Skoči na vsebino

Ransomcrypt se umirja

V petek, 13. aprila, smo na SI-CERT dobili prve prijave uporabnikov, ki so se okužili s trojancem Ransomcrypt. Ta po zagonu zašifrira datoteke na disku in prikaže sporočilo, v katerem zahteva plačilo 50 € “globe”. To pa naj bi plačali zaradi uporabe nelegalne programske opreme.

Ker je poleg dokumentov in slik Ransomcrypt zašifriral tudi bližnjice, je računalnik postal neuporaben, še posebej, če imate na računalniku administratorske pravice.

Ker smo prejeli več prijav že prvi dan, smo se tudi sami lotili analize trojanca. Na prvi pogled je šifriranje izgledalo kot dokaj enostavno XOR kodiranje, vendar je bilo to res le v začetku. O trojancu je poročalo več protivirusnih podjetij, ruski Dr. Web pa je prvi objavil, da je razvozlal način šifriranja datotek. Ta je odvisen od večih parametrov, vsaka različica pa vsebuje svojega. Uporablja se TEA algoritem (Tiny Encryption Algorithm), avtor pa lahko vsakič izbere nov ključ, njegovo dolžino, algoritem, število tekov, ter začetno in končno lokacijo šifriranja v datoteki.

V sodelovanju z Dr. Web smo vsem prijaviteljem pomagali dešifrirati datoteke, zadnjih par dni pa dobimo le še nekaj prijav na dan. Vsega skupaj 60 prijav, tako domačih uporabnikov, kot tudi podjetij. Še največ težav so imeli v podjetju, kjer sta na datotečnem strežniku dve delovni postaji zaporedoma zašifrirali datoteke, vsaka s svojim ključem.


število prijav Ransomcrypt okužb na dan

Po okužbi se trojanec naseli v uporabnikov %TEMP% direktorij in se aktivira ob dvokliku na zašifrirano datoteko. Več podrobnosti je na voljo v obvestilu SI-CERT 2012-06 / Trojanec Ransomcrypt, če pa poznate koga, ki je postal njegova žrtev, ga napotite na cert@cert.si (elektronska pošta),  facebook.com/sicert, ali twitter.com/sicert.

Preberite tudi

SI-CERT TZ017 / Analiza nalagalnika HijackLoader

Opis zlonamernega CAPTCHA preverjanja smo objavili v varnostnem obvestilu, ta tehnični zapis pa opisuje analizo in delovanje najpogosteje prenešenega nalagalnika v kombinaciji s tem tipom okužbe - HijackLoader.
Več

Spletni seminar o naprednih napadih na podjetja

Spletni seminar o sodobnih naprednih in ciljanih napadih družbenega inženiringa na organizacije.
Več

SI-CERT na vaji Locked Shields 2025 – pogled skozi oči tekmovalca

Slovenija je skupaj z ekipo Italije in Nacionalne garde ameriške zvezne države Kolorado sodelovala na največji in najzahtevnejši vaji kibernetske varnosti na svetu Locked Shields 2025. Skupna ekipa je osvojila odlično …
Več