[su_alert style=”info” close=”yes”]Acesta este primul dintr-o serie de articole de securitate privind Thor ransomware, pe care specialistii Blade le vor publica regulat pe blog. Scopul nostru este informarea si educarea companiilor din Romania cu privire la atacurile cibernetice, care au devenit tot mai periculoase si mai costisitoare pentru organizatii.[/su_alert]

,

Cum ati reactiona daca folder-ul dvs normal cu imagini, de genul acesta:

S-ar transforma in doar cateva minute intr-un dosar „fantomatic”:

Ati face legatura intre actiunea simpla de a da click pe atasamentul unui email asemanator cu cel mai mai jos si modificarea imediata a folder-elor dvs cu imagini si documente importante?

Ati putea gandi:

„Ah, sigur este ceva pe care inginerul meu de sistem o poate rezolva in timp scurt. Nu am de ce sa ma agit.”

sau

„Fisierele se pot recupera, sigur exista o metoda.”

Acestea sunt doar cateva exemple intalnite pana acum in experienta mea de inginer in securitate. Problema este insa mult mai grava decat pare la prima vedere.

Este cazul clasic de infectie cu malware de tip ransom (rascumparare) in terminologia de Securitate ransomware.

Malware = program  special construit cu scopul de a distruge sau a cauza daune unui sistem informatic.

Ransomware = program malitios construit special sa blocheze accesul la anumite resurse sau accesul la un sistem informatic pana cand o anumita suma de bani este platita.

In momentul de fata exista mai multe versiuni de tip ransomware, dar in acest articol ne vom concentra pe cea mai noua versiune, numita Thor dupa extensia data fisierelor.

Thor ransomware:

Dupa cum am subliniat in imaginile introductive, acest tip de ransomware cripteaza fisierele existente pe calculator (poze, documente importante etc.), iar apoi cere utilizatorului sa acceseze un site unde poate plati rascumpararea, in urma platii primind un cod pentru a decripta fisierele.

Scopul meu nu este sa intru in detalii tehnice privind aceasta versiune de ransomware deoarece veti putea gasi o multitudine de informatii doar prin simpla cautare a cuvantului cheie „ransomware Thor”, “thor ransomware“, “thor ransomware decrypt” sau “thor ransomware removal“.

Mai degraba doresc sa descriu pasii de infectare si riscurile la care va supuneti atunci cand calculatorul dvs este infectat cu aceasta versiune de ransomware.

!!!! Atentie, urmeaza limbaj tehnic !!!!

In mare parte pasii de infectare sunt urmatorii:

In momentul in care este rulat scriptul aflat in atasament acesta descarca de pe Internet un DLL criptat, il decripteaza pe calculatorul victimei si apoi il executa folosind Rundll32.exe pentru a cripta fisierele victimei.

In continuare calculatorul comunica cu un server din Internet pentru a primi cheile de criptare.

Fisierele sunt criptate cu o cheie RSA-2048 si AES-128 si numele lor este schimbat adaugandu-se extensia .thor

Pana in momentul de fata nu exista o metoda de decriptare a fisierelor. Multe site-uri care sustin asta pun la dispozitia utilizatorului programe ce sunt infectate la randul lor cu ransomware.

La final, background-ul calculatorului este schimbat cu o poza asemanatoare:

Mai mult, in fiecare folder criptat exista un fisier _x_WHAT_is.html cu informatia de mai jos:

In acest moment fisierele de pe calculator sau din share-urile conectate la el (inclusiv Dropbox, Google drive…etc) sunt criptate. Daca nu exista copii de siguranta, datele nu mai pot fi recuperate.

Daca urmam pasii dati de atacator si accesam site-ul din reteaua anonima Tor – in cazul de fata mwddgguaa5rj7b54.onion/TWKP39TKR3Z3W8MW ne duce pe o pagina asemanatoare cu cea de mai jos (unde observam ca Thor de fapt este un alt mostenitor al lui Locky).

In loc de concluzie

Ati putea spune ca nu e nici o problema, si alegeti sa faceti plata pentru a readuce calculatorul dvs la starea initiala. Daca doriti sa accesati  o pagina de Internet aflata intr-o retea privata (Tor) si sa platiti o suma echivalenta a 3 BTC (Bitcoins), adica aproape 2.000 de Euro necesari pentru decriptarea unui singur calculator. Insa trebuie sa stiti de pe acum, nu exista nicio garantie ca dupa efectuarea platii unei sume deloc nesemnificative, veti recupera informatia.

In acest moment intrebarea pe care v-o adresez este:

Cum ati alege sa investiti 2.000 euro? In rascumpararea unor documente esentiale pentru business-ul dvs (repet, nu exista garantii in aceasta privinta) sau intr-un sistem de securitate bine pus la punct care poate proteja si monitoriza intreaga infrastructura IT din cadrul companiei dvs.?

Chiar daca in momentul de fata aveti un sistem antivirus instalat si configurat, acesta este doar un nivel de protectie, asemanator cu yala instalata pe usa de la apartament. Pentru o protectie mai avansata sunt necesari mai multi pasi si mai multe nivele de protectie.

Un nivel important de protectie este informarea si educarea utilizatorilor din compania dvs., motiv pentru care am pregatit pentru angajatii dvs un draft de email de informare si avertizare cu privire la acest ransomware periculos. Va recomandam sa transmiteti acest mesaj in cadrul organizatiei dvs:

“Dragi colegi,

In ultimul timp s-au intesificat atacurile de tip ransomware. Acest tip de program malitios este unul foarte agresiv si imposibil de eradicat odata ce infecteaza calculatorul. Cel mai des se propaga prin  emailurile primite chiar de la adrese folosite in organizatie cu atasamente de gen: “invoice”, “sales report”, etc. In general sunt mesaje aparent normale si inofensive.

Ce trebuie sa faceti voi: sa NU deschideti nici un atasament suspect, chiar daca-l primiti de la o persoana din lista voastra de contacte. Este mult mai grav sa deschideti un astfel de atasament, decat sa nu cititi deloc un mail suspect.

O data accesat un astfel de program malitios el cripteaza toate fisierele, astfel ca nu se vor mai putea folosi anumite programe importante pentru organizatie. De asemenea infecteaza si restul fisierelor cunoscute: documente, poze, muzica, etc.

ATENTIE MARE LA ACEST GEN DE PROGRAME! Folositi calculatoarele doar in interes de serviciu.

Va rog sa cititi multe informatii detaliate despre un tip de program malitios ce afecteaza tot mai multe organizatii in prezent in articolul publicat de Blade Solutions.”