Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Opisi virusa, 14.10.2013, 10:10 AM

Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Malveri koji šifruju podatke na računarima koje su zarazili i zatim pokušavaju da iznude otkup za njih, nisu novost. Jedan od najstarijih malvera koji je bio napisan sa idejom da donese svom autoru zaradu je Trojanac AIDS Information iz 1989. Ovaj Trojanac bi 90 dana posle infekcije računara napravio pravu zbrku na računaru sakrivajući direktorijume i šifrujući imena svih fajlova na C disku zbog čega bi sistem postao beskoristan.

Zbog ovog malvera uhapšen je izvesni Dr Džozef Pop, međutim, zbog procene da je zbog psihičkih problema nesposoban za suđenje on nikada nije osuđen, pa ga je Velika Britanija kojoj je isporučen pošto je uhapšen na aerodromu u Amsterdamu i u kojoj je suđenje trebalo da bude održano, vratila u SAD.

Za razliku od malvera iz 1989. godine, koji je bio veoma jednostavan, autori malvera CryptoLocker su se potrudili da onemoguće vraćanje šifrovanih fajlova. Zato su stručnjaci kompanije Sophos odlučili da još jednom upozore korisnike na ovu veoma destruktivnu pretnju.

CryptoLocker se instalira u folderu Document and Settings, koristeći nasumično odabrano ime, i dodaje sebe listi programa u registru koje Windows učitava pri svakom pokretanju sistema.

Malver pokušava da se poveže sa serverima na domenima .biz, .co.uk, .com, .info, .net, .org i .ru, i kada uspe da se poveže sa nekim od servera on otprema mali fajl „CryptoLocker ID“.

Server generiše par javnog i privatnog ključa jedinstven za ID zaraženog računara i šalje javni ključ zaraženom računaru. Javni ključ zaključava fajlove, a privatni ih otključava.

Malver na računaru koristi javni ključ za enkripciju svih fajlova koje nađe na dugačkoj listi ekstenzija, na kojoj se nalaze fajlovi kao što su slike, dokumenti i spreadsheet-ovi.

Malver zatim prikazuje stranicu ostavljajući korisniku zaraženog računara ograničeno vreme, obično 100 sati, da kupi privatni ključ za svoje podatke, tražeći obično 300 dolara za tu „uslugu“.

Šta se dešava ako kupite privatni ključ, da li ćete tada vratiti svoje fajlove? Na ta pitanja nema odgovora, jer u SophosLabs nisu želeli da trguju sa kriminalcima.

Stručnjaci ove kompanije kažu da su do sada dobili veliki broj kodiranih dokumenata od korisnika koji se nadaju da oni mogu da im pomognu da povrate fajlove. Ali na žalost, rešenje ne postoji, jer kako sami kriminalci kažu, jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove nalazi se na tajnom serveru na internetu. Server će uništiti ključ nakon isteka roka koji je dat korisniku zaraženog računara. Nakon toga, niko i nikad neće moći da vrati fajlove.

CryptoLocker se najčešće širi putem emailova, u kojima je skriven u prilozima ali i putem botneta.

To znači da je prevencija infekcije malverom CryptoLocker moguća bar kad je reč o infekciji putem emaila: dovoljno je da ne otvarate priloge u emailovima koje niste očekivali ili koje vam šalju nepoznati ljudi.

Međutim, ako je računar već zaražen malverom koji omogućava kriminalcima dodatnu infekciju računara drugim malverima, onda se od CryptoLocker-a možete odbraniti samo tako što ćete uz pomoć pozdanog antivirusnog rešenja proveriti svoj računar i ukloniti malvere koji su već na računaru.

Ako praktikujete pravljenje rezervnih kopija (backup), onda povratak fajlova za vas neće biti veliki problem.

Prevencija je bolja od lečenja:

  • Preuzimajte redovno dostupne zakrpe, neka vaš operativni sistem i programi budu ažurirani.

  • Neka vam antivirus bude uvek aktivan i ažuriran.

  • Ne otvarajte priloge u emailovima koje niste očekivali ili koje ste dobili od ljudi koje ne poznajete.

  • Pravite rezervne kopije redovno, i čuvajte ih na sigurnom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Bankarski trojanac Qbot se vratio sa novom taktikom i sada krade vaše emailove da bi došao do vašeg novca

Ozloglašeni bankarski trojanac koji je krao lozinke za bankovne račune i druge finansijske informacije, sada se vratio sa novim trikovima u rukavu s... Dalje

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Kriminalci koji stoje iza ransomwarea NetWalker samo od marta zaradili najmanje 29 miliona dolara

Ransomware NetWalker pojavio se pre oko godinu dana, ali je tek ove godine postao ozbiljno ime u svetu sajber-kriminala, s obzirom da je od iznude "za... Dalje

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje