Tudi v Sloveniji se je pojavil škodljiv trojanec Ransomcrypt

Trojanski konj deluje tako, da po zagonu pregleda vse mape na računalniku ter vse dokumente, slike in bližnjice (.lnk) šifrira ter jim na konec imena doda podaljšek ".EnCiPhErEd". V vsaki mapi ustvari tudi datoteko "HOW TO DECRYPT.TXT" z navodilom, so sporočili iz mariborskega podjetja Amis, ki v Sloveniji zastopa finsko podjetje za računalniško varnost F-Secure.

Za odklep datotek virus zahteva 50 evrov V navodilu avtor zahteva, da mu uporabnik za odklep datotek na njegov račun na spletnih plačilnih storitvah Ukash ali Paysafecard nakaže 50 evrov. Za odklep ima uporabnik pet poizkusov vnosa kode, zatem se program izbriše in pusti na računalniku šifrirane datoteke.

Program tudi priredi nastavitve računalnika, tako da se ob odpiranju katerekoli šifrirane datoteke s podaljškom .EnCiPhErEd odpre izsiljevalno sporočilo, še navajajo v podjetju F-Secure in dodajajo, da njihove protivirusne rešitve trojanskega konja prepoznajo pod imenom Trojan:W32/Ransomcrypt.

Doslej v Sloveniji nekaj deset žrtev trojanca Vodja oddelka varnostnih rešitev v Amisu Sergeja Cvelfer je dejala, da je bilo po dostopnih informacijah doslej v Sloveniji nekaj deset žrtev tega trojanca. "Problematičen je predvsem v podjetjih, ker zakodira tudi datoteke na skupnih diskih. Dovolj je torej, da se en od računalnikov okuži in ta računalnik potem zakodira datoteke povsod, do koder ima uporabnik dostop," je pojasnila.

Slovenski center za obravnavo omrežnih incidentov (SI-CERT) je medtem danes prejel okrog 10 prijav okužb s trojancem Ransomcrypt, predvidevajo pa, da je žrtev vsaj še nekajkrat več. "Tudi od drugod prihajajo novice o tem konkretnem trojancu šele danes. Znane pa so podobne starejše različice že nekaj let," je pojasnil vodja centra Gorazd Božič.

Virus se širi preko zlorabljenih spletnih strani Glede tega, na kakšen način se omenjeni trojanec namesti na računalnik, Božič pojasnjuje, da je trenutni način širjenja preko zlorabljenih spletnih strani. Vdiralec lahko izkoristi slabo zaščito spletnega mesta tako, da nanj podtakne povezavo do svoje strani, ki je obiskovalcu nevidna, brskalnik pa ji sledi. Gre za t.i. drive-by download. Napadalec lahko izkoristi varnostne luknje, če uporabnik nima posodobljenega brskalnika ali njegovih komponent.

Vsem uporabnikom svetujejo, da redno izdelujejo varnostne kopije, s čimer se izognejo grožnjam z izgubo podatkov. Morebitnim žrtvam pa svetujejo, naj se obrnejo na SI-CERT preko elektronske pošte na naslov cert@cert.si ali preko telefona na 01 479 88 22. Ko bodo na voljo nove informacije o odpravi okužbe in dešifriranju datotek, jih bodo iz centra obvestili preko elektronske pošte. Ta trenutek namreč še nimajo na voljo dovolj informacij za izdelavo navodil za ročno odstranjevanje trojanca Ransomcrypt.

Uspešno dešifriranje datotek s programom ruskega podjetja Dr.Web Več uporabnikov po njihovih navedbah sicer poroča o uspešnem dešifriranju datotek z uporabo programa te94decrypt.exe ruskega protivirusnega podjetja Dr.Web. V centru SI-CERT pravijo, da programa še niso ustrezno analizirali, tako da ga uporabniki uporabljajo na lastno odgovornost - v centru uporabo programa priporočajo le naprednejšim uporabnikom. Pred uporabo svetujejo izdelavo kopije diska ali map s šifriranimi datotekami.

V Amisu medtem pravijo, da se datoteke da dešifrirati, in dodajajo, da se uporabniki za pomoč lahko obrnejo nanje. Uporabnikom nasploh pa za zaščito pred tem trojancem svetujejo predvsem to, da imajo nameščene popravke operacijskih sistemov in podpornih programov (Adobe Acrobat, Adobe Flash, Java).

Java povzročala težave tudi uporabnikom sistema Apple OS X "Predvsem preko Jave je zadnje čase veliko različnih okužb, saj se računalnik lahko okuži zgolj z obiskom spletne strani - brez da bi uporabnik kaj kliknil ali namestil. Zato se zadnje čase uporabnikom svetuje, da Javo odstranijo ali izklopijo, če je ne uporabljajo," pojasnjuje Cvelferjeva.

Java je te dni po njenih besedah težave povzročala tudi uporabnikom računalnikov z operacijskim sistemom Apple OS X, za katerega se je prav tako pojavil škodljiv program Flashback in se nameščal na računalnike. Ameriški tehnološki velikan Apple je že objavil posodobitev, s katero odpravlja ranljivost, ki jo izkorišča omenjeni program.

Celotno obvestilo centra SI-CERT je dostopno na povezavi www.cert.si