Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Opisi virusa, 14.10.2013, 10:10 AM

Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Malveri koji šifruju podatke na računarima koje su zarazili i zatim pokušavaju da iznude otkup za njih, nisu novost. Jedan od najstarijih malvera koji je bio napisan sa idejom da donese svom autoru zaradu je Trojanac AIDS Information iz 1989. Ovaj Trojanac bi 90 dana posle infekcije računara napravio pravu zbrku na računaru sakrivajući direktorijume i šifrujući imena svih fajlova na C disku zbog čega bi sistem postao beskoristan.

Zbog ovog malvera uhapšen je izvesni Dr Džozef Pop, međutim, zbog procene da je zbog psihičkih problema nesposoban za suđenje on nikada nije osuđen, pa ga je Velika Britanija kojoj je isporučen pošto je uhapšen na aerodromu u Amsterdamu i u kojoj je suđenje trebalo da bude održano, vratila u SAD.

Za razliku od malvera iz 1989. godine, koji je bio veoma jednostavan, autori malvera CryptoLocker su se potrudili da onemoguće vraćanje šifrovanih fajlova. Zato su stručnjaci kompanije Sophos odlučili da još jednom upozore korisnike na ovu veoma destruktivnu pretnju.

CryptoLocker se instalira u folderu Document and Settings, koristeći nasumično odabrano ime, i dodaje sebe listi programa u registru koje Windows učitava pri svakom pokretanju sistema.

Malver pokušava da se poveže sa serverima na domenima .biz, .co.uk, .com, .info, .net, .org i .ru, i kada uspe da se poveže sa nekim od servera on otprema mali fajl „CryptoLocker ID“.

Server generiše par javnog i privatnog ključa jedinstven za ID zaraženog računara i šalje javni ključ zaraženom računaru. Javni ključ zaključava fajlove, a privatni ih otključava.

Malver na računaru koristi javni ključ za enkripciju svih fajlova koje nađe na dugačkoj listi ekstenzija, na kojoj se nalaze fajlovi kao što su slike, dokumenti i spreadsheet-ovi.

Malver zatim prikazuje stranicu ostavljajući korisniku zaraženog računara ograničeno vreme, obično 100 sati, da kupi privatni ključ za svoje podatke, tražeći obično 300 dolara za tu „uslugu“.

Šta se dešava ako kupite privatni ključ, da li ćete tada vratiti svoje fajlove? Na ta pitanja nema odgovora, jer u SophosLabs nisu želeli da trguju sa kriminalcima.

Stručnjaci ove kompanije kažu da su do sada dobili veliki broj kodiranih dokumenata od korisnika koji se nadaju da oni mogu da im pomognu da povrate fajlove. Ali na žalost, rešenje ne postoji, jer kako sami kriminalci kažu, jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove nalazi se na tajnom serveru na internetu. Server će uništiti ključ nakon isteka roka koji je dat korisniku zaraženog računara. Nakon toga, niko i nikad neće moći da vrati fajlove.

CryptoLocker se najčešće širi putem emailova, u kojima je skriven u prilozima ali i putem botneta.

To znači da je prevencija infekcije malverom CryptoLocker moguća bar kad je reč o infekciji putem emaila: dovoljno je da ne otvarate priloge u emailovima koje niste očekivali ili koje vam šalju nepoznati ljudi.

Međutim, ako je računar već zaražen malverom koji omogućava kriminalcima dodatnu infekciju računara drugim malverima, onda se od CryptoLocker-a možete odbraniti samo tako što ćete uz pomoć pozdanog antivirusnog rešenja proveriti svoj računar i ukloniti malvere koji su već na računaru.

Ako praktikujete pravljenje rezervnih kopija (backup), onda povratak fajlova za vas neće biti veliki problem.

Prevencija je bolja od lečenja:

  • Preuzimajte redovno dostupne zakrpe, neka vaš operativni sistem i programi budu ažurirani.

  • Neka vam antivirus bude uvek aktivan i ažuriran.

  • Ne otvarajte priloge u emailovima koje niste očekivali ili koje ste dobili od ljudi koje ne poznajete.

  • Pravite rezervne kopije redovno, i čuvajte ih na sigurnom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje