14 czerwca 2016

Wirusy ransomware szyfrujące pliki są uważane na całym świecie za jedne z najbardziej niebezpiecznych zagrożeń. Szyfrują prywatne informacje i pliki użytkowników i żądają okupu za ich przywrócenie. Na dziś istnieje wiele programów ransomware, a Doctor Web już od dłuższego czasu z powodzeniem zajmuje się trojanami tego typu. W niektórych przypadkach zaatakowane informacje mogą być przywrócone — przykładowo nasi specjaliści opracowali metodę deszyfrowania dla plików zaatakowanych wirusem CryptXXX przed 1 czerwca 2016.

Trojan.Encoder.4393, znany również pod nazwą CryptXXX, jest typowym trojanem ransomware. Posiada kilka modyfikacji rozpowszechnionych na całym świecie. Aby zarabiać pieniądze na jego nielegalnej aktywności, twórcy wirusów stworzyli specjalną usługę odpowiadającą za realizację odpłatnego odszyfrowywania plików. Pewna część kwot pochodzących z tych opłat trafia do osób dystrybuujących trojana. Wszystkie modyfikacje wirusa CryptXXX łączą się do jednego serwera C&C, a strony www oferujące płatną usługę deszyfracji plików wykorzystują sieć TOR. Szerokie rozpowszechnienie się w ujęciu geograficznym przypadków infekcji dowodzi wysokiej popularności wśród agresorów zarówno przeznaczonego do poboru opłat programu partnerskiego jak i samego trojana. Nazwy wszystkich zaszyfrowanych plików są uzupełniane rozszerzeniem *.crypt, a pliki zawierające żądania cyberprzestępców są zapisywane jako de_crypt_readme.txt, de_crypt_readme.html i de_crypt_readme.png.

Jeśli stałeś się ofiarą tego złośliwego programu, a pliki na Twoim komputerze zostały zaszyfrowane przed 1 czerwca 2016, to możliwe jest przywrócenie zaatakowanych danych, jednakże zależy to od kilku warunków i w szczególności od działań podejmowanych przez użytkownika.

• Nie usuwaj żadnych plików ze swojego komputera i / lub nie instaluj ponownie systemu operacyjnego. Zaleca się również zaniechanie używania zainfekowanego komputera do chwili uzyskania szczegółowych instrukcji od wsparcia technicznego Doctor Web.
• Jeśli uruchomiłeś skanowanie antywirusowe, nie próbuj leczyć lub usuwać wykrytych zagrożeń — specjaliści pomocy technicznej mogą ich potrzebować podczas poszukiwań klucza deszyfrującego.
• Staraj się zapamiętać tak dużo z okoliczności infekcji jak to tylko możliwe: zwróć uwagę na otrzymane podejrzane wiadomości e-mail, programy pobrane z Internetu, lub odwiedzone strony www.
• Jeśli posiadasz wiadomość e-mail z załącznikiem który zainfekował Twój komputer w chwili, gdy został otworzony, nie usuwaj go — nasi specjaliści mogą go potrzebować do identyfikacji wersji trojana.

Aby odszyfrować pliki zaatakowane wirusem CryptXXX, przejdź na stronę usługi odszyfrowywania plików Doctor Web. Darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników posiadających ważne komercyjne licencje Dr.Web i których systemy – w chwili infekcji – były chronione przez Dr.Web Security Space dla Windows lub przez Antywirusa Dr.Web dla OS X lub Linuxa (wersja 10 lub późniejsze) lub przez Dr.Web Enterprise Security Suite (wersje 6 i 10). Pozostali użytkownicy mogą zakupić Dr.Web Rescue Pack wysyłając standardowy formularz zgłoszenia: opłata za usługę zostanie naliczona, jeśli analiza wykaże, że Twoje pliki mogą być odzyskane. Oprócz tego klienci którzy skorzystają z tej usługi otrzymają darmową dwuletnią licencję na Dr.Web Security Space dla Windows dla 1 komputera. Aby dowiedzieć się więcej na temat trojanów ransomware, skorzystaj z tego linku.