Malver CryptoLocker daje drugu šansu za dešifrovanje fajlova

Opisi virusa, 04.11.2013, 07:52 AM

Malver CryptoLocker daje drugu šansu za dešifrovanje fajlova

Sada kada skoro svi antivirusi nude zaštitu od malvera CryptoLocker i kada su dostupni besplatni alati za uklanjanje ovog malvera, CryptoLocker ne izgleda više onako zastrašujuće kao onda kada smo vas prvi put upozorili na ovu pretnju. Ipak, za one koji su bili loše sreće i čiji su računari zaraženi ovim malverom, to nije neka uteha jer uklanjanje infekcije ne znači i potpunu sanaciju štete - fajlovi su izgubljeni iako su i dalje na računaru, ali su šifrovani i na žalost, ključ za dešifrovanje je u rukama kriminalaca.

Da se podsetimo. CryptoLocker je ransomware koji šifruje fajlove na računaru i postavlja žrtvi ultimatum: ili ćete platiti otključavanje računara i dešifrovanje fajlova ili su vaši podaci izgubljeni. Malver žrtvi ostavlja rok (obično 72 do 100 sati) da odluči. Kriminalci traže od 100 do 700 dolara ili 2 bitcoina (450 dolara) za „oslobađanje“ fajlova.

Žrtve koje su uz pomoć antivirusa uklonile malver iz memorije, sa hard diska i iz Windows registry, biće zadovoljne samo ukoliko imaju rezervnu kopiju (backup) svega ili skoro svega što je enkripcijom zarobio malver. Ostalima će malver pružiti drugu šansu.

Naime, kriminalci koji stoje iza CryptoLocker-a pokrenuli su namenski servis za dešifrovanje fajlova koje je šifrovao CryptoLocker. Na web sajtu CryptoLocker Decryption Service moguće je kupiti ključ za dešifrovnje zaraženih šifrovanih fajlova.

Onima koji su se premišljali i koji su najpre rešili da ne plate, a potom se predomislili i sada traže način da povrate fajlove, kriminalci će tražiti da plate i „kamatu“. Malver sa zaraženog sistema traži 2 bitcoina (oko 450 dolara), a kriminalci na pomenutom web sajtu traže od žrtve 10 bitcoina (oko 2100 dolara) za privatni ključ za dešifrovanje fajlova.

Servis je dostupan na web sajtu http://yocmvpiarwmfgyg.net/ ili http://93.189.44.187/ a dostupan je i preko Tor mreže (http://f2d27soksbskekh.onion/).

Žrtva sa računara može otpremiti jedan od fajlova koje je šifrovao malver na web sajt nakon čega će dobiti broj porudžbine. Prva 1024 bajta bilo kog fajla koji žrtva odabere kako je gore opisano, otpremaju su na server kako bi se pronašao pripadajući ključ za dešifrovanje. Ta potraga za ključem može potrajati i 24 časa.

Unosom broja porudžbine u za to određeno polje na web sajtu, žrtva može pratiti status porudžbine, videti datum infekcije i javni ključ.

Ako odluči da plati traženih 10 bitcoina moći će da preuzme sa sajta privatni ključ za dešfrovanje i alat za dešifrovanje.

Stručnjaci pretpostavljaju da je rok od 24 časa potreban kriminalcima da pronađu privatni ključ u svojoj bazi podataka.

To znači da je početna tvrdnja kriminalaca da postoji samo jedan primerak privatnog ključa za dešifrovanje fajlova na zaraženom računaru, neistinita. Naime, kada zarazi računar malver prikazuje obaveštenje u kome se kaže da se taj ključ nalazi na tajnom serveru i da će biti uništen nakon isteka roka koji je naveden u obaveštenju koje prikazuje malver. “Nakon toga, niko i nikad neće moći da povrati fajlove”, kaže se u obaveštenju. Sada je očigledno da ovo nije tačno.

Infekcije računara malverom CryptoLocker otkrivene su u različitim delovima sveta, u Evropi, na Bliskom istoku, u Severnoj Americi i Aziji. Najviše žrtava CryptoLocker-a (64%) nalazi se u SAD.

CryptoLocker nije pretnja od koje se ne možete zaštititi ili koje se ne možete rešiti. Na žalost, u ovom trenutku nema načina da se dešifruju fajlovi koje je zaključao CryptoLocker, tako da je backup važnih fajlova jedino rešenje u slučaju kada je došlo do infekcije računara. Pored toga, ne zaboravite i na redovno ažuriranje softvera i antivirusa na računaru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje