Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Opisi virusa, 14.10.2013, 10:10 AM

Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Malveri koji šifruju podatke na računarima koje su zarazili i zatim pokušavaju da iznude otkup za njih, nisu novost. Jedan od najstarijih malvera koji je bio napisan sa idejom da donese svom autoru zaradu je Trojanac AIDS Information iz 1989. Ovaj Trojanac bi 90 dana posle infekcije računara napravio pravu zbrku na računaru sakrivajući direktorijume i šifrujući imena svih fajlova na C disku zbog čega bi sistem postao beskoristan.

Zbog ovog malvera uhapšen je izvesni Dr Džozef Pop, međutim, zbog procene da je zbog psihičkih problema nesposoban za suđenje on nikada nije osuđen, pa ga je Velika Britanija kojoj je isporučen pošto je uhapšen na aerodromu u Amsterdamu i u kojoj je suđenje trebalo da bude održano, vratila u SAD.

Za razliku od malvera iz 1989. godine, koji je bio veoma jednostavan, autori malvera CryptoLocker su se potrudili da onemoguće vraćanje šifrovanih fajlova. Zato su stručnjaci kompanije Sophos odlučili da još jednom upozore korisnike na ovu veoma destruktivnu pretnju.

CryptoLocker se instalira u folderu Document and Settings, koristeći nasumično odabrano ime, i dodaje sebe listi programa u registru koje Windows učitava pri svakom pokretanju sistema.

Malver pokušava da se poveže sa serverima na domenima .biz, .co.uk, .com, .info, .net, .org i .ru, i kada uspe da se poveže sa nekim od servera on otprema mali fajl „CryptoLocker ID“.

Server generiše par javnog i privatnog ključa jedinstven za ID zaraženog računara i šalje javni ključ zaraženom računaru. Javni ključ zaključava fajlove, a privatni ih otključava.

Malver na računaru koristi javni ključ za enkripciju svih fajlova koje nađe na dugačkoj listi ekstenzija, na kojoj se nalaze fajlovi kao što su slike, dokumenti i spreadsheet-ovi.

Malver zatim prikazuje stranicu ostavljajući korisniku zaraženog računara ograničeno vreme, obično 100 sati, da kupi privatni ključ za svoje podatke, tražeći obično 300 dolara za tu „uslugu“.

Šta se dešava ako kupite privatni ključ, da li ćete tada vratiti svoje fajlove? Na ta pitanja nema odgovora, jer u SophosLabs nisu želeli da trguju sa kriminalcima.

Stručnjaci ove kompanije kažu da su do sada dobili veliki broj kodiranih dokumenata od korisnika koji se nadaju da oni mogu da im pomognu da povrate fajlove. Ali na žalost, rešenje ne postoji, jer kako sami kriminalci kažu, jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove nalazi se na tajnom serveru na internetu. Server će uništiti ključ nakon isteka roka koji je dat korisniku zaraženog računara. Nakon toga, niko i nikad neće moći da vrati fajlove.

CryptoLocker se najčešće širi putem emailova, u kojima je skriven u prilozima ali i putem botneta.

To znači da je prevencija infekcije malverom CryptoLocker moguća bar kad je reč o infekciji putem emaila: dovoljno je da ne otvarate priloge u emailovima koje niste očekivali ili koje vam šalju nepoznati ljudi.

Međutim, ako je računar već zaražen malverom koji omogućava kriminalcima dodatnu infekciju računara drugim malverima, onda se od CryptoLocker-a možete odbraniti samo tako što ćete uz pomoć pozdanog antivirusnog rešenja proveriti svoj računar i ukloniti malvere koji su već na računaru.

Ako praktikujete pravljenje rezervnih kopija (backup), onda povratak fajlova za vas neće biti veliki problem.

Prevencija je bolja od lečenja:

  • Preuzimajte redovno dostupne zakrpe, neka vaš operativni sistem i programi budu ažurirani.

  • Neka vam antivirus bude uvek aktivan i ažuriran.

  • Ne otvarajte priloge u emailovima koje niste očekivali ili koje ste dobili od ljudi koje ne poznajete.

  • Pravite rezervne kopije redovno, i čuvajte ih na sigurnom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje