Ερευνητές ασφάλειας από την Emsisoft ανακάλυψαν μια νέα οικογένεια ransomware που ονόμασαν CryptoLocker, ή αλλιώς Trojan:Win32/Crilock. Το συγκεκριμένο ransomware έχει σχεδιαστεί για να κρυπτογραφεί σχεδόν όλα τα αρχεία της μολυσμένης συσκευής και να τα αποκρυπτογραφεί όταν κατατεθούν τα λύτρα από το θύμα.
Τα αρχεία που στοχεύει το CryptoLocker και κρυπτογραφεί είναι πάρα πολλά: odt, doc, docx, xls, xlsx, ppt, pptx, mdb, accdb, rtf, mdf, dbf, psd, pdd, jpg, srf, sr2 ,bay ,crw, dcr, kdc, erf, mef, mrw, nef, nrw, raf, raw, rwl, rw2, ptx, pef, srw, x3f, der, cer, crt, pem, και p12.
Σύμφωνα με τους ειδικούς , το ransomware διανέμεται μέσω e-mail που έχουν σαν θέμα (προς το παρόν γιατί αυτό μπορεί να αλλάξει) παράπονα πελατών. Το συνημμένο αρχείο που έρχεται με το κακόβουλο email είναι ένα downloader που θα κατεβάσει στον υπολογιστή του θύματος το malware.
Μόλις μολύνει μια συσκευή , το CryptoLocker δημιουργεί μια καταχώρηση μητρώου για να είναι σίγουρο ότι θα τρέχει μετά από κάθε επανεκκίνηση. Στη συνέχεια, καθορίζει την επικοινωνία με τον διακομιστή που χρησιμοποιεί σαν κέντρο διοίκησης και έλεγχου ( C & C ). Όλες οι επικοινωνίες που πραγματοποιεί είναι κρυπτογραφημένες με RSA.
“Η χρήση κρυπτογράφησης RSA για την επικοινωνία, όχι μόνο επιτρέπει στον εισβολέα να αποκρύψει τις πραγματικές συνομιλίες μεταξύ του κακόβουλου λογισμικού και του διακομιστή , αλλά το καθιστά σχεδόν αόρατο από τους ερευνητές των malware” αναφέρουν οι εμπειρογνώμονες της Emsisoft.
Τέλος, το CryptoLocker αναζητά όλα τα παραπάνω αρχεία και αρχίζει να τα κρυπτογραφεί χρησιμοποιώντας AES . Δυστυχώς , είναι αδύνατο να αποκρυπτογραφούν χωρίς το κλειδί AES , το οποίο είναι αποθηκευμένο στον C&C server και είναι προσβάσιμο μόνο από τον εισβολέα.
Σε περίπτωση που προβληθείτε από οποιοδήποτε Ransomware, μην υποκύψετε στον εκβιασμό του. Ζητήστε βοήθεια από κάποιον φίλο που έχει περισσότερες γνώσεις στους υπολογιστές.
Δείτε τις οδηγίες που είχαμε δημοσιεύσει παλαιότερα
Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam). Οι πληροφορίες εμφανίζονται στην αρχική σελίδα του browser του χρήστη από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο. Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Απλώς ακολουθήστε τα παρακάτω βήματα αντιμετώπισής του προκειμένου να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.
Αφαίρεση του Metropolitan Police Virus Malware1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών Safe Mode with Command Prompt. Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού Windows Advanced Options Menu όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.
2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.
3. Εν συνεχεία ανοίξτε τον Registry editor κάνοντας χρήση του Windows command prompt. Πληκτρολογήστε regedit και πατήστε Enter. Ο Registry Editor ανοίγει.
4. Εντοπίστε την ακόλουθη καταγραφή στη registry:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Στα δεξιά επιλέξτε το registry key ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify.
Η αρχική του τιμή είναι Explorer.exe.
Η “πειραγμένη” από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.
Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σε Explorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.
5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.
Πλήρης τοποθεσία: C:\Documents and Settings\Michael\Desktop\movie.exe
Επανέλθετε σε Normal Mode των Windows. Για να επανεκκινήσετε το σύστημά σας όντας σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.
6. Κατεβάστε το προτεινόμενο anti-malware software (Spyware Doctor) ή το GridinSoft Trojan Killer http://trojan-killer.net/download.php και τρέξτε ένα πλήρες system scan για να αφαιρεθούν τυχόν κατάλοιπα του ιού από τον υπολογιστή σας. Αυτό ήταν!
