04/10/2016

MarsJoke: program szyfrujący i lekarstwo

Porady Zagrożenia

Codziennie pojawiają się nowe wersje szkodliwych programów żądających okupu. Pomimo faktu, że organy ścigania coraz bardziej się przyglądają temu problemowi, ich twórcy wciąż są przekonani, że ransomware to ich bilet do raju.

polyglot-decryptor

Chociaż istnieje wiele różnych wersji programów żądających okupu, ich autorzy zaczęli się powtarzać lub kopiują pracę innych. Na przykład niedawno odkryty Trojan-cryptor Polyglot, znany także jako MarsJoke, to podróbka niesławnego (i jakże paskudnego) programu CTB-Locker.

Ślady CTB-Lockera widać niemal w każdym calu programu Polyglot. Jego interfejs absurdalnie przypomina starszego trojana. W taki sam sposób zmienia tapetę urządzenia ofiary i, podobnie jak CTB-Locker, pozwala odszyfrować pięć plików za darmo w ramach dowodu na to, że jest to możliwe.

Podobne są także instrukcje , które widzą ofiary — wygląda to tak, jakby ktoś skopiował i wkleił tekst. Nawet okno „Request failed”, które pojawia się w przypadku braku połączenia z internetem, wygląda tak samo.

polyglot-comparison-screen

Polyglot używa również takich samych algorytmów szyfrujących, które są stosunkowo silne.

Omawiane zagrożenie jest dystrybuowane w większości poprzez spam — wiadomości zawierają szkodliwe odnośniki rzekomo prowadzące do jakichś ważnych dokumentów. Oczywiście żadne dokumenty nie istnieją — jest za to archiwum ze szkodliwym plikiem wykonywalnym. Po zainstalowaniu Polyglot łączy się z serwerem kontroli, do którego wysyła informacje związane z zainfekowanym komputerem i który jest odpowiedzialny za okup. W naszym przypadku żąda on 0,7 bitcoina, czyli około 320 dolarów.

Jedyną wizualną różnicą pomiędzy CTB-Lockerem a jego nowym klonem jest ta, że MarsJoke/Polyglot pozostawia oryginalne rozszerzenia zaszyfrowanych plików, tymczasem CTB-Locker je zmieniał — zazwyczaj na .ctbl lub .ctb2.

Pomimo wyraźnych podobieństw pomiędzy zagrożeniami Polyglot a CTB-Locker są to dwa całkowicie oddzielne szkodliwe programy. Nie mają niemal ani kawałka wspólnego kodu. Według naszych ekspertów nadanie Polyglotowi wyglądu łudząco przypominającego program CTB-Locker miało na celu zmylenie badaczy.

polyglot-comparison-screen2
Na szczęście twórcy Polyglota popełnili błąd w generatorze kluczy, umożliwiając tym samym badaczom z Kaspersky Lab utworzenie bezpłatnego programu deszyfrującego

Jak może wiesz, nie istnieje znany sposób na odszyfrowanie plików zajętych przez CTB-Lockera — można tylko zapłacić okup z nadzieją na łaskę cyberprzestępców. Lecz Polyglot i CTB-Locker różnią się także „pod maską”: twórcy Polyglota popełnili błąd w generatorze klucza, umożliwiając tym samym badaczom z Kaspersky Lab utworzenie lekarstwa — darmowego narzędzia, które może odszyfrować wszystkie zajęte pliki.

Aby odszyfrować pliki zainfekowane przez zagrożenie Polyglot/MarsJoke, pobierz i zainstaluj darmowe narzędzie RannohDecryptor (w wersji 1.9.3.0 lub nowszej) ze strony noransom.kaspersky.com. Przywróci Ci ono utracone pliki.

Jeśli chodzi o Polyglot/MarsJoke, trzeba uczciwie przyznać, że dużą rolę odegrało tu szczęście. Twórcy tego szkodliwego programu nieustannie ulepszają swoje dzieła. Na przykład po trzykrotnym rozpracowaniu przez nas programu szyfrującego CryptXXX, jego autor zmienił algorytm szyfrowania na taki, z którym nasze narzędzia sobie już nie radzą. Być może twórca Polyglota podąży tą samą ścieżką, dlatego nie można polegać na nadziei, że w przypadku infekcji wybawi nas jakieś narzędzie deszyfrujące.

Najlepszym sposobem na uniknięcie problemów, jakie niesie ze sobą infekcja programem szyfrującym dane, jest zatrzymanie go, zanim wyrządzi szkody. Potrafi to robić dobry antywirus — taki jak Kaspersky Internet Security.

Ponadto zalecamy często wykonywanie kopii zapasowych i nie otwieranie podejrzanych załączników czy klikanie podejrzanych łączy.