Spremljaj Politikis na
Politikis na Facebooku   Politikis na Twitterju
Politikis na Facebooku Politikis na Twitterju Politikis
Vroče vsebine

Slovenski internetni uporabniki znova tarče napadov “web ribičev”

Objavil 21. 02. 2017 pod kategorijo IT&Z. Spremljajte odzive na ta post cez RSS 2.0. Lahko komentirate ali pustite trackback v zvezi s tem vnosom

Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT je v zadnjem času zaznal več primerov napadov na slovenske internetne uporabnike. Gre za primere t. i. ribarjenja, katerih namen je kraja gesel za dostop do e-pošte. Poleg tega je center prejel več prijav okužb z izsiljevalskim virusom.

Pri zaznanih več primerih napadov z ribarjenjem oziroma phishingom sta sporočilom skupna naslova “webmail update” ali “system admin” ter besedilo, ki je bilo strojno prevedeno v slovenščino. Pod pretvezo, da bodo imeli zaradi zapolnjenega poštnega predala blokiran dostop do elektronske pošte, poskušajo uporabnike prepričati, da kliknejo na povezavo v sporočilu.

Povezava vodi na indeksno spletno stran znotraj ene od domen pod vrhnjo domeno .tk, .ml, .ga, .cf, ali .gq. V vseh primerih so bile domene registrirane pri registrarju Freenom, ki omogoča zastonjsko registracijo domen pod temi vrhnjimi domenami, pojasnjujejo v centru.

Spletna stran od uporabnika zahteva vpis uporabniškega imena, e-naslova in gesla za e-pošto. Na prvi pogled zgleda, da se stran nahaja na predmetni domeni, dejansko pa gre za storitev preusmeritve domene na poljuben spletni naslov, ki jo ponudnik Freenom ponudi tekom registracije domene. Sama spletna stran se dejansko nahaja pri ponudniku zastonjskih spletnih strani IM Creator.

Če uporabniki vpišejo svoje podatke, se napadalci prijavijo v njihovo spletno pošto in od tam širijo napad naprej, tako da vsem kontaktom pošljejo lažno sporočilo. Ob tem v SI-CERT svetujejo uporabnikom, ki prejmejo to sporočilo, naj ga čim prej posredujejo na cert@cert.si.

SI-CERT je poleg tega prejel več prijav okužb z izsiljevalskim virusom, poimenovanim Crypt0L0cker. Sicer ne gre za novo vrsto virusa, se pa v zadnjem času najbolj pogosto pojavlja med izsiljevalskimi virusi.

V večini primerov se virus širi preko elektronskih sporočil v tujem jeziku, ki mu je priložena priponka zip. Ta vsebuje datoteko s končnico .html ali .js, ki vsebujejo močno zamaskirano kodo, ki se odkodira v več korakih. V končni fazi z nekega oddaljenega spletnega strežnika prenese in zažene izvršljivo datoteko – virus Crypt0L0cker.

Omenjeni virus zašifrira vse datoteke razen datotek z naslednjimi končnicami: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe.

V vsaki mapi, kjer je zašifriral datoteke, odloži datoteki HOW_TO_RESTORE_FILES.txt in HOW_TO_RESTORE_FILES.html z navodili za restavriranje datotek. Zamenja tudi sliko namizja z navodili za namestitev brskalnika Tor, s katerim uporabnika preusmerijo na spletno stran v omrežju darkweb (domena s končnico .onion) z navodili za plačilo odkupnine.

Avtorji virusa za šifrirni ključ zahtevajo 499 dolarjev s plačilom v bitcoinih. Po 78 urah ceno povišajo na 999 dolarjev, po enem mesecu pa šifrirni ključ nepreklicno izbrišejo.

Uporabniki, ki jim je virus Crypt0L0cker zašifriral datoteke, se za pomoč glede možnosti restavriranja datotek lahko obrnejo na SI-CERT. (sta)

Deli z drugimi:Tweet about this on TwitterShare on FacebookShare on Google+Email this to someone

Priporočamo še te vsebine

Space X namerava prihodnje leto opraviti turistični izlet okrog Lune
Slovenec z računalniško video igro zbral že 150.000 dolarjev

Komentiraj

Opozorilo: Po 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.

Oglasno sporočilo



Oglasno sporocilo

Anketa

Pravosodni minister Goran Klemenčič je na seji državnega zbora pod vplivom alkohola krilil na vse strani in govoril nesmisle. Je takšno početje normalno?

Ogled rezultatov

Loading ... Loading ...
Oglasno sporočilo