Μια νέα παραλλαγή του BTCWare ransomware ανακαλύφθηκε από τον Michael Gillespie και χρησιμοποιεί την μορφή .[email]-id-id.shadow σε κρυπτογραφημένα αρχεία. Το συγκεκριμένο στοχεύει κυρίως υπηρεσίες remote dekstop οι οποίες δεν είναι αρκετά προστατευμένες με αποτέλεσμα ο επιτιθέμενος να μπορεί να εγκαταστήσει το ransomware χειροκίνητα.
Αν και δεν έχουν αλλάξει πολλά πράγματα ως προς τον τρόπο που διεισδύει (remote desktop,emails), το email address για αυτόν που τα αποκρυπτογραφεί έχει μετατραπεί σε “paydayz@cock.li“. Αξιοσημείωτη είναι και η αλλαγή του επιθέματος στα κρυπτογραφημένα αρχεία, για παράδειγμα ένα αρχείο μορφής “test.jpg” όταν κρυπτογραφηθεί θα γίνει “test.jpg.[paydaz@cock.li]=id=CoC.shadow”.
Προς το παρόν, φαίνεται να μην έχει γίνει γνωστή κάποια μέθοδος αποκρυπτογράφησης αρχείων του Shadow BTCware. Παρόλα αυτά οι εταιρείες που ασχολούνται με την αντιμετώπιση ransomware θυμίζουν κάποια βασικά μέτρα προστασίας.
- BACKUP, είναι ίσως το πιο σημαντικό πράγμα που πρέπει να κάνει κάποιος τακτικά στον υπολογιστή του. Σαφώς, δεν έχει νόημα το backup να γίνει στον ίδιο τον δίσκο. Τα δεδομένα σας θα πρέπει να γράφονται σε κάποιον εξωτερικό δίσκο ή USB stick το οποίο καλό είναι να αποσυνδέεται αφού τελειώσετε την διαδικασία.
- Μην ανοίγετε επισυναπτόμενα αρχεία που δεν ξέρετε ποιος τα έχει στείλει.
- Μην ανοίγετε επισυναπτόμενα αρχεία αν δεν είστε σίγουροι ότι ο αποστολέας είναι ο σωστός.
- Να κάνετε έλεγχο στα αρχεία με κάποιο online tool π.χ (VirusTotal)
- Να κάνετε update το λειτουργικό σύστημα όπως και τα διάφορα προγράμματα που χρησιμοποιείται.
- Να έχετε λογισμικό ασφαλείας εγκατεστημένο.
- Να χρησιμοποιείτε δύσκολους κωδικούς -τους οποίους θα θυμάστε βεβαία- και, αν είναι εφικτό, διαφορετικούς για κάθε site που χρησιμοποιείτε.
