Napadalci za odklepanje šifriranih datotek zahtevajo plačilo v višini do 10.000 evrov. Tarča so sistemi, ki imajo javno odprt dostop do katere od storitev, ki se uporabljajo za oddaljen nadzor in upravljanje s sistemom, npr. Remote Desktop (Oddaljeno namizje), Team Viewer in VNC.
Napadi so usmerjeni predvsem na podjetja in organizacije, saj se storitve za oddaljeni dostop najpogosteje uporabljajo ravno v poslovnih okoljih, običajno za dostope do strežniške infrastrukture, so danes še sporočili iz SI-CERT.
Sezname sistemov z odprtimi vrati za oddaljen dostop s pripadajočimi uporabniškimi imeni in gesli napadalci lahko tudi kupijo oz. pridobijo na črnih trgih v skritem delu spleta (darkweb).
Napadalci gesla za dostop najpogosteje pridobijo z ugibanjem različnih kombinacij najpogostejših uporabniških imen in gesel ali pa te podatke predhodno pridobijo prek okužb računalnikov, ki dostopajo do storitve za oddaljen dostop.
Po vdoru napadalci izklopijo varnostne mehanizme, kot so antivirusni program, sistem HIPS in požarni zid, nato pa na sistem običajno prenesejo zlonameren izvršljiv program oz. virus, ki zašifrira vse datoteke, do katerih ima dostop - lokalne datoteke ter datoteke na priključenih zunanjih in omrežnih pogonih.
V nekaterih primerih so napadalci uporabniške datoteke prenesli na posebno particijo na disku, ki so jo zašifrirali z vgrajenim orodjem Bitlocker.
Sistem najbolje izklopiti
Več informacij je na voljo na https://www.cert.si/si-cert-2017-04/.
Po zašifriranju datotek napadalci na namizju pustijo obvestilo z navodili za odkup šifrirnega ključa v kripto valuti bitcoin. Napadalci praviloma zahtevajo, da se stopi v stik z njimi po elektronski pošti. Razpon odkupnine je običajno med 0,5 in pet bitcoini - glede na trenutno vrednost bitcoina je to med 1000 in 10.000 evri.
SI-CERT uporabnikom v primeru, da pride do uspešnega vdora in zašifriranja datotek, svetuje, da zlorabljen sistem izklopijo iz omrežja in na novo postavijo, datoteke pa restavrirajo iz varnostne kopije. Če te ni na voljo, se uporabniki lahko po pomoč glede možnosti povrnitve datotek brez plačila odkupnine obrnejo na SI-CERT.
Plačilo odkupnine močno odsvetujejo. Če se uporabniki vseeno odločijo za to možnost, se z napadalcem lahko poskusijo dogovoriti za nižjo odkupnino, pred plačilom pa naj od napadalca zahtevajo, da testno odšifrira nekaj datotek.