Image
13.6.2016 0 Comments

Štafetu po odstavenom ransomvéri TeslaCrypt prebral Crysis. Eset má nástroj na bezplatné dešifrovanie

Neslávne známy ransomvér TeslaCrypt, ktorý bol jedným z mnohých ransomvérov šifrujúcich údaje na infikovaných zariadeniach, skončil so svojou činnosťou pred viac než dvoma týždňami. Aj napriek tomu však operátori škodlivých kódov, ktorí za odšifrovanie zablokovaných údajov žiadajú výkupné, nestratili na sile.

Po vlnách infekcií škodlivými kódmi JS/TrojanDownloader.NemucodJS/Danger.ScriptAttachment, ktoré zasiahli aj Slovensko a do infikovaných zariadení sťahovali verzie ransomvéru Locky, by sa mohlo zdať, že práve Locky preberie územie opustené TeslaCryptom. Štatistiky ESET LiveGrid však hovoria niečo iné. Podľa nich je novým hráčom na trhu Win32/Filecoder.Crysis.

„Naše analýzy ukazujú, že tento ransomvér dokáže šifrovať súbory na pevných, vymeniteľných i sieťových diskoch. Zároveň používa silné šifrovacie algoritmy,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET.

Počas výskumu videl ESET viacero spôsobov, ktorými sa tento škodlivý kód šíri. „Vo väčšine prípadov sa ransomvér Crysis distribuuje ako príloha spamových e-mailov, konkrétne použitím dvojitej prípony. Použitím tejto jednoduchej, ale efektívnej metódy sa spustiteľné súbory zdajú nespustiteľné,“ vysvetľuje Kubovič. Ďalší spôsob, ktorý používajú útočníci na šírenie tohto malvéru, je maskovanie škodlivých súborov za neškodné inštalátory viacerých legitímnych aplikácií. Tie následne šíria cez viaceré weby a zdieľané siete.

Svoju vytrvalosť ukazuje Crysis aj tým, že prestaví hodnoty registrov tak, aby bol spustený po každom štarte. Po spustení Crysis na zariadení zašifruje všetky typy súborov (aj tie bez prípony), bez zmeny ponechá len nevyhnutné súbory operačného systému a  škodlivého kódu. Trójsky kôň zozbiera názov počítača a niekoľko zašifrovaných súborov a pošle ich na vzdialený server, ktorý kontrolujú útočníci. V niektorých verziách operačného systému Windows sa pokúša spúšťať sám seba s administrátorskými právami, čím rozširuje zoznam súborov, ktoré môže zašifrovať.

Po ukončení šifrovania umiestni na pracovnú plochu súbor s názvom How to decrypt your files.txt (Ako si odšifrujete súbory). Prvotná informácia obsahuje len dve e-mailové adresy na útočníkov. Po nadviazaní kontaktu dostane obeť inštrukcie aj s výškou výkupného, ktoré sa pohybuje v hodnote od 400 do 900 eur. Obeť ich má uhradiť prostredníctvom digitálnej meny bitcoin.

Ak ste jednou z obetí odstaveného ransomvéru TeslaCrypt, ESET vytvoril bezplatný dešifrovací nástroj, ktorý vám pomôže dostať sa späť k svojim súborom.

Zobrazit Galériu
Autor: TS ESET

Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá