Skoči na vsebino

Ransomcrypt se umirja

V petek, 13. aprila, smo na SI-CERT dobili prve prijave uporabnikov, ki so se okužili s trojancem Ransomcrypt. Ta po zagonu zašifrira datoteke na disku in prikaže sporočilo, v katerem zahteva plačilo 50 € “globe”. To pa naj bi plačali zaradi uporabe nelegalne programske opreme.

Ker je poleg dokumentov in slik Ransomcrypt zašifriral tudi bližnjice, je računalnik postal neuporaben, še posebej, če imate na računalniku administratorske pravice.

Ker smo prejeli več prijav že prvi dan, smo se tudi sami lotili analize trojanca. Na prvi pogled je šifriranje izgledalo kot dokaj enostavno XOR kodiranje, vendar je bilo to res le v začetku. O trojancu je poročalo več protivirusnih podjetij, ruski Dr. Web pa je prvi objavil, da je razvozlal način šifriranja datotek. Ta je odvisen od večih parametrov, vsaka različica pa vsebuje svojega. Uporablja se TEA algoritem (Tiny Encryption Algorithm), avtor pa lahko vsakič izbere nov ključ, njegovo dolžino, algoritem, število tekov, ter začetno in končno lokacijo šifriranja v datoteki.

V sodelovanju z Dr. Web smo vsem prijaviteljem pomagali dešifrirati datoteke, zadnjih par dni pa dobimo le še nekaj prijav na dan. Vsega skupaj 60 prijav, tako domačih uporabnikov, kot tudi podjetij. Še največ težav so imeli v podjetju, kjer sta na datotečnem strežniku dve delovni postaji zaporedoma zašifrirali datoteke, vsaka s svojim ključem.


število prijav Ransomcrypt okužb na dan

Po okužbi se trojanec naseli v uporabnikov %TEMP% direktorij in se aktivira ob dvokliku na zašifrirano datoteko. Več podrobnosti je na voljo v obvestilu SI-CERT 2012-06 / Trojanec Ransomcrypt, če pa poznate koga, ki je postal njegova žrtev, ga napotite na cert@cert.si (elektronska pošta),  facebook.com/sicert, ali twitter.com/sicert.

Preberite tudi

SI-CERT s prenovljenim spletnim mestom

Glavna vodila pri prenovi so bila: bolj jasna vsebinska struktura, enostavna navigacija za obiskovalce in hitrejša orientacija na vstopni strani. V skladu z našimi zakonsko predpisanimi nalogami smo na najvidnejše mesto postavili aktualno varnostno obvestilo.
Več

“Kripto zlorabe” Twitter računov

V sredo, 15. 7 .2020, je bila družbena platforma Twitter tarča dosedaj najbolj odmevnega kibernetskega napada.
Več

SI-CERT prejel Slovensko veliko nagrado varnosti za program Varni na internetu

SI-CERT je letos prejel Slovensko veliko nagrado varnosti za program Varni na internetu
Več