Wirusy ransomware szyfrujące pliki są uważane na całym świecie za jedne z najbardziej niebezpiecznych zagrożeń. Szyfrują prywatne informacje i pliki użytkowników i żądają okupu za ich przywrócenie. Doctor Web już od dłuższego czasu zajmuje się trojanami tego typu. W niektórych przypadkach zaatakowane informacje mogą być przywrócone. Specjaliści Doctor Web opracowali metodę deszyfrowania dla plików zaatakowanych wirusem CryptXXX przed 1 czerwca 2016.

Trojan.Encoder.4393, znany również pod nazwą CryptXXX, jest typowym trojanem ransomware. Posiada kilka modyfikacji rozpowszechnionych na całym świecie. Aby zarabiać pieniądze na jego nielegalnej aktywności, twórcy wirusów stworzyli specjalną usługę odpowiadającą za realizację odpłatnego odszyfrowywania plików. Część kwot pochodzących z tych opłat trafia do osób dystrybuujących trojana. Wszystkie modyfikacje wirusa CryptXXX łączą się do jednego serwera C&C, a strony www oferujące płatną usługę deszyfracji plików wykorzystują sieć TOR. Szeroki zasięg geograficzny infekcji pokazuje dużą popularność wśród agresorów zarówno programu przeznaczonego do poboru opłat jak i samego trojana. Nazwy wszystkich zaszyfrowanych plików są uzupełniane rozszerzeniem *.crypt, a pliki zawierające żądania cyberprzestępców są zapisywane jako de_crypt_readme.txt, de_crypt_readme.html i de_crypt_readme.png.

Komunikat po infekcji CryptXXX

Jeśli stałeś się ofiarą tego złośliwego programu, a pliki na twoim komputerze zostały zaszyfrowane przed 1 czerwca 2016, to możliwe jest przywrócenie zaatakowanych danych. Zależy to jednak od kilku warunków, a w szczególności od działań podejmowanych przez użytkownika.

  • Nie usuwaj żadnych plików ze swojego komputera i / lub nie instaluj ponownie systemu operacyjnego. Zaleca się również zaniechanie używania zainfekowanego komputera do chwili uzyskania szczegółowych instrukcji od wsparcia technicznego Doctor Web.
  • Jeśli uruchomiłeś skanowanie antywirusowe, nie próbuj leczyć lub usuwać wykrytych zagrożeń — specjaliści pomocy technicznej mogą ich potrzebować podczas poszukiwań klucza deszyfrującego.
  • Staraj się zapamiętać tak dużo z okoliczności infekcji jak to możliwe: zwróć uwagę na otrzymane podejrzane wiadomości e-mail, programy pobrane z Internetu, lub odwiedzone strony www.
  • Jeśli posiadasz wiadomość e-mail z załącznikiem, który zainfekował twój komputer w chwili otwarcia, nie usuwaj go — specjaliści Doctor Web mogą go potrzebować do identyfikacji wersji trojana.

Aby odszyfrować pliki zaatakowane wirusem CryptXXX, przejdź na stronę usługi https://support.drweb-av.pl/n…

Darmowa usługa przywracania plików jest dostępna tylko dla użytkowników posiadających ważne komercyjne licencje Dr.Web i których systemy w chwili infekcji:

  • były chronione przez Dr.Web Security Space dla Windows
  • lub przez Antywirusa Dr.Web dla OS X lub Linuxa (wersja 10 lub późniejsze)
  • ub przez Dr.Web Enterprise Security Suite (wersje 6 i 10).

Pozostali użytkownicy mogą zakupić Dr.Web Rescue Pack wysyłając standardowy formularz zgłoszenia. Opłata za usługę zostanie naliczona tylko wówczas, jeśli analiza wykaże, że twoje pliki mogą zostać odzyskane. Oprócz tego klienci, którzy skorzystają z tej usługi otrzymają darmową dwuletnią licencję na Dr.Web Security Space dla Windows dla 1 PC na 24 miesiące. 

źródło: Doctor Web

Podziel się