Skoči na vsebino

SI-CERT 2012-06 / Trojanec Ransomcrypt

Opis

Prejeli smo več prijav okužb s trojanskim konjem Ransomcrypt. Ob okužbi sistema trojanec zašifrira dokumente in slike, ter zahteva od uporabnika nakazilo 50 € preko plačilnega sistema PaySafeCard. Šifrirane datoteke imajo podaljšek .EnCiPhErEd ali .Bl9c98vcvv. Ob plačilu naj bi storilec poslal ustrezno kodo za razšifriranje datotek. Trenutno še nimamo podatkov na kakšen način se okužba širi, domnevamo pa da gre za t.i. “Drive-by-download” napad, pri katerem napadalec vdre na legitimne spletne strani in vanje vstavi zlonamerno kodo, ki poskuša okužiti računalnike obiskovalcev te strani preko ene od ranljivosti na sistemu.

Rešitev

Rešitev obsega dve fazi: odprava okužbe in restavriranje datotek.

1. Odprava okužbe

Večina antivirusnih programov že zazna in onemogoči prvo verzijo trojanskega konja, nekaj jih ima še težave pri odkrivanju druge verzije. Opravite posodobitev protivirusnega programa in preglejte računalnik. Odprava okužbe zelo verjetno ne bo poskrbela tudi za restavriranje vaših datotek. Trojanec ransomcrypt se po okužbi nahaja v datoteki %TEMP%/vQVykYApjMM758B.exe oz %TEMP%/RYiGElV1ZFlQ3US.exe. Po odstranitvi teh datotek sam zlonamerni program sicer odstranimo iz sistema, vendar pa datoteke še vedno ostanejo zašifrirane. Pri ročnem odstranjevanju okužbe svetujemo tudi izbris ustreznih zagonskih ključev ter odstranitev definicije vrste datotek “CRYPTED!”.

2. Restavriranje datotek

Do sedaj je vsem uporabnikom, ki so se obrnili na našo pomoč, datoteke uspelo restavrirati z uporabo programa te94decrypt.exe ruskega protivirusnega podjetja Dr.Web. Uporabo programa priporočamo le naprednejšim uporabnikom in ob predhodni izdelavi varnostnih kopij. Ob napačni uporabi namreč lahko okvari datoteke ali jih le delno restavrira.

Program zaženete  preko ukazne vrstice (Windows tipka + r, vpišete cmd in pritisnete Enter) in z ukaznim parametrom -k 85, -k 87, -k 88,  ali -k 90, če so vaše datoteke dobile podaljšek .EnCiPhErEd, ali pa s parametrom -k 91, če je podaljšek .Bl9c98vcvv. Ker je lahko različic trojanca več, raje predhodno kontaktirajte avtorja programa (Dr. Web) preko povezave v njihovem obvestilu (v angleščini), ali pa nam pošljite eno od zakriptanih datotek (še najbolje .jpg, lahko tudi .pdf ali .doc) po elektronski pošti na naslov cert@cert.si, da vam bomo sporočili, kateri parameter morate uporabiti. Zaradi velikega števila zahtev, ki jih trenutno prejemamo, lahko pride do krajše zamude pri odgovoru. Ponovno poudarjamo, da si lahko z neustreznim poskusom odkodiranja datoteke še dodatno okvarite. Pri uporabi napačnega parametra lahko program javi uspešno restavriranje datotek, vendar so te še vedno poškodovane in neuporabne.

Priporočamo, da nekaj zašifriranih datotek najprej poskušate restavrirati s pomočjo programa te94decrypt.exe na neokuženem sistemu, po uspešni restavraciji pa morate datoteke obvezno tudi odpreti in preveriti, če niso morda še vedno okvarjene. Ko se boste prepričali, da so datoteke v redu restavrirane, lahko sprožite postopek restavriranja z istim ukazom še na zlorabljenem sistemu.

Posnetek zaslona, ki prikazuje pojavno okno in restavriranje datotek s programom
Restavriranje datotek s programom

DODATNO OPOZORILO PRI UPORABI PROGRAMA: Program te94decrypt.exe pri uspešnem restavriranju datotek ne izbriše zašifriranih datotek, zato lahko pride to težav zaradi pomanjkanja prostora na disku, sploh če je bilo šifriranih večje število datotek. Uporabnikom močno svetujemo, da ta program uporabijo zgolj v primeru, ko imajo na disku dovolj prostora. Če se program ponovno zažene, šifrirane datoteke ponovno restavrira, kar še bolj poveča zasedenost diska, pri tem pa restavriranim datotekam na koncu imena doda (0), npr. datoteka.doc(0), zato se jih brez ročnega preimenovanja ne da več odpreti z dvojnim klikom.

OPOZORILO PRI RESTAVRIRANJU DATOTEK IZ OMREŽNIH DISKOV: Pri okužbi več računalnikov, ki dostopajo do istih omrežnih diskov, z različnimi verzijami trojanca, se lahko zgodi, da se različni dokumenti zašifrirajo na različen način. V tem primeru je potrebno sprožiti več postopkov restavriranja.

Varnostne kopije (backup)

Če redno izdelujete varnostne kopije, lahko zašifrirane datoteke restavrirate iz njih. Če še ne izdelujete varnostnih kopij, si oglejte osnovne napotke na našem portalu varninainternetu.si. Z izdelavo varnostnih kopij se zaščitite pred izgubo podatkov zaradi strojnih in programskih napak, ali v primeru računalniškega vdora ali okužbe. Trojanec zašifrira tudi datoteke na zunanjih diskih, zato je uspešnost restavracije datotek odvisna od metode izdelave varnostnih kopij.

Povezave

Seznam sprememb

13.4.2012, 16:30, posodobljeno 23:30

Obveščeni smo bili o novi varianti trojanskega konja, ki datoteke šifrira s končnico .Bl9c98vcvv. Na testnem sistemu smo te datoteke uspešno restavrirali s programom te94decrypt.exe z ukaznim parametrom -k 91.

14.4.2012, 12:07, posodobljeno 12:54

Dopolnitev besedila z novo različico in opisom nekaterih značilnosti programa.

15.4.2012, 0:30

Dopolnitev obvestila z opozorilom pri uporabi programa te94decrypt.exe pri disku s premalo prostega prostora.

17.4.2012, 15:30, posodobljeno 18.4. ob 16:05

Dopolnitev obvestila z navodili za restavriranje datotek

Preberite tudi

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več

SI-CERT 2024-01 / Ranljivosti Ivanti Connect Secure VPN

Ivanti je obvestil o dveh 0-day ranljivostih v Ivanti Connect Secure VPN (v preteklosti Ivanti Pulse Secure). Izraba verige ranljivosti omogoča neavtenticiranemu uporabniku izvajanje poljubnih ukazov na sistemu.
Več