Spoločnosť Kaspersky Lab sa dlhodobo snaží vyvíjať aktivity zamerané na ochranu používateľov pred najnovšími verziami ransomvérov[1]. V nadväznosti na túto iniciatívu vyvinuli experti spoločnosti nový nástroj, ktorý má pomôcť používateľom odblokovať zašifrované súbory napadnuté vírusom CryptXXX. Tento mimoriadne škodlivý ransomvér útočí predovšetkým na zariadenia s operačným systémom Windows s cieľom zablokovať súbory a skopírovať dáta za účelom vydierania.
Ransomvér CryptXXX sa medzi používateľmi interntetu šíri prostredníctvom nevyžiadaných e-mailov, ktoré obsahujú infikované prílohy alebo odkazy (linky) na škodlivé stránky. Experti zistili, že hlavným distribútorom ransomvéru CryptXXX sú práve webové stránky, v ktorých je nasadený Angler Exploit Kit (EK). Akonáhle sa ransomvér dostane do zariadenia, zakóduje infikované systémové súbory a priradí im príponu .crypt. Obete sú následne informované o tom, že ich súbory boli zašifrované pomocou silného kódovacieho algoritmu RSA-4096. Za ich odkódovanie požadujú zločinci výkupné v bitcoinoch.
Na svete je súčasnosti rozšírených viac ako 50 kmeňov ransomvérov, pričom neexistuje univerzálny algoritmus schopný odvrátiť hrozbu alebo dôsledky tohto kybernetického útoku. V prípade CryptXXX sa však expertom z Kaspersky Lab podarilo pokoriť údajne “neprekonateľný” RSA-4096 kód a vyvinúť účinný dešifrovací nástroj, ktorý je odteraz dostupný na stránke podpory Kaspersky Lab.
Tvorcom dešifrovacieho nástroja ja Fedor Sinitsyn, senior analytik pre malvéry v spoločnosti Kaspersky Lab. Vďaka nemu majú odteraz obete napadnuté ransomvérom CryptXXX istotu, že sa k svojim súborom dostanú bez toho, aby museli zaplatiť výkupné. Obnovenie súborov je s použitím Kaspersky Lab technológie jednoduché. Nástroj potrebuje iba originálnu (nezakódovanú) verziu aspoň jedného z napadnutých súborov.
Tí, čo využívajú riešenia Kaspersky Lab sú navyše chránení aj prostredníctvom Automatic Exploit Prevention technology, ktorá je súčasťou Kaspersky Lab produktov (vzhľadom na už v minulosti detekované prípady infiltrácie Angler exploit kitu, ktorý využíva ransomvér CryptXXX).
Produkty Kaspersky Lab sú schopné detekovať exploit kit na základe týchto formulácií: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Odporúčania pre používateľov ako sa ochrániť pred infiltráciou škodlivých súborov:
Podniky sa zase môžu spoľahnúť na aplikáciu Kaspersky Security pre Windows Servery, ktorej súčasťou je aj Anti-Cryptor technológia navrhnutá na ochranu IT infraštruktúry pred kryptomalvérom. |
Viac informácií o nebezpečnom ransomvére CryptXXX nájdete v expertnom blogu na Kaspersky Daily.
[1] Ransomvér = škodlivý softvér, ktorý po napadnutí požaduje od obete výkupné za sprístupnenie počítača resp. zablokovaných dát, pozn.
