Slovenski center za obravnavo omrežnih incidentov (SI-CERT) je v teh dneh prejel okrog 40 prijav uporabnikov o okužbi s škodljivim trojancem Ransomcrypt. Med njimi je bilo tudi osem skrbnikov sistemov pri slovenskih podjetjih, je danes pojasnil vodja centra SI-CERT Gorazd Božič. Pri tem dodaja, da so konca tedna vsa protivirusna podjetja dodala omenjenega trojanca na spisek znanih virusov, tako da bi to moralo zelo upočasniti njegovo širjenje.
Širil se je predvsem preko zlorabljenih spletnih strani. Vdiralec lahko izkoristi slabo zaščito spletnega mesta tako, da nanj podtakne povezavo do svoje strani, ki je obiskovalcu nevidna, brskalnik pa ji sledi. Napadalec lahko izkoristi varnostne luknje, če uporabnik nima posodobljenega brskalnika ali njegovih komponent.
Ransomcrypt deluje tako, da po zagonu pregleda vse mape na računalniku ter vse dokumente, slike in bližnjice (.lnk) šifrira ter jim na konec imena doda podaljšek ".EnCiPhErEd". V vsaki mapi ustvari tudi datoteko "HOW TO DECRYPT.TXT" z navodilom.
V navodilu avtor zahteva, da mu uporabnik za odklep datotek na njegov račun na spletnih plačilnih storitvah Ukash ali Paysafecard nakaže 50 evrov. Za odklep ima uporabnik pet poskusov vnosa kode, zatem se program izbriše in pusti na računalniku šifrirane datoteke. Program tudi priredi nastavitve računalnika, tako da se ob odpiranju katerekoli šifrirane datoteke s podaljškom .EnCiPhErEd odpre izsiljevalno sporočilo.
Na vprašanje, ali je že na voljo kakšna preverjena rešitev za odklepanje šifriranih datotek na napadenih računalnikih, Božič odgovarja, da še vedno ostaja glavno orodje te94decrypt podjetja Dr. Web. "Univerzalnega orodja verjetno ne bo, ker gre za več različic trojanca, vsak uporablja svoje ključe in je treba ugotoviti ključ s poskušanjem," je pojasnil Božič in dodal, da SI-CERT nudi pomoč uporabnikom, kadar se stvar zaplete.
KOMENTARJI (10)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.