Posiadasz scrakowanego Photoshopa, MS Office lub sam Windows? Cryptolocker znowu szaleje

Analitycy zagrożeń z firmy ESET przechwycili nową wersję zagrożenia typu Cryptolocker, które po zainfekowaniu komputera szyfruje pliki użytkownika i żąda za ich odblokowanie okupu w Bitcoinach. Eksperci zwracają uwagę, że złośliwy program infekuje komputery swoich ofiar po uruchomieniu aplikacji, która rzekomo ma dawać możliwość aktywacji nielegalnych kopii systemu Windows, pakietu Office lub programu Photoshop.

Przechwycone przez ekspertów firmy ESET zagrożenie tytułuje się Cryptolockerem 2.0 i jest identyfikowane przez programy ESET jako Filecoder.D oraz Filecoder.E. Złośliwy program przedostaje się na dysk komputera pod postacią ... aplikacji, która ma rzekomo służyć do aktywacji pirackich kopii systemów Windows 7 oraz Windows 8, pakietu Office 2013 oraz programu Photoshop.

Uruchomienie programu powoduje zagnieżdżenie się zagrożenia na dysku komputera. Następnie Cryptolocker 2.0., podobnie jak swój poprzednik, rozpoczyna skanowanie komputera w poszukiwaniu interesujących go plików na dysku, by na końcu je zaszyfrować. Finalnie zagrożenie wyświetla okno z informacją o zablokowaniu dostępu do plików i możliwości przywrócenia do nich dostępu w zamian za okup w kryptowalucie Bitcoin.

Czym różni się nowy Cryptolocker 2.0 od swojej poprzedniej wersji? Główną zmianą w nowej wersji zagrożenia jest wskazywany przez ekspertów ESET inny algorytm szyfrujący - w wypadku Cryptolockera 2.0 stosowany jest słabszy algorytm 3DES. Starsza wersja zagrożenia korzystała z silniejszego algorytmu szyfrującego AES. Ponadto Cryptolocker 2.0 szyfruje nie tylko dokumenty, ale również pliki zawierające zdjęcia, muzykę oraz filmy (.mp3, .mp4, .jpg, .png, .avi, .mpg itd.). Tym samym, nowe zagrożenie mocniej uderza w użytkowników indywidualnych.

Najbardziej widoczną różnicą jest jednak żądanie okupu wyłącznie w kryptowalucie Bitcoin, a nie jak w poprzedniej wersji w postaci płatności Ukash, MoneyPak czy CashU. Dodatkowo Cryptolocker 2.0 nie wyświetla, jak miało to miejsce w wersji poprzedniej, zegara, który odlicza czas, jaki pozostał użytkownikowi na wpłacenie okupu. Zagrożenie informuje jedynie o dacie, w której zaszyfrowane dane zostaną usunięte z zainfekowanego komputera, jeśli okup nie zostanie wpłacony.

Według analityków zagrożeń z firmy ESET jest bardzo mało prawdopodobne, aby Cryptolocker i wykryty właśnie Cryptolocker 2.0 były dziełem jednej osoby. Przemawiają za tym różne języki programowania, wykorzystane podczas tworzenia Cryptolockera i wersji 2.0 - powstały one odpowiednio w C++ i w C#.

Jak uchronić się przed Cryptolockerem 2.0?

Przed infekcją chronią m.in. najnowsze aplikacje antywirusowe firmy ESET. Eksperci podkreślają jednak, że jeśli pliki zostały już zaszyfrowane, to usunięcie Cryptolockera 2.0 z systemu nie wystarczy, by odzyskać dostęp do danych. Jedynym skutecznym rozwiązaniem jest wówczas skorzystanie z aktualnej kopii zapasowej danych.

źródło: ESET

Pełen raport do przeczytania [ tutaj ]



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.