Użytkownicy, którzy mieli do czynienia z programami żądającymi okupu, przeważnie opisują całą historię tak: otwierasz jakąś stronę, a przy okazji na Twój komputer jest pobierany i instalowany jakiś program. Możesz tego nawet nie zauważyć. Po jakimś czasie na komputerze wyświetlany jest komunikat informujący o tym, że wszystkie Twoje pliki zostały zaszyfrowane przez trojana, który żąda pieniędzy za ich oddanie. Sprawdzasz, czy to prawda: rzeczywiście, nie możesz uzyskać dostępu do wszystkich swoich plików. Teraz zauważasz także, że do ich nazwy dodane zostało rozszerzenie .crypt.
Jeśli znajdziesz się w tej sytuacji, prawdopodobnie Twój system został zainfekowany programem CryptXXX. To podły trojan, który szyfruje pliki, kradnie dane osobiste i bitcoiny. Ale mamy też dobrą wiadomość: istnieje darmowe narzędzie, które może wyleczyć Twój system z tej infekcji.
Czym jest CryptXXX?
Jeśli szukasz instrukcji odszyfrowania plików, pomiń ten akapit — znajduje się ona poniżej. Teraz przytoczę kilka faktów na temat tego trojana.
15 kwietnia badacze z Proofpoint odkryli zupełnie nowy program żądający okupu (ang. ransomware), który używa zestawu exploitów o nazwie Angler w celu infekowania urządzeń z systemem Windows. Ponieważ cyberprzestępcy nie nadali mu żadnej nazwy, badacze określili go jako CryptXXX. Być może wybrali tę nazwę dlatego, że trojan ma brzydki zwyczaj dodawania rozszerzenia .crypt do nazw wszystkich zainfekowanych plików, a z kolei XXX jest drugim imieniem Anglera.
CryptXXX to całkiem interesująca próbka szkodliwego programu. Szyfruje on pliki na wszystkich załączonych pamięciach tuż po zainfekowaniu komputera. Aby wprowadzić zmieszanie i utrudnić wykrycie stron rozprzestrzeniających to malware, przestępcy zastosowali opóźnienie.
Po zakończeniu szyfrowania trojan tworzy poradniki w postaci pliku tekstowego, obrazu i strony internetowej w kodzie HTML. Obraz jest zestawem tapet (prawdopodobnie). Strona internetowa jest otwierana w przeglądarce, a plik tekstowy jest pozostawiany na dysku twardym na wszelki wypadek. Wszystkie poradniki niosą podobny komunikat.
Informują one ofiarę, że jej pliki zostały zaszyfrowane przy użyciu silnego algorytmu RSA4096 i w celu przywrócenia danych żądają zapłacenia 500 dolarów w bitcoinach. Użytkownik musi zainstalować przeglądarkę Tor i kliknąć odnośnik zawarty w poradniku w celu otworzenia strony typu onion, która zawiera szczegółowe instrukcje oraz formularz płatności. Przestępcy przygotowali nawet stronę z najczęściej zadawanymi pytaniami — a wszystko to, aby pomóc ofierze!
CryptXXX jest tak interesujący, jak zachłanny: nie tylko szyfruje pliki, ale także kradnie bitcoiny przechowywane na dysku twardym i kopiuje inne dane, które mogą być przydatne dla cyberprzestępców.
To obrzydliwe, ale mamy na to lekarstwo!
Zazwyczaj bardzo trudno jest znaleźć uniwersalny algorytm deszyfrujący dla nowoczesnego programu typu ransomware. To dlatego bardzo często jedyną rzeczą, jaką może zrobić ofiara, jest zapłacenie okupu. Oczywiście my tego nie zalecamy, chyba że jest to naprawdę ostateczność.
Na szczęście okazało się, że CryptXXX nie jest tak trudny do złamania. Eksperci z Kaspersky Lab utworzyli narzędzie, które może pomóc użytkownikom przywrócić ich pliki.
Narzędzie to nazywa się RannohDecryptor i zostało początkowo utworzone do deszyfrowania plików, które zostały zainfekowane programem Rannoh. Jednak wykazało ono dodatkowe funkcje, które w tym przypadku okazały się przydatne, i teraz może zostać użyte do wyleczenia Twoich plików z CryptXXX.
Zatem jeśli program CryptXXX przedostał się już do Twojego systemu, nie wszystko stracone. Aby przywrócić swoje pliki, potrzebujesz oryginalnej (niezaszyfrowanej) wersji przynajmniej jednego pliku, który został zaszyfrowany przez CryptXXX. Jeśli masz więcej plików, ta metoda zadziała.
Aby odszyfrować pliki:
- Pobierz nasze narzędzie i uruchom je.
- Otwórz Ustawienia i wybierz rodzaj napędów (wymienny, sieciowy lub dysk twardy), który chcesz poddać skanowaniu. Nie zaznaczaj opcji „Delete crypted files after decryption”, dopóki nie będziesz mieć 100% pewności, że odszyfrowane pliki otwierają się poprawnie.
- Kliknij odnośnik „Start scan” i wskaż miejsce, w którym znajduje się zaszyfrowany plik z rozszerzeniem .crypt (ten, dla którego masz pierwotną, niezaszyfrowaną wersję).
- Zostaniesz poproszony o wskazanie oryginalnego pliku.
- Następnie RannohDecryptor rozpocznie wyszukiwanie wszystkich innych plików posiadających rozszerzenie .crypt i spróbuje odszyfrować te, które ważą mniej niż oryginał. Im większy plik wskażesz, tym więcej plików będzie można odszyfrować.
Przygotuj się zawczasu!
Lepiej nie kusić losu i chronić się przed infekcją CryptXXX zawczasu. Nasze narzędzie deszyfrujące działa dzisiaj, ale przestępcy mogą wkrótce utworzyć nową, sprytniejszą wersję tego szkodliwego programu. Bardzo często oszuści zmieniają kod szkodliwych programów w taki sposób, aby odszyfrowanie zajętych plików było niemożliwe. Na przykład tak było z programem żądającym okupu TeslaCrypt: narzędzie, które wcześniej z powodzeniem leczyło zaszyfrowane pliki, teraz jest niemal bezużyteczne.
Pamiętajmy także, że CryptXXX kradnie dane osobiste i pieniądze oraz przesyła je przestępcom.
Aby chronić się przed tym i podobnymi zagrożeniami, postępuj zgodnie z naszymi wskazówkami:
- Regularnie wykonuj kopie zapasowe.
- Instaluj wszystkie ważne aktualizacje dla systemu i przeglądarek. Zestaw exploitów Angler, który jest wykorzystywane w infekcji CryptXXX, używa luk programowych do pobrania i zainstalowania tego typu programów.
- Zainstaluj dobry program zabezpieczający. Kaspersky Internet Security zapewnia wielowarstwową ochronę przed programami wymuszającymi zapłatę. Kaspersky Total Security może uzupełniać ochronę dzięki automatycznemu wykonywaniu kopii zapasowych.
Więcej informacji, jak chronić się przed ransomware’em, znajduje się tutaj.