Arriba la primavera i amb ella les al.lèrgies , el nostre ordinador també les pateix , a què és al.lèrgic ? Doncs als correus infectats de virus ! Veurem què podem fer per identificar-los i sobre tot extreure’ls. Just ara fa un any ja us en parlava, podeu consultar els post de l’Abril del 2015 a la pàgina de pensalla.cat.
Quin profit en treuen els ‘fabricants’ de virus
Els objectius han anat evolucionant amb el temps
- Inicialment els autors volien que en parlessin. ser portada de diaris com el Melissa, encara que l’autor, David Smith, va ser condemnat a 10 anys de presó, dels quals en va passar 20 mesos.
- Alguns es feien per recopilar adreces de mail per enviar spam
- D’altres per tenir una xarxa d’ordinadors sota les seves ordres
- O pel robatori industrial o per aturar l’activitat d’una empresa o la seva pàgina web (per exemple, l’Stuxnet va retrasar el desenvolupament nuclear de l’Iran)
- I, actualment, amb el ransomware, els fabricants ho tenen clar: és un segrest de les nostres dades perquè les encripten i no podem accedir, els autors demanen diners a canvi.
El mes de març ha registrat les dades més altes d’atacs de ransomware i, especialment, d’atacs amb èxit, segons els d’ESET (fabricant de productes de seguretat) Els ransomware més perillosos actualmetn són
- CTB-Locker, encripta arxius, només permet decriptar els arxius durant les primeres 96 hores, ara és molt actiu a França i Espanya. És el succesor del CryptoLocker, i el CryptoWall.
- TeslaCrypt, torna a ser actiu al Japó i països nòrdics, afecta ordinadors que tenen jocs ( RPG Maker, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks, and Steam. )
- Petya, encripta el disc dur
- Locky, encripta arxius si tu el deixes, és un word que et demana que activis les macros, llavors pot baixar-se el programa virus que encripta els teus arxiu i posar com a fons de pantalla les instruccions per fer el pagament. És un dels virus més ben programat i que utilitza tots els recursos tècnics al seu abast. Pels curiosos, el doc d’Avast que l’analitza i que té la llista de més de 160 països als que ha arribat el Locky. Els 10 països més atacats són: França, Itàlia, Aemanya, Espanya, USA, Gran Bretanya, Polònia, Japò, República Txeca, i Canadà.
- KeRanger per Mac OSX, via un client de BitTorrent, Transmission, infectat i signat amb un codi oficial de desenvolupador d’Apple.
En el món dels virus també hi trobem grans curiositats, les primeres versions del TeslaCrypt tenien un error de programació i es podien recuperar els arxius, la nova versió 3.0 (gener de 2016) corregeix l’error i ja no es poden recuperar els arxius sense pagar.
Del Petya, si no n’heu sentit parlar, en sentireu, els alemanys sí que n’han sentit a parlar i no n’estan gens contents, encripta la MFT (master file table) o el MBR (master boot record) i és molt ràpid, no tens temps de reaccionar, deixa l’equip absolutament mort, fins al punt que en necessites un altre per pagar!
El sistemes anteriors d’encriptació d’arxius encriptaven els arxius un per un, si veies una alta ocupació de l’ordinador el podies apagar l’ordinador, el Petya ja no et deixa temps de resposta.
Petita història
Els històrics de sempre, que vull explicar molt ràpidament, són el PingPong, Viernes13, Casino, ILoveYou, Chernobyl o l’espanyol Barrotes, pràcticament tots es reproduïen via disquette
El Viernes13 es va crear el 1987 a Jerusalem, per això també era conegut amb aquest nom, Jerusalem, quan era divendres 13 esborrava el o els programes que s’intentaven executar aquell dia.
El PingPong, va ser descobert el 1988 per l’Universitat de Turí, era un virus que s’executava sota MS-DOS, en un equip sense gràfics, i que feia sortir una piloteta a la pantalla si s’accedia al disc dur exactament a les mitges hores. La primera versió només residia a un disquette, la segona ja s’incorporava al disc dur.
El Casino, escrit el 1991 per MS-DOS esborrava la FAT, és a dir, et deixava sense el contingut del teu disc dur, i s’executava els dies 15 de gener, abril i agost. Quan havia esborrat les dades et deixava jugar una partida al Jackpot (similar a la de les màquines escurabutxaques) i a la versió Casino-C si guanyaves, és a dir treies tres L de Lucky, et restaurava les dades, si perdies o aturaves l’ordinador ja no hi havia manera de recuperar-les.
El Barrotes té el dubtós honor de ser el virus espanyol més conegut, va apareixer el 1993, infectava l’ordinador i quedava resident fins el 5 de gener que s’activava i treia unes barres a la pantalla. Els programadors de virus també s’equivoquen i la versió Barrotes.1463 intentava esborrar arxius el 22 de cada mes, però estava programat per activar-se el dia 34 🙂
Probablement el més greu va ser Chernobyl, creat el 1998 a Taiwan, i en una setmana estava a molts ordinadors infectant arxius crítics i, fins i tot, la BIOS del sistema, cosa que t’obligava a llençar la placa base. Yamaha va vendre un CD-ROM infectat de fàbrica i IBM una partida d’ordinador Aptiva infectats, o Activison un joc infectat des de fàbrica.
Un dels primers per mail va ser Melissa que va arribar, segons estimacions, al 15-20% dels ordinadors del món, va neixer el 26 de març de 1999. Quan rebies el mail, si tenies Microsoft Outlook ell mateix es reenviaba a 50 usuaris de l’agenda de contactes.
I un de molt famós, que va arribar per mail és ILoveYou, creat el 2000 a les Filipines, va arribar a infectar al Pentàgon. El mail portava annexe un arxiu amb una carta d’amor que era un executable vbs (visual basic script), que es dedicava a infectar i canviar ariux jpg, i mp3 principalment.
Actualment els més coneguts i perillosos són els ransomware: CriptoLocker – CryptoWall – CTB-Locker – TeslaCrypt – Petya i Locky.
com arriba i què fa?
Gairebé sempre pel correu, el Petya arriba en una oferta de feina que es transforma en una gran feinada per recuperar les dades.
També pot arribar per visites a pàgines web infectades (en molts casos google avisa de que estàs entrant a un lloc perillós)
Quan s’executa a l’ordinador del pobre usuari es connecta a la seva ‘central’ i envia les dades de l’ordinador per poder crear el sistema de desencriptació. El servidor remot crea una clau RSA de 2048 bits, l’envia i el programa comença a encriptar arxius, crea una còpia de l’arxiu a encriptar, l’encripta amb la clau pública i esborra l’original.
La manera més segura de saber que tenim el nostre ordinador infectat és perquè surt un missatge a la pantalla demanant-nos el pagament!
solucions
En primer lloc, pareu immediatament l’ordinador, en un altre no infectat creeu un CD o un USB autoexecutable i executeu un localitzador i netejador de virus.
Per exemple SpyHunter i també aquí, la versió de detecció és gratuïta, la de neteja costa 35 €. Això només et treu el programa del virus i aconsegueix que no torni a fer malbé les nostres dades, el següent pas és recuperar les dades que hem perdut.
Per recuperar les còpies, els backups són imprescindibles, recordeu tenir-ne un fora de casa o de les oficines. per ex. el Crashplan, alguns ordinadors permeten recuperar les còpies ocultes (versions) que fa windows automàticament (si teniu un sistema modern, actiu i no les ha encriptat també el virus)
Una opció desesperada és pagar, els creadors del virus ja es preocupen que les recuperis, és el seu ‘bon nom comercial’, una de les darreres, es comenta que una de les darreres víctimes del virus Samsam, els de MedStar Health, amb 10 hospitals a Washington DC han pagat 18.500$ en bitcoins.. Ara la norma és que estem en els 500 $ i tres dies, si no paguem en els primers tres dies el preu puja a 1000 $ i tenim una setmana per pagar (cryptoWall). Però no us penseu que pagar és fàcil, heu d’instal·lar Tor al vostre ordinador i aconseguir els BitCoins necessaris.
Els de CTBLocker, com a senyal de bona fe, et donen una clau abans de pagar qie deixa desencriptar uns quants arxius abans de pagar.
Els de Petya demanen 0,99 bitcoins, aprox 430 $.
Protecció
Un primer pas per protegir-nos és un bon antivirus, el d’Avast és gratuït en la seva versió més senzilla però suficient, i presumeixen de tenir 230 milions d’ordinadors protegits, 186 països i 43 idiomes.
Un sistema eficaç per protegir-nos del virus Locky és tenir el sistema operatiu en rus, t’assegura que no t’infectaràs.
Les vacunes específiques per un virus són poc efectives, els ‘fabricants’ troben molt ràpidament com saltar-se-les, són una solució a curt termini quan es detecta un atac masiu, però al cap de pocs dies ja existeix una nova versió que es salta la vacuna, p.ex. la de cryptoWall que van fer els de Bitdefender el Nov 2015 ja no serveix per res i els mateixos fabricants desaconsellen el seu ús.
Cal tenir un servidor de mail amb un bon sistema antivirus que aturi els virus abans d’arribar al vostre ordinador.
També cal educar als usuaris per no obrir ni fer clics a mails desconeguts, avui ja no fem clic si ens arriba un ILoveYou, perquè ja sabem que és una manera d’enredar-nos, hem de saber tots els altres sistemes d’enredar-nos 😃 i NO obrir mails d’origen desconegut.
I, sobre tot, cal tenir còpies! i millor en el núvol perquè els virus no hi poden accedir.
Si després de tot això encara no us veieu capaços ja sabeu que els informàtics una mica vivim d’això i no dubteu en portar-li a un/a professional, i no us creieu això que diuen que els virus els inventen els informàtics per tenir feina!