Novi trojanec vam pobere denar

This post is also available in: English




Včeraj je zavladala prava panika v medijih zaradi novega virusa  Ransomcrypt, gre pa le za novo varianto že nekaj let znanega virusa t.i. ransom trojanca, ki zaklene dokumente na disku in zahteva denar za rešitev problema.

Če imate nezavarovan računalnik ( verjemite veliko je žal še takšnih), 50 € pravzaprav niti ni veliko, da se ponovno pride do svojih dokumentov. Nekateri žal še vedno to ne jemljejo resno opozorila o zaščiti. Ni pa panike za tiste, ki so skrbni in imajo urejeno varnostno kopiranje svojih dokumentov in tisti, ki imate zaščiten računalnik z antivirusnim in antispyware programi.

Kako deluje?

Virus pregleda vse mape na trdem disku in šifrira vsak dokument, slike, arhivske datoteke (rar, zip, 7z…) in celo povezave. Vsaka taka datoteka dobi na koncu še končnico .EnCiPnErEd . V vsaki mapi čaka tudi prijazno sporočilo z nič kaj dobro novico, da je potrebno za dešifriranje in odblokado dostopa do lastnih datotek plačati 50 €. S plačilom se dobi koda, ki odklene datoteke. Da ne bi sami probali uganiti kodo, so omejili vpis kode na 5 poskusov.

Glede na to, da zna ta virus najbolje odstraniti in odkleniti datoteke odličen ruski antivirusni program dr.Web, lahko prav gotovo sklepamo, da gre za virus, ki je nastal v Rusiji.

dr. Web ponuja poseben programlek te94decrypt.exe za dešifriranje, a žal ni 100%, saj je možno da nekatere datoteke uspe le delno odšifrirati, kar pomeni, da so tiste datoteke izgubljene za vedno. Poleg tega ugotavljajo, da gre za novo varianto njim še kako znanega virusa trojan.encoder.94, ki je pred tremi, dvema letoma krožil v Rusiji in ostalih bivših sovjetskih republikah, ni pa se zanimivo širil izven teh mej.

Ta, nova varianta je prilagojena “tujemu trgu”, saj so navodila za dešifriranje prevedena v angleščino. Virus ransomcrypt se je začel najprej širiti v Nemčiji, Španiji, Italiji, Angliji, Poljski, Avstriji, Novrveški in Bolgariji 9. in 10. aprila 2012, nato pa se je začel širiti še dalje, tudi v Slovenijo.

Tudi Trend Micro je poročal o širjenju raznih ransomware programov izven Rusije že pred mesecem, takrat so se najbolj razširili v ZDA, Nemčiji, Franciji, Avstraliji, Italiji, Tajvanu in seveda Rusiji.

V Angliji je bila celo varianta ransom trojanca, ki se je predstavljala kot Metropolitan Police in da so blokirali porno vsebino, za kar je potrebno plačati majhen znesek kazni 🙂

UPDATE:
Ker se pojavljajo različne verzije virusa so pri uporabi dr.web programa te94decrypt.exe  potrebni različni parametri od -42, -85 -11, -55, -91, -88, odvisno od pripete nove končnice, zato je najbolje preveriti na spletu kateri komandni ukaz je pravi.

Saša

Works as system engineer in Slovenian Enterprise in Microsoft environment focusing on security, deployments, SharePoint, SCCM and CheckPoint firewall. Author of successful blog about IT security, Microsoft tips & tricks, social media, internet trends.

Leave a Reply