Finsko podjetje za računalniško varnost F-Secure je sporočilo, da se je te dni tudi v Sloveniji pojavil škodljiv program Ransomcrypt. Trojanski konj deluje tako, da po zagonu pregleda vse mape na računalniku in vse dokumente, slike in bližnjice (.lnk) zakodira ter jim na konec imena doda podaljšek ".EnCiPhErEd". V vsaki mapi doda tudi datoteko "HOW TO DECRYPT.TXT" z navodilom, kako odkleniti datoteke. V njem avtor škodljivega programa še zahteva, da mu uporabnik za odklep datotek na njegov Ukash ali Paysafecard račun nakaže 50 evrov. Za odklep ima uporabnik pet poizkusov vnosa kode, zatem se program izbriše in pusti na računalniku zakodirane datoteke.
Program še priredi nastavitve računalnika, tako da se ob odpiranju katere koli zakodirane datoteke s podaljškom .EnCiPhErEd odpre izsiljevalno sporočilo.
V Sloveniji nekaj deset žrtev zlobnega trojanca
Vodja oddelka varnostnih rešitev v Amisu Sergeja Cvelfer je dejala, da je bilo po dostopnih informacijah doslej v Sloveniji nekaj deset žrtev tega trojanca. "Problematičen je predvsem v podjetjih, ker zakodira tudi datoteke na skupnih diskih. Dovolj je torej, da se en od računalnikov okuži in ta računalnik potem zakodira datoteke povsod, do koder ima uporabnik dostop," je pojasnila.
Slovenski center za obravnavo omrežnih incidentov (SI-CERT) medtem zaenkrat še ni prejel prijav o okužbah s trojancem Ransomcrypt. "Tudi od drugod prihajajo novice o tem konkretnem trojancu šele danes. Znane pa so podobne starejše različice že nekaj let," je pojasnil vodja centra Gorazd Božič.
Glede tega, na kakšen način se omenjeni trojanec namesti na računalnik, Božič pojasnjuje, da je trenutni način širjenja preko zlorabljenih spletnih strani. Vdiralec lahko izkoristi slabo zaščito spletnega mesta tako, da nanj podtakne povezavo do svoje strani, ki je obiskovalcu nevidna, brskalnik pa ji sledi. Gre za t.i. drive-by download. Napadalec lahko izkoristi varnostne luknje, če uporabnik nima posodobljenega brskalnika ali njegovih komponent.
Redno izdelujte varnostne kopije
Vsem uporabnikom svetujejo, da redno izdelujejo varnostne kopije, s čimer se izognejo grožnjam z izgubo podatkov. Morebitnim žrtvam pa svetujejo, naj se obrnejo na SI-CERT preko elektronske pošte na naslov cert@cert.si ali preko telefona na 01 479 88 22. Ko bodo na voljo nove informacije o odpravi okužbe in dešifriranju datotek, jih bodo iz centra obvestili preko elektronske pošte. Ta trenutek namreč še nimajo na voljo dovolj informacij za izdelavo navodil za ročno odstranjevanje trojanca Ransomcrypt.
Več uporabnikov po njihovih navedbah sicer poroča o uspešnem dešifriranju datotek z uporabo programa te94decrypt.exe ruskega protivirusnega podjetja Dr.Web. V centru SI-CERT pravijo, da programa še niso ustrezno analizirali, tako da ga uporabniki uporabljajo na lastno odgovornost - v centru uporabo programa priporočajo le naprednejšim uporabnikom. Pred uporabo svetujejo izdelavo kopije diska ali map s šifriranimi datotekami.
KOMENTARJI (65)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.