14 czerwca 2016
Trojan.Encoder.4393, znany również pod nazwą CryptXXX, jest typowym trojanem ransomware. Posiada kilka modyfikacji rozpowszechnionych na całym świecie. Aby zarabiać pieniądze na jego nielegalnej aktywności, twórcy wirusów stworzyli specjalną usługę odpowiadającą za realizację odpłatnego odszyfrowywania plików. Pewna część kwot pochodzących z tych opłat trafia do osób dystrybuujących trojana. Wszystkie modyfikacje wirusa CryptXXX łączą się do jednego serwera C&C, a strony www oferujące płatną usługę deszyfracji plików wykorzystują sieć TOR. Szerokie rozpowszechnienie się w ujęciu geograficznym przypadków infekcji dowodzi wysokiej popularności wśród agresorów zarówno przeznaczonego do poboru opłat programu partnerskiego jak i samego trojana. Nazwy wszystkich zaszyfrowanych plików są uzupełniane rozszerzeniem *.crypt, a pliki zawierające żądania cyberprzestępców są zapisywane jako de_crypt_readme.txt, de_crypt_readme.html i de_crypt_readme.png.
Jeśli stałeś się ofiarą tego złośliwego programu, a pliki na Twoim komputerze zostały zaszyfrowane przed 1 czerwca 2016, to możliwe jest przywrócenie zaatakowanych danych, jednakże zależy to od kilku warunków i w szczególności od działań podejmowanych przez użytkownika.
- Nie usuwaj żadnych plików ze swojego komputera i / lub nie instaluj ponownie systemu operacyjnego. Zaleca się również zaniechanie używania zainfekowanego komputera do chwili uzyskania szczegółowych instrukcji od wsparcia technicznego Doctor Web.
- Jeśli uruchomiłeś skanowanie antywirusowe, nie próbuj leczyć lub usuwać wykrytych zagrożeń — specjaliści pomocy technicznej mogą ich potrzebować podczas poszukiwań klucza deszyfrującego.
- Staraj się zapamiętać tak dużo z okoliczności infekcji jak to tylko możliwe: zwróć uwagę na otrzymane podejrzane wiadomości e-mail, programy pobrane z Internetu, lub odwiedzone strony www.
- Jeśli posiadasz wiadomość e-mail z załącznikiem który zainfekował Twój komputer w chwili, gdy został otworzony, nie usuwaj go — nasi specjaliści mogą go potrzebować do identyfikacji wersji trojana.
Aby odszyfrować pliki zaatakowane wirusem CryptXXX, przejdź na stronę usługi odszyfrowywania plików Doctor Web. Darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników posiadających ważne komercyjne licencje Dr.Web i których systemy – w chwili infekcji – były chronione przez Dr.Web Security Space dla Windows lub przez Antywirusa Dr.Web dla OS X lub Linuxa (wersja 10 lub późniejsze) lub przez Dr.Web Enterprise Security Suite (wersje 6 i 10). Pozostali użytkownicy mogą zakupić Dr.Web Rescue Pack wysyłając standardowy formularz zgłoszenia: opłata za usługę zostanie naliczona, jeśli analiza wykaże, że Twoje pliki mogą być odzyskane. Oprócz tego klienci którzy skorzystają z tej usługi otrzymają darmową dwuletnią licencję na Dr.Web Security Space dla Windows dla 1 komputera. Aby dowiedzieć się więcej na temat trojanów ransomware, skorzystaj z tego linku.
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments