Spoločnosť Kaspersky Lab sa dlhodobo snaží vyvíjať aktivity zamerané na ochranu používateľov pred najnovšími verziami ransomvérov, teda škodlivého softvéru, ktorý po napadnutí požaduje od obete výkupné za sprístupnenie počítača, respektíve zablokovaných dát. V nadväznosti na túto iniciatívu vyvinuli experti spoločnosti nový nástroj, ktorý má pomôcť používateľom odblokovať zašifrované súbory napadnuté vírusom CryptXXX. Tento mimoriadne škodlivý ransomvér útočí predovšetkým na zariadenia s operačným systémom Windows s cieľom zablokovať súbory a skopírovať dáta za účelom vydierania.
Ransomvér CryptXXX sa medzi používateľmi interntetu šíri prostredníctvom nevyžiadaných e-mailov, ktoré obsahujú infikované prílohy alebo odkazy (linky) na škodlivé stránky. Experti zistili, že hlavným distribútorom ransomvéru CryptXXX sú práve webové stránky, v ktorých je nasadený Angler Exploit Kit (EK). Akonáhle sa ransomvér dostane do zariadenia, zakóduje infikované systémové súbory a priradí im príponu .crypt. Obete sú následne informované o tom, že ich súbory boli zašifrované pomocou silného kódovacieho algoritmu RSA-4096. Za ich odkódovanie požadujú zločinci výkupné v bitcoinoch.
Na svete je súčasnosti rozšírených viac ako 50 kmeňov ransomvérov, pričom neexistuje univerzálny algoritmus schopný odvrátiť hrozbu alebo dôsledky tohto kybernetického útoku. V prípade CryptXXX sa však expertom z Kaspersky Lab podarilo pokoriť údajne “neprekonateľný” RSA-4096 kód a vyvinúť účinný dešifrovací nástroj, ktorý je odteraz dostupný na stránke podpory Kaspersky Lab.
Tvorcom dešifrovacieho nástroja ja Fedor Sinitsyn, senior analytik pre malvéry v spoločnosti Kaspersky Lab. Vďaka nemu majú odteraz obete napadnuté ransomvérom CryptXXX istotu, že sa k svojim súborom dostanú bez toho, aby museli zaplatiť výkupné. Obnovenie súborov je s použitím Kaspersky Lab technológie jednoduché. Nástroj potrebuje iba originálnu (nezakódovanú) verziu aspoň jedného z napadnutých súborov.
Tí, čo využívajú riešenia Kaspersky Lab sú navyše chránení aj prostredníctvom Automatic Exploit Prevention technology, ktorá je súčasťou Kaspersky Lab produktov (vzhľadom na už v minulosti detekované prípady infiltrácie Angler exploit kitu, ktorý využíva ransomvér CryptXXX).
Produkty Kaspersky Lab sú schopné detekovať exploit kit na základe týchto formulácií: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Odporúčania pre používateľov ako sa ochrániť pred infiltráciou škodlivých súborov:
- Pravidelne si zálohujte súbory.
- Inštalujte všetky dôležité aktualizácie operačného systému a prehliadačov. Spomínaný Angler exploit kit, ktorý používa na svoje škodlivé prieniky aj CryptXXX, využíva práve softvérové zraniteľnosti na stiahnutie a inštaláciu ransomvéru.
- Nainštalujte si bezpečnostný softvér. Kaspersky Internet Security poskytuje viacvrstvovú ochranu pred ransomvérom. Kaspersky Total Security dopĺňa všestrannú ochranu, poskytuje automatické zálohovanie.
Podniky sa zase môžu spoľahnúť na aplikáciu Kaspersky Security pre Windows Servery, ktorej súčasťou je aj Anti-Cryptor technológia navrhnutá na ochranu IT infraštruktúry pred kryptomalvérom.
Viac informácií o nebezpečnom ransomvére CryptXXX nájdete v expertnom blogu na Kaspersky Daily.
Zdroj: TS