A A A

Ransomware CryptXXX odszyfrowany

29 kwietnia 2016, 14:10 | Czytany 494
O uciążliwości Ransomware, czyli szkodników szyfrujących dysk i żądających okupu za odszyfrowanie lepiej nie przekonywać się na własnej skórze. Na szczęście pojawiło się światełko w tunelu – specjaliści z Kaspersky Lab odszyfrowali CryptXXX.
Ransomware CryptXXX odszyfrowany

Ransomware to mały , program, którym można się zarazić jak każdym innym wirusem komputerowym - głównie przez niefrasobliwość lub nieostrożność. Od innych szkodników różni się jednak tym, że po cichu szyfruje cała zawartość dysku, albo wybrane pliki - zazwyczaj dokumenty i grafiki. Po czym żąda wpłacenia określonej kwoty na konto. Co prawda przestępcy zazwyczaj starają się być uczciwi (o ile w ogóle można to tak nazwać) i po wpłacie pieniędzy rzeczywiście pliki są deszyfrowane, to jednak nie jest to regułą.

Komunikaty wyświetlane przez ransomware niekiedy do złudzenia wyglądają jak wiadomości policji czy służb specjalnych.Zwykle użytkownik jest oskarżany o szerzenie pornografii itp i proponowana jest mu ugoda - dostep do komputera zostanie odblokowany po zapłaceniu okupu.

Do tej pory głównym i praktycznie jedynym sposobem walki z ransomware była prewencja, czyli ostrożność i stosowanie dobrych antywirusów (np. dla użytkowników biznesowych Kaspersky Lab oferuje rozwiązanie Kaspersky Security for Windows Server, które jest wyposażone w technologię Anti-Cryptor, mającą na celu ochronę infrastruktury IT przed szkodliwym oprogramowaniem szyfrującym dane) lub stosowanie backupu. W momencie skutecznego ataku ransomware należało się w praktyce pożegnać z danymi i przywrócić kopie zapasową. Szyfrowanie za pomocą silnego algorytmu stosowanego przez większość szkodników jest w zasadzie nie do złamania bez potężnej i drogiej infrastruktury.

Jednym ze szkodników typu ransomware jest CryptXXX rozprzestrzeniany za pośrednictwem wiadomości spamowych, które zawierają zainfekowane załączniki lub odsyłacze do szkodliwych stron internetowych. Do infekcji dochodzi za pośrednictwem stron, na których przechowywany jest popularny wśród cyberprzestępców pakiet Angler Exploit Kit - zestaw narzędzi wykorzystujących luki w systemach operacyjnych i zainstalowanych aplikacjach. Po uruchomieniu CryptXXX szyfruje pliki zainfekowanego systemu, dodając do nazwy pliku rozszerzenie .crypt. Ofiary są informowane, że pliki zostały zaszyfrowane z użyciem silnego algorytmu RSA-4096 i muszą zapłacić okup w bitcoinach o równowartości 500 dolarów amerykańskich.

Obecnie istnieje ponad 50 rodzin oprogramowania ransomware i nie ma jednego, uniwersalnego algorytmu, za pomocą którego można odeprzeć to zagrożenie lub zniwelować wpływ ataków. Jednak w przypadku oprogramowania CryptXXX, okazało się, że użycie mechanizmu szyfrowania RSA-4096 to jedynie przechwałki cyberprzestępców i Kaspersky Lab (konkretnie Fiedor Sinicyn, starszy analityk szkodliwego oprogramowania) opracował narzędzie deszyfrujące, które jest obecnie dostępne za darmo na stronie pomocy technicznej firmy: http://r.kaspersky.pl/cryptxxx. W celu odszyfrowania zaszyfrowanych plików narzędzie Kaspersky Lab może potrzebować oryginalnej (niezaszyfrowanej) wersji przynajmniej jednego pliku, który padł ofiarą tego szkodnika.

Niekiedy po zaszyfrowaniu plików stosowane są dodatkowe "zachęty" dla użytkownika. Albo po określonym czasi klucz deszyfrujący zostanie zniszczony, albo wzrośnie kwota okupu.

Użytkownicy rozwiązań firmy Kaspersky Lab są dodatkowo chronieni, ponieważ wykorzystywany przez szkodnika pakiet Angler Exploit Kit jest wykrywany na wczesnych etapach infekcji przez stosowaną w rozwiązaniach firmy technologię Automatyczne zapobieganie exploitom. Produkty firmy Kaspersky Lab wykrywają ten pakiet jako: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic oraz HEUR:Exploit.Script.Generic.
Więcej informacji na temat szkodliwego programu CryptXXX wraz z instrukcją obsługi narzędzia deszyfrującego znajduje się na oficjalnym blogu Kaspersky Lab - Kaspersky Daily: https://plblog.kaspersky.com/jak-odblokowac-plik-z-rozszerzeniem-crypt/4707/.

 


Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto