Cyberprzestępcy próbują wykorzystać wszystko, co cieszy się dużym zainteresowaniem. Nie inaczej jest z popularnymi grami. Szkodliwe programy często podszywają się pod pirackie kopie i wersje mobilne gier — w tym drugim przypadku szczególnie, gdy nie zostały one jeszcze oficjalnie udostępnione.
Niedawno pojawił się szyfrujący program ransomware o nazwie Syrk. Szkodliwy program podszył się pod pakiet modyfikacji (ang. cheat pack) do gry Fortnite. Warto tu wspomnieć, że w ciągu dwóch lat gra ta zbudowała bazę 250 mln użytkowników. Syrk obiecuje graczom dwie modyfikacje (ang. cheat) w jednym pakiecie: aimbot (narzędzie do automatycznego celowania) i WH (znana także jako ESP, modyfikacja ujawniająca lokalizację innych użytkowników w grze). Jednak w rzeczywistości wspomniany pakiet szyfruje pliki ofiary i żąda za nie zapłacenia okupu.
Jak działa ransomware Syrk
Jak poinformowali badacze z organizacji Cyren, Syrk to wierna kopia ransomware posiadającego otwarty kod źródłowy. Po uruchomieniu nawiązuje połączenie z serwerem kontroli i wyłącza następujące programy:
- Windows Defender,
- UAC (system, który żąda zgody użytkownika na wykonywanie działań na poziomie administratora),
- aplikacje służące do monitorowania procesów, które mogą wykrywać infekcje, np. Menedżer zadań, Monitor procesów czy Process Hacker.
Ponadto dodaje się on do listy programów uruchamianych automatycznie, tak aby użytkownik nie mógł go usunąć poprzez ponowne uruchomienie komputera. Jeśli z komputerem połączone są jakiekolwiek dyski USB, Syrk próbuje je zainfekować.
Następnie szkodliwy program lokalizuje i szyfruje pliki multimedialne, dokumenty tekstowe, arkusze kalkulacyjne i prezentacje, archiwa ZIP i RAR, jak również pliki programów Photoshop i Microsoft Visual Studio. Do zajętych plików dodaje rozszerzenie .SYRK.
Na monitorze wyświetlane jest niemożliwe do zamknięcia okno zawierające żądanie zapłaty okupu.
Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30/67 in VThttps://t.co/x7Y6Tz4NB1 pic.twitter.com/6e9wI8XTQR
— Leo (@leotpsc) August 1, 2019
Tekst wyświetlany na tle maski kojarzonej z mężczyzną znanym jako Guy Fawkes informuje, że jedynym sposobem na odzyskanie plików jest skontaktowanie się z cyberprzestępcami za pośrednictwem poczty e-mail i dokonanie zapłaty. Ofiara ma na to ograniczony czas: Syrk będzie usuwać zaszyfrowane pliki co dwie godziny — najpierw z folderu ze zdjęciami, następnie z pulpitu, a później przyjdzie czas na dokumenty użytkownika.
Odzyskaj swoje pliki za darmo
Mamy dobrą wiadomość: nawet jeśli szkodliwy program Syrk zainfekował Twój komputer i zaszyfrował Twoje dokumenty, nie musisz płacić okupu. Wersja, w której występuje aktualnie, zawiera klucz potrzebny do odszyfrowania plików na zainfekowanym sprzęcie. Klucz znajduje się w folderze C:UsersDefaultAppDataLocalMicrosoft, w pliku o nazwie -pw+.txt lub +dp-.txt.
Aby odzyskać swoje pliki:
- Skopiuj klucz.
- W oknie wyświetlającym informację o okupie kliknij Show My ID. Zostanie otwarta strona zawierająca Twój identyfikator oraz pole Enter the key to Decrypt your Files.
- Wklej klucz w przeznaczone do tego pole i kliknij Decrypt my Files.
Program rozpocznie przywracanie zaszyfrowanych zdjęć i dokumentów, a następnie utworzy i uruchomi dwa pliki .exe, które posprzątają pozostałości po szkodliwym programie.
Swoje pliki można też odzyskać w inny, choć trudniejszy sposób. Wspomniany szkodliwy program zawiera komponent deszyfrujący, który przywraca dokumenty, a więc można go znaleźć i uruchomić. Jednak w takim przypadku infekcję należy usunąć ręcznie.
Jak zapewnić sobie ochronę przed ransomware
Według badaczy dane usunięte przez program Syrk prawdopodobnie można odzyskać, jednak w tym celu może okazać się potrzebna pomoc profesjonalisty. Na tę chwilę możliwe jest odzyskiwanie plików przy użyciu lokalnie dostępnego klucza, jednak autorzy tego szkodliwego programu mogą za jakiś czas zmienić go tak, aby użytkownicy nie mieli możliwości odszyfrowania swoich plików, jeśli nie zapłacą okupu. Tradycyjnie najlepiej jest unikać infekcji ransomware.
- Nigdy nie pobieraj programów z niezaufanych źródeł, nawet jeśli oferują rzekomo niespotykane dodatki do gier. A zwłaszcza, jeśli obiecują niespotykane dodatki do gier.
- Twórz kopie zapasowe swoich plików i przechowuj je tak, aby nie można było uzyskać do nich dostępu bezpośrednio z komputera. Jeśli używasz dysków zewnętrznych lub pendrive’ów, podłączaj je do komputera tylko na czas wykonania kopii zapasowej.
- Zainstaluj niezawodny program zabezpieczający. Kaspersky Internet Security wykrywa zagrożenie Syrk jako szkodliwy obiekt, co oznacza, że nigdy nie zdobędzie on dostępu do Twoich plików, nawet jeśli będziesz próbować je pobrać i uruchomić.