10 listopada 2015

Analitycy bezpieczeństwa Doctor Web wynaleźli nową technikę odszyfrowywania, która pozwala na przywrócenie plików zaszyfrowanych przez niebezpieczne ransomware szyfrujące pliki nazwane Trojan.Encoder.2843, bardziej znane wśród użytkowników jako Vault.

Ta szczególna modyfikacja nazwana przez specjalistów Doctor Web Trojan.Encoder.2843 i dystrybuowana przez cyberprzestępców poprzez masowe mailingi, skrywała się pod postacią małego pliku zawierającego skrypt JavaScript. Ten plik, tuż po uruchomieniu, wypakowywał ze swojej zawartości aplikację zapewniającą działanie trojana. Ta wersja malware była dystrybuowana od 2-go listopada 2015.

Ten złośliwy program ma dość interesującą metodę działania. Po pierwsze, dodaje zaszyfrowaną bibliotekę łączoną dynamicznie (dynamic-link library -.DLL) do rejestru systemu Windows, a następnie wstrzykuje mały fragment kodu do procesu explorer.exe. Ten kod ładuje plik z rejestru do pamięci, odszyfrowuje go i przekazuje kontrolę do tego pliku.

Lista plików do zaszyfrowania jest również zapisana w rejestrze systemowym. Dla każdego pliku Trojan.Encoder.2843 generuje unikalny klucz zawierający duże litery alfabetu łacińskiego. Pliki są szyfrowane z użyciem Blowfish ECB, a klucz sesji jest szyfrowany algorytmem RSA z użyciem CryptoAPI. Nazwa każdego zaszyfrowanego pliku jest uzupełniana o rozszerzenie .vault.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która w większości przypadków, potrafi pomóc w odszyfrowaniu plików zaatakowanych przez to malware. Jeśli stałeś się ofiarą Trojan.Encoder.2843, postępuj zgodnie z poniższymi wskazówkami:

• Zawiadom policję.
• Pod żadnym pozorem nie próbuj rozwiązać problemu poprzez reinstalację, “optymalizację” lub “czyszczenie” systemu operacyjnego z użyciem dostępnych narzędzi.
• Nie kasuj żadnych plików ze swojego komputera.
• Nie próbuj przywracać zaszyfrowanych plików samodzielnie.
• Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania jest dostępna tylko dla osób, które zakupiły komercyjne licencje na produkty Dr.Web).
• Dołącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
• Poczekaj na odpowiedź od wsparcia technicznego. Z racji na dużą liczbę zgłoszeń, może to zająć trochę czasu.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.

Użyj funkcji Zapobiegania Utracie Danych aby chronić swoje dane przed ransomware szyfrującym pliki

Dostępne tylko w Dr.Web Security Space 10 i nowszych

Więcej na temat ransomware szyfrującego pliki

Prezentacje, tutoriale

Darmowe odszyfrowywanie plików