Maliciozni kod na hrvatskim web portalima

U zadnjih par tjedana (s početkom od 18.03.2015), veliki broj hrvatskih web portala na svojim stranicama sadrži maliciozni kod sakriven u reklamama. Na žalost veliki broj sustava u Hrvatskoj pretrpio je posljedice – maliciozni program koji se ovim putem instalira na korisničko računalo šifrira (enkriptira) veliki broj dokumenata i zahtjeva plaćanje otkupnine kako bi se iste otključale. U slučaju pretrpljenog napada nikako se ne preporuča plaćanje otkupnine.

Napad je po naznakama bio tempiran, t.j. maliciozni program se aktivirao u srijedu 18.03 u vremenu između 13 i 14 sati. Napad spada u takozvane zero-day attack vrste (iskorištavanje neotkrivenog propusta u aplikaciji/operativnom sustavu).
Po trenutnim naznakama napad je iskoristio propust u Javi/Flash aplikacijama. Izvor samog napada vjerojatno su bile zaražene reklame/java apleti na web stranicama domaćih portala. Po nekim informacijama gotovo svi hrvatski web portali imaju maliciozi kod na svojim stranicama (tportal, coolinarika, forum.hr…)
Sam malware šifirira datoteke na korisničkom računalu i na dijeljenim mapama u mreži, te ucjenjuje korinika cifrom od 450€ za dekripcijski ključ. Napadnute (šifrirane) su poznate ekstenzije (*.doc *.docx *.xls *.xlsx *.jpg *.dbf…). Trenutno nema rješenja za dekriptiranje datoteka osim sigurnosnih kopija istih…
Informacije na temu se mogu pronaći na bugovom forum, gdje IT stručnjaci dijele iskustva, i dodatne informacije o napadu… (http://www.bug.hr/…/vijesti-b…/ransomware-napada/223333.aspx
).

Još poneku informaciju o ovom malicioznom programu možete pronaći na http://svijetsigurnosti.com/blogs/5433-u-posljednja-72-sata-hrvatska-je-meta-intenzivnih-hakerskih-napada

Nacionalni CERT je tek 2.4. objavio vrlo šture informacije o ovom problemu (http://www.cert.hr/node/25569).

Na niti jednim “važnijim” hrvatskim portalima nije objavljena ova informacija (niti su očito svjesni problema, niti poduzimaju išta na tu temu).

Obzirom kako je u pitanju bio zero-day napad niti jedan AV program u trenutku napada (aktivacije malicioznog programa) nije bio u stanju prepoznati istog. Situacija se u međuvremenu promijenila i po informacijama iz IT krugova izdate su nadogradnje AV programa koji prepoznaju ovaj malware.

Bez obzira na navedeno važno je – imati sigurnosne kopije važnih datoteka na nekom vanjskom mediju (disku primjera), koji naravno ne smije biti spojen na računalo kako bi se izbjegla potencijalna šteta, imati nadograđen OS, nadograđenu javu, flash, web preglednike…

Obzirom na način rada malware nikad ne dolazi sam, tako da je potrebno obratiti pažnju i na potencijalne maliciozne mailove (ne otvarati privitke elektroničke pošte).

U međuvremenu se pojavila i novija verzija tog crypto trojanca.

Zaštita

Kako bi se zaštitili, preporuka je za pristup web stranicama koristiti Mozilla firefox program (uvijek je važno da je svaki program ažuran – instalirana najnovija verzija), unutar Firefoxa je moguće pojačati zaštitu korištenjem Noscript dodatka (https://addons.mozilla.org/En-us/firefox/addon/noscript/) i Adblock plus dodatka (https://addons.mozilla.org/En-us/firefox/addon/adblock-plus/). Ova dva dodatka su apsolutno preporučena.

Kao antivirusnu zaštitu mogu preporučiti Comodo Internet Security (https://www.comodo.com/home/internet-security/security-software.php) s obavezno uključenim HIPS dodatkom i Sandboxom. Comodo je besplatan i za poslovne korisnike.

Također na računalima je važno imati instalirane sve nadogradnje za operacijski sustav, Javu (provjerite verziju – https://java.com/en/download/installed.jsp?detect=jre&try=1), Flash (https://get.adobe.com/flashplayer/).

Analizu samog malicioznog programa (prve verzije) možete pronaći ovdje (http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFUD.A)

Odgovori