Lažni CTB-Locker, ransomware Polyglot: Kaspersky Lab našao rešenje za žrtve ovog ransomwarea

Opisi virusa, 05.10.2016, 01:00 AM

Kaspersky Lab objavio je alat za dešifrovanje fajlova koje je šifrovao ransomware Polyglot, poznat i pod nazivom MarsJoke.

Polyglot je ransomware koji se širi preko spam emailova koji sadrže RAR fajl.

Tokom enkripcije, Polyglot ne menja nazive fajlova na inficiranom računaru, ali onemogućava korisnika da im pristupi.

Kada se proces enkripcije završi, slika na radnoj površini se zamenjuje obaveštenjem o otkupnini. Isplata se vrši bitcoinima, a ako žrtva ne plati na vreme, ransomware će se obrisati sa računara a fajlovi ostaju šifrovani.

Polyglot na prvi pogled liči na čuveni ransomware CTB-Locker, mada je detaljna analiza malvera koju su sproveli stručnjaci Kaspersky Laba pokazala da nema sličnosti između kodova dva malvera.

Polyglot imitira CTB-Locker na sve načine. On ima skoro identičan grafički interfejs, sličan postupak za dobijanje ključa za dešifrovanje fajlova, sličnu stranicu za plaćanje, sliku na desktopu i drugo. Autori Polyglota očigledno su imali ideju da bi ransomware koji liči na CTB-Locker mogao da prevari žrtve tako da one poveruju da su im računari inficirani opasnim malverom i da nemaju drugu mogućnost osim da plate kriminalcima.

Stručnjaci Kaspersky Laba pažljivo su analizirali mehanizam enkripcije i otkrili da za razliku od CTB-Lockera, Polyglot koristi slabiju enkripciju. Ta slabost omogućila je stručnjacima Kaspersky Laba da razviju alate koji mogu pomoći žrtvama da dešifruju svoje podatke.

"Ovaj slučaj nas uči da nikad ne treba odustati: ransomware je postao ozbiljan problem za sve korisnike, ali ponekad je moguće naći rešenje", kaže Anton Ivanov, viši analitičar malvera u kompaniji Kaspersky Lab. "U ovom slučaju, autori malvera su napravili grešku, omogućavajući razbijanje enkripcije. Međutim, korisnici ne bi trebalo da se oslanjaju na sreću kada je reč o ransomwareima. Ovaj slučaj je pre izuzetak nego pravilo, pa stoga savetujemo svim korisnicima da proaktivno zaštite svoje uređaje koristeći pouzdana bezbednosna rešenja i vodeći računa o tome da su uključene sve anti-enkripcijske tehnologije.

Žrtve ransomwarea Polyglot alat mogu preuzeti klikom na link. Alati za dešifrovanje fajlova koje su šifrovali neki drugi ransomwarei su dostupni na sajtu No More Ransom projekta koji je zajednička inicijativa Kaspersky Laba, Intel Securityja, Nacionalne jedinice za visokotehnološki kriminal holandske policije i Europolovog Evropskog centra za sajber kriminal. Primarni cilj projekta je da pomogne žrtvama ransomwarea da vrate svoje podatke bez plaćanja kriminalcima.