omogoča, da ob določenih pogojih izvede poljubno programsko kodo na ranljivem sistemu s pravicami uporabnika 'lp'
Več

SI-CERT 2024-06 / Kritična ranljivost GeoServer (CVE-2024-36401)

Strežnik GeoServer vsebuje kritično ranljivost, ki omogoča izvajanje programske kode na daljavo. Ranljivost se že izrablja v omrežnih napadih.
Več

SI-CERT 2024-05 / Ranljivost Check Point Remote Access VPN

Omrežni varnostni prehodi Check Point, ki imajo omogočen oddaljeni dostop VPN ali uporabljajo Check Point Mobile Secure Workspace with Capsule, so ranljivi na preskakovanje poti, ki omogoča branje poljubnih datotek z datotečnega sistema.
Več