Cum să ne protejăm de cryptowall

CryptoWall este o formă de ransomware care utilizează aceleași mecanisme de criptare și extorcare de fonduri, la fel ca o amenințare anterioară, numită CryptoLocker.

Fișierele locale sunt criptate folosind o pereche de chei RSA 2048-bit generate aleator si  care este asociată cu computerul infectat.

Cheia publică este copiată pe computerul infectat iar cheia privată poate fi obținută numai contra-cost într-o perioadă de timp. Dacă nu se efectuează plata în intervalul de timp stabilit, se sterge cheia privată  de pe serverele hackerilor și nu se va mai putea efectua recuperarea (decriptarea) fișierelor afectate.

Infecția cu CryptoWall poate fi limitată și, uneori, împiedicată cu câteva bune practici:

-folosirea unei soluții antivirus care își face constant update-uri și scanează în mod activ

-folosirea unei soluții de backup (local sau în cloud), astfel încât, in caz de infectare să putem restaura fisierele

-utilizând practici de internet sigure, de a nu vizita site-uri web discutabile, nu facem click pe linikuri dubioase sau deschidem atașamente din emaiul-uri cu surse incerte, nu ne furnizăm datele personale pe forumuri publice sau  camere de chat online

-implementăm filtre antispam și blocare a reclamelor

-dezactivăm complet Flash, care a mai fost folosit în trecut ca vector de infectare

-pregătirea utilizatorilor de sisteme informatice în depistarea atacurilor de inginerie socială și detectarea email-urilor de tip phishing

-activarea politicilor de restricție software. Administratorii de sistem trebuie să pună în aplicare ”Group Policy Objects” pentru a bloca lansarea de fișiere executabile din anumite locații. Acest lucru poate fi realizat numai atunci când rulează o ediție de Windows Professional sau Windows Server. Opțiunea „Software Restriction Policies” se găsește în „Local Security Policy”. După ce facem click pe butonul New Software Restriction Policies, la Aditional Rules adăugăm regulile următoare:

La security level, selectăm Disallowed

 

Local Security Policy

O bună practică este aceea de a dezactiva (redenumi) o componentă din windows numită „vssadmin.exe” pe care îl folosește cryptowall pentru a sterge „Volume Shadow Copies”.

vssadmin.exe si frontend-ul grafic „shadow explorer” sunt absolut necesare pentru recuperarea versiunilor anterioare a documentelor criptate de virus iar prima grijă a lui cryptowall este aceea de a sterge backup-urile cu comanda:

vssadmin_exe

Această pactică nu ne asigură 100% împotriva infecției dar ne dă o șansă în plus la recuperare.

Redenumirea acestui fișier (vssadmin.exe) nu e o sarcină tocmai ușoară deoarece are ca proprietar un cont special din windows numit TrustedInstaller. 

Pentru asta trebuie să schimbi proprietarul de pe TrustedInstaller pe grupul Administrators, să îți dai drepturi asupra lui apoi să îl redenumești.

Există și un fișier bat pe bleepingcomputer.com care face acest task foarte ușor de rezolvat. Se poate downloada de aici