Οι πιο επικίνδυνοι ιοί του 2016

Το 2016 έφτασε στο τέλος του και η ομάδα ειδικών του ioys.gr αποφάσισε να κάνει μια ανασκόπηση της χρονιάς που πέρασε. Παρακάτω, θα μιλήσουμε για τους πλέον επικίνδυνους ιούς του 2016. Δυστυχώς, ακόμα και τώρα οι ιοί αυτοί δρουν ανεξέλεγκτα στο διαδίκτυο και ολοένα κι αυξάνει ο αριθμός των συστημάτων υπολογιστών που μολύνονται.

Είναι γεγονός ότι το διαδίκτυο είναι πιο επικίνδυνο από ποτέ, λαμβάνοντας υπόψιν το γεγονός ότι το 2016 έδρασε μεγάλος αριθμός πολύ προηγμένων και καταστροφικών ιών, κυρίως τύπου ransomware, παραπλανητικά malware τεχνικής υποστήριξης, trojans που στοχεύουν ευαίσθητα προσωπικά δεδομένα χρηστών, και φυσικά χιλιάδες PUPs (potentially unwanted programs, δλδ. δυνητικά ανεπιθύμητα προγράμματα) κυρίως τύπου adware και browser hijackers.

Οι έξυπνες συσκευές, όπως πχ. τα smartphones, τα εξελιγμένα μοντέλα υπολογιστών, και οι γρήγορες συνδέσεις στο διαδίκτυο, συνδυαστικά με την ευκολότερη πρόσβαση σε αυτό, έχουν δημιουργήσει ‘έκρηξη’ τόσο στον όγκο των δεδομένων που ανταλάσσονται στο διαδίκτυο όσο και στον αριθμό των χρηστών. Όπως είναι λογικό, όπου υπάρχει μεγάλο πλήθος χρηστών, όγκος δεδομένων, αλλά και τεράστιο ύψος διαδικτυακών συναλλαγών, προσελκύεται και μεγάλος αριθμός κυβερνο-εγκληματιών που στοχεύουν να ‘βάλουν χέρι στη τεράστια διαδικτυακή πίτα’ μολύνοντας συστήματα υπολογιστών, προσωπικούς λογαριασμούς χρηστών σε κοινωνικά δίκτυα, κι άλλα πολλά .

Παρακάτω, ετοιμάσαμε μια λίστα με τους πλέον επικίνδυνους ιούς του 2016, πολλοί από τους οποίους παραμένουν ενεργοί και το 2017.

10. Ιός CrySiS ransomware. Ο ιός ransomware CrySiS virus αποτελεί έναν από τους πλέον επιτυχημένους και ενεργούς ιούς ransomware του 2016. Οι δημιουργοί του κατάφεραν να δημιουργήσουν και να εξαπλώσουν διαδικτυακά κυριολεκτικά εκατοντάδες διαφορετικές εκδόσεις και παραλλαγές του. Το επίπεδο προγραμματισμού είναι άκρως προηγμένο και επαγγελματικό. Τα συγκεκριμένα κακόβουλα προγράμματα κατάφεραν να μολύνουν χιλιάδες συστήματα υπολογιστών και να κρυπτογραφήσουν τα αποθηκευμένα αρχεία των χρηστών-θυμάτων χρησιμοποιώντας συνδυασμό δυο προηγμένων στρατιωτικού τύπου αλγόριθμων κρυπτογράφησης. Πρόκειται για τους αλγόριθμους κρυπτογράφησης AES και RSA .

Η αναγνώριση του ιού ransomware CrySiS malware είναι εύκολη. Τα αρχεία που μολύνει αποκτούν μια ιδιαιτέρως μακρόσυρτη κακόβουλη επέκταση η οποία περιέχει [Original filename].id-[Victim’s ID].[culprit’s email address].xtbl. Στις αρχές Νοέμβρη 2016, ένας ανώνυμος διέρρευσε σε online forum τα κλειδιά αποκρυπτογράφησης του ιού CrySiS. Σύντομα, κυκλοφόρησε και λογισμικό αποκρυπτογράφησης του ιού ransomware CrySiS (βλ. decryption software). Φυσικά, οι δημιουργοί του ιού δεν έμειναν άπραγοι. Έτσι, κυκλοφόρησαν σχετικά γρήγορα νέες, πιο προηγμένες ransomware εκδόσεις.

9. DNS Unlocker adware. Το συγκεκριμένο PUP (potentially unwanted program, δλδ. δυνητικά ανεπιθύμητο πρόγραμμα) είναι ιδιαιτέρως επιθετικό, εκνευριστικό, και δύσκολο όσον αφορά την ολοκληρωτική αφαίρεσή του. Κύριο χαρακτηριστικό του συγκεκριμένου adware είναι η τάση του να εμφανίζει εκνευριστικές και παραπλανητικές διαφημίσεις DNS Unlocker, ασχέτως web browser κι αν χρησιμοποιεί ο χρήστης-θύμα.

Αναλυτικότερα, το συγκεκριμένο PUP εμφανίζει αυθαίρετα διαφημιστικά banners, ανοίγει νέες web browser καρτέλες ή νέα παράθυρα όπου φορτώνεται επιχορηγούμενο ανεπιθύμητο περιεχόμενο που προωθεί συνεργαζόμενους τρίτους (βλ. affiliate websites, affiliate marketing). Δυστυχώς, ο όγκος και η συχνότητα εμφάνισης των αναδυόμενων διαφημίσεων κυμαίνεται σε τόσο υψηλά επίπεδα που πρακτικά ο χρήστης δε μπορεί να χρησιμοποιήσει καν τους web browsers του, καθώς αυτοί είτε δυσλειτουργούν ή κρασάρουν. Τέλος, ο επικίνδυνος ιός ransomware DNS Unlocker virus, στη νέα του πιο προηγμένη έκδοση, μπορεί και μολύνει πλέον ακόμα και Android και iOS συσκευές.

8. Ιός Delta-Homes.com. Πρόκειται για ιό τύπου browser hijacker, επίσης γνωστός και ως ιός κακόβουλων ανακατευθύνσεων (βλ. browser redirect virus). Αυτό το κακόβουλο πρόγραμμα προωθεί την ύποπτη μηχανή αναζήτησης Delta-Homes.com. Σε αντίθεση με τις γνωστές κι αξιόπιστες μηχανές αναζήτησης (βλ. search engines), η συγκεκριμένη μηχανή αναζήτησης ανακατευθύνει τους χρήστες σε επιχορηγούμενες ιστοσελίδες συνεργαζόμενων τρίτων (βλ. affiliate websites). Η συντριπτική πλειοψηφία των affiliate websites είναι ύποπτες, ακόμα και κακόβουλες, ιστοσελίδες. Οι επισκέψεις σε αυτού του είδους τους ιστότοπους μπορεί να δημιουργήσει πολλά και σοβαρά προβλήματα στους χρήστες.

Αναλυτικότερα, ο ιός Delta-Homes.com (redirect virus) μολύνει τους web browsers που χρησιμοποιεί ο χρήστης-θύμα. Οι άμεσες επιπτώσεις είναι η δυσλειτουργία ή ακόμα και το κρασάρισμα των web browsers. Σε αντίθεση με άλλους browser hijackers, ο συγκεκριμένος ιός είναι πολύ ‘πεισματάρης’ και η ολοκληρωτική αφαίρεσή του είναι ιδιαιτέρως δύσκολη.

7. Ιός Trotux.com . Ο ιός Trotux.com browser hijacker είναι ακόμα ένας ιός κακόβουλων ανακατευθύνσεων (βλ. browser redirect virus) ο οποίος εξαπλώθηκε γοργά στο διαδίκτυο εντός του 2016. Αν και το επίπεδο επικινδυνότητας και καταστροφικότητας δεν είναι τόσο μεγάλο όσο ενός ιού ransomware, παρόλα αυτά θέλει πολύ μεγάλη προσοχή. Είναι από τους πλέον διαδεδομένους διαδικτυακά browser hijackers και μπορεί να προκαλέσει πλήθος σοβαρών προβλημάτων σε όποιο σύστημα υπολογιστή μολύνει.

Αναλυτικότερα, αυτό το ύπουλο παράσιτο έχει τη τάση να διεισδύει απαρατήρητο σε συστήματα υπολογιστών παράλληλα με τις λήψεις διαφόρων δωρεάν/δοκιμαστικών εφαρμογών (βλ. μέθοδος bundling). Μόλις διεισδύσει στο σύστημα-στόχο, ο συγκεκριμένος browser hijackers τροποποιεί κρυφά κι αυθαίρετα τις παραμέτρους ρυθμίσεων του συστήματος και αντικαθιστά την προεπιλεγμένη μηχανή αναζήτηση, Αρχική Σελίδα, και νέα καρτέλα web browser με Delta-Homes. Μέσω αυτής της ύποπτης ιστοσελίδας προωθούνται επιχορηγούμενοι ιστότοποι συνεργαζόμενων τρίτων (βλ. affiliate websites).

6. Ιός “Your Computer Has Been Blocked”. Υπάρχουν δυο ιοί που μοιράζονται το ίδιο όνομα. Ο ένας ιός είναι τύπου screenlocker ransomware, ο οποίος μπλοκάρει πλήρως την πρόσβαση του χρήστη-θύματος στον υπολογιστή του κατηγορώντας τον ότι παραβίασε τη νομοθεσία των ΗΠΑ. Ο ιός εμφανίζει ένα τεράστιο προειδοποιητικό μήνυμα πλήρους οθόνης όπου περιλαμβάνονται πληροφορίες με βάση τις οποίες ο χρήστης κατηγορείται ότι παραβίασε το νόμο.

Μια άλλη πιο γνωστή έκδοση του ιού ανήκει στην κακόφημη κατηγορία ιών που βασίζονται σε παραπλανητική τεχνική υποστήριξη και ονομάζονται Tech Support Scam viruses. Μόλις ο συγκεκριμένος ιός διεισδύσει στο σύστημα-στόχο, εμφανίζει στο web browser μήνυμα με τίτλο “Your Computer Has Been Blocked” μέσω του οποίου απαιτεί από τον χρήστη-θύμα να καλέσει σε συγκεκριμένη γραμμή δήθεν τεχνικής υποστήριξης. Προσοχή! Πρόκειται για απάτη! Εκτός αυτού του μηνύματος, ο ιός μπορεί να εμφανίσει και παραπλανητικές αναφορές σάρωσης οι οποίες εμφανίζουν ότι δήθεν το σύστημα-στόχος έχει μολυνθεί από πλήθος ανεπιθύμητων και κακόβουλων προγραμμάτων κι αρχείων. Και σε αυτή την περίπτωση, προωθείται μια συγκεκριμένη γραμμή τεχνικής υποστήριξης. Και πάλι προσοχή! Πρόκειται για απάτη!

5. Ιός Tech Support Scam. Οι απάτες τεχνικής υποστήριξης (βλ. Tech support scams) εξελίσσονται συνεχώς και γίνονται ολοένα και πιο προηγμένες. Πλέον, χρησιμοποιούνται ευρέως κακόβουλα malware για να πείσουν τους χρήστες-θύματα να καλέσουν τις συγκεκριμένες γραμμές τεχνικής υποστήριξης των απατεώνων, αντί να καλούν τηλεφωνικά σε καθημερινή βάση τηλεφωνικούς αριθμούς.

Συνήθως, οι ιοί τεχνικής υποστήριξης (βλ. tech support scam viruses) εμφανίζουν εκνευριστικά και παραπλανητικά προειδοποιητικά μηνύματα μέσω των web browsers των χρηστών-θυμάτων, προσπαθώντας να πείσουν το μέγιστο δυνατό αριθμό χρηστών να καλέσουν “πιστοποιημένους τεχνικούς της Μicrosoft” για να τους επιλύσουν όλα τα προβλήματα συστήματος που έχουν δήθεν εντοπιστεί. Φυσικά, πίσω από αυτά τα παραπλανητικά προειδοποιητικά μηνύματα κρύβονται διαφόρων ειδών ιοί, όπως πχ. ο ιός Zeus.

Αυτού του είδους οι ιοί εμφανίζουν πάντα “χωρίς χρέωση” τηλεφωνικούς αριθμούς τεχνικής υποστήριξης προσπαθώντας να πείσουν τον χρήστη-θύμα να καλέσει. Μέσω αυτών των γραμμών, προσπαθούν τα δήθεν ‘πιστοποιημένα’ άτομα να πείσουν τον χρήστη να αγοράσει λογισμικό ασφάλειας, το οποίο εν τέλει θα δημιουργήσει πολλά προβλήματα και θα δώσει στους hackers απομακρυσμένη πρόσβαση στο σύστημα του χρήστη-θύματος. Επίσης, αξίζει να σημειωθεί ότι σε πολλές περιπτώσεις αυτές οι “χωρίς χρέωση” γραμμές τεχνικής υποστήριξης φουσκώνουν επικίνδυνα τον λογαριασμό τηλεφώνου.

4. Ιός Facebook. Το πλέον δημοφιλές μέσο κοινωνικής δικτύωσης αποτελεί πολύ δελεαστικό στόχο για τους απανταχού κυβερνο-εγκληματίες. Ένας από τους πρόσφατους ιούς Facebook είχε τη τάση να μολύνει λογαριασμούς χρηστών και κατόπιν να αποστέλλει μαζικά, δεκάδες προσωπικά μηνύματα σε όλες τις Facebook επαφές του χρήστη-θύματος ή να δημοσιεύει ποσταρίσματα που εμπεριέχουν κακόβουλο σύνδεσμο προς “Private Video” στο Facebook τοίχο του χρήστη-θύματος. Για την προβολή του βίντεο, απαιτούνταν από τους χρήστες να εγκαταστήσουν ένα κακόβουλο plugin.

Το 2016, εμφανίστηκαν πολλές παραλλαγές του ιού Facebook virus. Πλέον, οι scammers μπορούν και δημιουργούν παραπλανητικές phishing Facebook σελίδες, όπως πχ. Ads-Info, Team Advert, κλπ. και τις χρησιμοποιούν για να κάνουν μαζικές δημοσιεύσεις χρησιμοποιώντας τυχαίους χρήστες ή σελίδες Facebook. Σε πολλές περιπτώσεις, οι scammers προσθέτουν σχόλια τύπου: “Your page will be unpublished!”. Ζητείται από το χρήστη-θύμα να επιβεβαιώσει τον λογαριασμό του μέσω ενός συνδέσμου που εμπεριέχεται στο μήνυμα. Φυσικά, πρόκειται για κακόβουλο σύνδεσμο ο οποίος ανακατευθύνει σε συγκεκριμένους phishing ιστότοπους όπου ζητείται από τους χρήστες-θύματα να εισάγουν τα προσωπικά στοιχεία σύνδεσής τους στο Facebook. Μόλις γίνει αυτό, οι hackers αποκτούν απομακρυσμένη πρόσβαση στο Facebook λογαριασμό κάθε χρήστη που έκανε το λάθος να εισάγει τα προσωπικά του στοιχεία σύνδεσης στο λογαριασμό του στο Facebook.

3. Ιός Zepto ransomware. Ο ιός Zepto είναι μια από τις πρώτες παραλλαγές του επικίνδυνου ιού Locky, και μια από τις πιο πετυχημένες. Ο συγκεκριμένος ιός ransomware εξαπλωνόταν διαδικτυακά με τη μορφή JS ή Word αρχείου και είχε μεγάλο ποσοστό επιτυχίας όσον αφορά την αποτελεσματικότητα και τον αριθμό συστημάτων που κατάφερε να μολύνει.

Αναλυτικότερα, μόλις ο συγκεκριμένος ιός ransomware καταφέρει να διεισδύσει σε ένα σύστημα-στόχο, προβαίνει άμεσα σε κρυπτογράφηση των αποθηκευμένων αρχείων. Για την κρυπτογράφηση των αρχείων, ο ιός χρησιμοποιεί τους προηγμένους αλγόριθμους κρυπτογράφησης RSA-2048 και AES-128. Κατόπιν, προσθέτει την κακόβουλη επέκταση .zepto σε όλα τα αρχεία που κρυπτογραφεί. Μόλις ολοκληρωθεί κι αυτό το στάδιο, εμφανίζει σημείωμα λύτρων (βλ. ransom note) με τίτλο _HELP_instructions.html. Στο σημείωμα λύτρων περιλαμβάνονται οδηγίες σχετικά με το πως μπορεί ο χρήστης-θύμα να αποκτήσει και πάλι πρόσβαση στα κρυπτογραφημένα αρχεία του, αφού πρώτα πληρώσει τα λύτρα που ζητούν οι κυβερνο-εγκληματίες.

Με την πληρωμή των λύτρων, οι κυβερνο-εγκληματίες προσφέρουν στον χρήστη-θύμα το Locky Decrypter. Η τιμή του συγκεκριμένου λογισμικού αποκρυπτογράφησης κυμαίνεται μεταξύ 0.5 BTC – 4 BTC. Δυστυχώς, δεν έχει βρεθεί έως τώρα τρόπος αποκρυπτογράφησης του ιού ransomware Zepto.

2. Ιός Cerber ransomware . Ο ιός Cerber είναι από τους πλέον επικίνδυνους ιούς crypto-ransomware που κυκλοφορούν αυτή τη στιγμή στο διαδίκτυο. Είναι επίσης γνωστός και ως “speaking ransomware.” Παρόλο που η πρώτη και η δεύτερη έκδοση του ιού Cerber εμπεριείχαν πολλά τρωτά σημεία πάνω στα οποία οι ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων κατάφερναν να τις αποκρυπτογραφούν (εκδόσεις) και να δημιουργούν δωρεάν εργαλεία αποκρυπτογράφησης, δυστυχώς οι νεώτερες εκδόσεις φαίνεται πως έχουν τελειοποιηθεί και δεν έχουν εντοπιστεί ακόμα τρωτά σημεία τους.

Κατά καιρούς, οι δημιουργοί αυτού του τρομακτικού ιού ransomware ρίχνουν στο διαδίκτυο διάφορες malware παραλλαγές του. Έως τώρα, γνωρίζουμε ότι υπάρχουν 9 εκδόσεις του ιού, από τις οποίες οι 5 είναι απλά ελαφρώς τροποποιημένες παραλλαγές της έκδοσης Cerber v4.0 ransomware. Πρόσφατα, διαπιστώσαμε ότι ο ιός εξελίχθηκε ακόμα περισσότερο και πλέον μπορεί κι εξαπλώνεται διαδικτυακά με ακόμα μια νέα τεχνική που του επιτρέπει να χρησιμοποιεί Google και Tor2Web proxies. Ένα πράγμα είναι σίγουρο για αυτό τον ιό – εξελίσσεται και μεταλλάσσεται ταχύτατα, ο κωδικός του αλλάζει συχνά, και οι δημιουργοί του βρίσκουν συνεχώς νέους τρόπους για τη διαδικτυακή του εξάπλωση. Έτσι, το έργο των ειδικών που προσπαθούν να αποκρυπτογραφήσουν τον ιό, ακροβατεί στα όρια του αδύνατου.

1. Ιός Locky ransomware. Ο συγκεκριμένος ιός δημιούργησε τεράστια προβλήματα στην παγκόσμια διαδικτυακή κοινότητα στις αρχές του 2016. Μέσα σε ένα χρόνο κατάφερε να εξελιχθεί ραγδαία και πλέον φιγουράρει ως ο νο1 επικίνδυνος ιός του 2016.

Αξίζει να σημειωθεί ότι οι κυβερνο-εγκληματίες που βρίσκονται πίσω από τον ιό Locky ransomware virus είναι λάτρεις της Σκανδιναβικής μυθολογίας. Δεν είναι τυχαίο λοιπόν πως όσες νέες εκδόσεις του ιού Locky ransomware virus έχουν κυκλοφορήσει, τα ονόματά τους προέρχονται από Θεούς της Σκανδιναβικής μυθολογίας, όπως πχ. Odin, Thor, Aesir, κλπ.

Ο ιός Locky έχει κερδίσει επάξια τον χαρακτηρισμό του ιού που “πάντα εξελίσσεται”, καθώς πολύ συχνά βρίσκουμε νέες εκδόσεις του ή τροποποιήσεις και προσθήκες λειτουργικών χαρακτηριστικών στις ήδη υπάρχουσες εκδόσεις του ιού. Τη μεγάλη επιτυχία όσον αφορά τη διαδικτυακή εξάπλωση, ο ιός Locky malware την οφείλει, τουλάχιστον αρχικά, στη μοναδική μέθοδο που εφάρμοσε. Συγκεκριμένα, πρωτο-ξεκίνησε να μολύνει συστήματα υπολογιστών μέσω Word εγγράφων που ζητούσαν από τους χρήστες να ενεργοποιήσουν την λειτουργία Macros ώστε να προβληθεί το περιεχόμενο αυτών των εγγράφων. Στην περίπτωση που έκανε αυτό το λάθος ο χρήστης-θύμα, ενεργοποιούνταν κακόβουλος κωδικός (βλ. malicious code) ο οποίος και προχωρούσε αυτόματα κι αυθαίρετα σε λήψη του ιού ransomware στον υπολογιστή-στόχο .

Από τότε, ο ιός Locky virus έχει εξελιχθεί πολύ. Πλέον, μπορεί να εμπεριέχεται σε διαφόρων μορφών αρχεία, όπως πχ. .xlsx, .docm, .js, .lnk, ενώ εξαπλώνεται διαδικτυακά και με τη βοήθεια διαφόρων exploit kits, όπως πχ. Nemucod, Bizarro Sundown, και RIG. Η τελευταία παραλλαγή του ιού Locky ήταν ο ιός Osiris. Φυσικά, είναι σχεδόν σίγουρα ότι ο ιός Locky θα μας απασχολήσει σοβαρά και το 2017.