Skoči na vsebino

Ransomcrypt se umirja

V petek, 13. aprila, smo na SI-CERT dobili prve prijave uporabnikov, ki so se okužili s trojancem Ransomcrypt. Ta po zagonu zašifrira datoteke na disku in prikaže sporočilo, v katerem zahteva plačilo 50 € “globe”. To pa naj bi plačali zaradi uporabe nelegalne programske opreme.

Ker je poleg dokumentov in slik Ransomcrypt zašifriral tudi bližnjice, je računalnik postal neuporaben, še posebej, če imate na računalniku administratorske pravice.

Ker smo prejeli več prijav že prvi dan, smo se tudi sami lotili analize trojanca. Na prvi pogled je šifriranje izgledalo kot dokaj enostavno XOR kodiranje, vendar je bilo to res le v začetku. O trojancu je poročalo več protivirusnih podjetij, ruski Dr. Web pa je prvi objavil, da je razvozlal način šifriranja datotek. Ta je odvisen od večih parametrov, vsaka različica pa vsebuje svojega. Uporablja se TEA algoritem (Tiny Encryption Algorithm), avtor pa lahko vsakič izbere nov ključ, njegovo dolžino, algoritem, število tekov, ter začetno in končno lokacijo šifriranja v datoteki.

V sodelovanju z Dr. Web smo vsem prijaviteljem pomagali dešifrirati datoteke, zadnjih par dni pa dobimo le še nekaj prijav na dan. Vsega skupaj 60 prijav, tako domačih uporabnikov, kot tudi podjetij. Še največ težav so imeli v podjetju, kjer sta na datotečnem strežniku dve delovni postaji zaporedoma zašifrirali datoteke, vsaka s svojim ključem.


število prijav Ransomcrypt okužb na dan

Po okužbi se trojanec naseli v uporabnikov %TEMP% direktorij in se aktivira ob dvokliku na zašifrirano datoteko. Več podrobnosti je na voljo v obvestilu SI-CERT 2012-06 / Trojanec Ransomcrypt, če pa poznate koga, ki je postal njegova žrtev, ga napotite na cert@cert.si (elektronska pošta),  facebook.com/sicert, ali twitter.com/sicert.

Preberite tudi

Lažna elektronska sporočila v imenu SURS ciljajo slovenska podjetja

Na SI-CERT-u smo v zadnjih dneh zaznali kampanjo lažnih elektronskih sporočil, v katerih se napadalci predstavljajo kot Statistični urad Republike Slovenije (SURS). Sporočila so namenjena predvsem podjetjem ter organizacijam, zlasti …
Več

Srečanje ALiEnS-SOC konzorcija

Konzorcij projekta ALiEnS-SOC se je 9. junija 2026 zbral na svojem drugem plenarnem srečanju v Ljubljani. Srečanje je gostil projektni partner Smartis v Kristalni palači, udeležili pa so se ga …
Več

Konzorcij projekta INTERCEPT pred dosego ključnega mejnika

Projekt INTERCEPT vstopa v pomembno fazo izvajanja. Konec junija 2026 bo projekt uradno dosegel svojo prelomnico, saj je že na polovici izvajanja, kar predstavlja pomemben mejnik vsakega evropskega projekta. Ta …
Več