20/12/2016

Trzecia wersja darmowego narzędzia do deszyfrowania plików zajętych przez CryptXXX

Porady Zagrożenia

W kwietniu 2016 roku pojawił się młody i ambitny trojan szyfrujący o nazwie CryptXXX. Był on dystrybuowany poprzez zestawy exploitów Angler i Neutrino. Jego autorzy z pewnością mieli nadzieję, że od chwili wypuszczenia go w świat będą mogli rozsiąść się wygodnie na kanapie i liczyć pieniądze, które lecą z kiszeni wprost do ich bitcoinowych portfeli. Jednak cała sytuacja nie poszła po ich myśli.

Klika dni po wykryciu trojana CryptXXX eksperci z Kaspersky Lab znaleźli błąd w algorytmie szyfrowania plików CryptXXX, dzięki czemu mogli utworzyć na nie „lekarstwo”. Pliki zajęte przez CryptXXX można odszyfrować darmowym narzędziem — RannohDecryptor.

Przestępcy musieli więc wstać z wygodnej kanapy i rozpocząć prace nad naprawieniem błędu. W efekcie zaczęli rozsyłać nową wersję zagrożenia, lecz kilka dni później nasi eksperci udostępnili kolejne antidotum dla tej wersji zagrożenia CryptXXX. RannohDecryptor został zaktualizowany — a ofiary trojana mogły ponownie odszyfrować swoje pliki bez konieczności płacenia okupu.

W tej sytuacji cyberprzestępcy zrezygnowali z odpoczynku i utworzyli trzecią wersję programu ransomware, z nadzieją, że nikt nigdy nie utworzy narzędzia, które cofnie działania ich trojana.

I niemal im się udało. Przez stosunkowo długi czas CryptXXX v.3 terroryzował ludzi na całym świecie, szyfrując pliki i żądając okupu za ich zwrócenie. Co więcej, trojan ten mógł też kraść dane uwierzytelniające z różnych aplikacji.

Dystrybucja nowej wersji rozpoczęła się w maju, a wg naszych ekspertów infekcja nim dotknęła około kilkuset tysięcy użytkowników. Same produkty Kaspersky Lab wykryły i uniemożliwiły około 80 000 prób infekcji komputerów programem CryptXXX v.3. Niemal 25% wszystkich ataków dotknęło użytkowników w Stanach Zjednoczonych, a 28% prób infekcji wykryto w Rosji, Niemczech, Japonii, Indii i Kanadzie.

Wiadomość z komunikatem żądającym okupu różni się w zależności od wersji trojana CryptXXX, jednak w większości jest podobna do tych przykładów

Wiadomość z komunikatem żądającym okupu różni się w zależności od wersji trojana CryptXXX, jednak w większości jest podobna do tych przykładów

Ale nic nie trwa wiecznie. Dlatego dzisiaj z radością informujemy, że nasi badacze po raz kolejny utworzyli narzędzie, dzięki któremu możliwe jest odszyfrowanie plików zmienionych przez trojana CryptXXX — czyli takich, które posiadają rozszerzenie .cryp1, .crypt i .crypz. Dodaliśmy tę funkcję do narzędzia RannohDecryptor, którą możecie znaleźć zarówno na naszej stronie, jak i na stronie NoMoreRansom.org.

Jeśli nie udało Ci się ustrzec przed zagrożeniem CryptXXX, wejdź na jedną z wyżej wymienionych stron, pobierz to narzędzie i odzyskaj swoje pliki. Nasze narzędzia są darmowe i pomogą Ci przywrócić pliki zarażone tym trojanem, więc nie będzie trzeba zapłacić cyberprzestępcom.

„Zwykle radzimy ofiarom dotkniętym przez różne rodziny programów żądających okupu, aby nigdy nie płaciły okupu, nawet jeśli aktualnie nie jest dostępne żadne narzędzie pozwalające odszyfrować daną wersję szkodliwego programu. Opłaca się być cierpliwym — prawdopodobieństwo, że w najbliższej przyszłości pojawi się odpowiednie narzędzie deszyfrujące, jest wysokie. Dobrym przykładem jest tutaj CryptXXX v.3. Wielu specjalistów zajmujących się bezpieczeństwem na całym świecie nieustannie pracuje nad tym, aby pomóc ofiarom programów żądających okupu. Wcześniej czy później powstanie rozwiązanie dla większości znanych programów typu ransomware” — powiedział Anton Ivanow, ekspert bezpieczeństwa w Kaspersky Lab.

Użytkownikom radzimy także, aby działali proaktywnie i chronili się zawczasu; znacznie łatwiej jest nie dopuścić do uszkodzenia plików w ten sposób. Wystarczy zastosować się do naszych wskazówek:

  1. Regularnie twórz kopie zapasowe swoich danych na nośniku wymiennym, który nie jest na stałe podłączony do komputera.
  2. Zainstaluj dobry program zabezpieczający. Według najnowszych badań nasz Kaspersky Internet Security jest ekstremalnie skuteczny w ochronie przed ransomware.