08/10/2019

Pomoc dla ofiar ransomware Yatron i FortuneCrypt

Informacje Zagrożenia

Ransomware było i nadal jest ogromnym kłopotem zarówno dla użytkowników, jak i ekspertów. Niełatwo jest odzyskać pliki zaszyfrowane przez to szkodliwe oprogramowanie, a w wielu przypadkach jest to nawet niemożliwe. Mamy jednak dobrą wiadomość dla ofiar szkodliwych programów o nazwie Yatron i FortuneCrypt: eksperci z firmy Kaspersky utworzyli i udostępnili narzędzia deszyfrujące dla plików, które zostały przez nie zajęte.

Jak odszyfrować pliki zaszyfrowane przez szkodliwy program Yatron

Ransomware Yatron bazuje na innym programie szyfrującym o nazwie Hidden Tear, którego historia jest dość niezwykła. Kilka lat temu turecki badacz Utku Sen utworzył ten szkodliwy program do celów edukacyjnych i badawczych, a następnie umieścił jego kod źródłowy w internecie. Obecnie zmagamy się z pokłosiem tej decyzji: eksperci co chwilę identyfikują bazujące na nim nowe programy ransomware, a Yatron to zaledwie jeden z przykładów.

Na szczęście w kodzie programu Yatron znaleziono luki, z których skorzystali nasi eksperci i przygotowali narzędzie deszyfrujące. Jeśli przy którymś z zablokowanych plików zobaczysz rozszerzenie *.yatron, wejdź na stronę No More Ransom i pobierz narzędzie, które potrafi je odszyfrować.

Jak odszyfrować pliki zajęte przez program FortuneCrypt

Drugi pakiet ransomware również trudno nazwać majstersztykiem — a może hakersztykiem? Zamiast używać zaawansowanych języków programowania typu C/C++ lub Python, autorzy FortuneCrypt wykorzystali język BlitzMax, który jest dość prosty i jest trudniejszą wersją BASIC. W historii naszych badań szkodliwego oprogramowania nigdy wcześniej nie spotkaliśmy tego języka.

Nasi eksperci odkryli, że algorytm szyfrujący tego szkodliwego programu jest daleki od ideału, dzięki czemu i tym razem mogli przygotować specjalne narzędzie deszyfrujące. Podobnie jak w przypadku programu Yatron, ofiary FortuneCrypt mogą pobrać narzędzie deszyfrujące z portalu No More Ransom.

Jak postępować w przypadku infekcji ransomware na komputerze

Po pierwsze, nie płać okupu. W ten sposób tylko zachęcisz cyberprzestępców, a odzyskanie danych wcale nie jest gwarantowane. W takim przypadku najlepiej skorzystać ze strony No More Ransom — która została przygotowana przez ekspertów z kilku firm cyberbezpieczeństwa i organów ścigania z całego świata (w tym Kaspersky, Interpol oraz holenderską policję), aby pomagać ofiarom ransomware. Na stronie tej znajdują się narzędzia deszyfrujące dla setek programów ransomware. Oczywiście wszystkie są dostępne do pobrania za darmo.

Jak zabezpieczyć się przed atakiem ransomware

Oto kilka porad, dzięki którym nie padniesz ofiarą takiego szkodliwego programu:

  • Nie pobieraj programów z nieznanych i podejrzanych stron internetowych. Nawet jeśli nazwa jakiegoś programu nie wzbudza podejrzeń, pakiet może zawierać coś zupełnie innego i niebezpiecznego.
  • Nie klikaj łączy oraz nie otwieraj załączników wiadomości e-mail pochodzących od nieznanych nadawców. Jeśli otrzymasz podejrzaną i niespodziewaną wiadomość od znajomego, skontaktuj się z tą osobą, aby sprawdzić, czy rzeczywiście możesz bezpiecznie otworzyć dany plik.
  • Upewnij się, że w systemie operacyjnym i programach zainstalowane są najnowsze aktualizacje. Dzięki temu wyeliminujesz luki, z których korzystają autorzy programów typu ransomware.
  • Zainstaluj niezawodną aplikację zabezpieczającą i nigdy jej nie wyłączaj, nawet jeśli żąda tego jakiś program.
  • Regularnie wykonuj kopie zapasowe istotnych danych oraz przechowuj je w chmurze, na pendrivie lub dysku zewnętrznym.