Sprečiti je lakše nego lečiti: destruktivni malver CryptoLocker

Opisi virusa, 14.10.2013, 10:10 AM

Malveri koji šifruju podatke na računarima koje su zarazili i zatim pokušavaju da iznude otkup za njih, nisu novost. Jedan od najstarijih malvera koji je bio napisan sa idejom da donese svom autoru zaradu je Trojanac AIDS Information iz 1989. Ovaj Trojanac bi 90 dana posle infekcije računara napravio pravu zbrku na računaru sakrivajući direktorijume i šifrujući imena svih fajlova na C disku zbog čega bi sistem postao beskoristan.

Zbog ovog malvera uhapšen je izvesni Dr Džozef Pop, međutim, zbog procene da je zbog psihičkih problema nesposoban za suđenje on nikada nije osuđen, pa ga je Velika Britanija kojoj je isporučen pošto je uhapšen na aerodromu u Amsterdamu i u kojoj je suđenje trebalo da bude održano, vratila u SAD.

Za razliku od malvera iz 1989. godine, koji je bio veoma jednostavan, autori malvera CryptoLocker su se potrudili da onemoguće vraćanje šifrovanih fajlova. Zato su stručnjaci kompanije Sophos odlučili da još jednom upozore korisnike na ovu veoma destruktivnu pretnju.

CryptoLocker se instalira u folderu Document and Settings, koristeći nasumično odabrano ime, i dodaje sebe listi programa u registru koje Windows učitava pri svakom pokretanju sistema.

Malver pokušava da se poveže sa serverima na domenima .biz, .co.uk, .com, .info, .net, .org i .ru, i kada uspe da se poveže sa nekim od servera on otprema mali fajl „CryptoLocker ID“.

Server generiše par javnog i privatnog ključa jedinstven za ID zaraženog računara i šalje javni ključ zaraženom računaru. Javni ključ zaključava fajlove, a privatni ih otključava.

Malver na računaru koristi javni ključ za enkripciju svih fajlova koje nađe na dugačkoj listi ekstenzija, na kojoj se nalaze fajlovi kao što su slike, dokumenti i spreadsheet-ovi.

Malver zatim prikazuje stranicu ostavljajući korisniku zaraženog računara ograničeno vreme, obično 100 sati, da kupi privatni ključ za svoje podatke, tražeći obično 300 dolara za tu „uslugu“.

Šta se dešava ako kupite privatni ključ, da li ćete tada vratiti svoje fajlove? Na ta pitanja nema odgovora, jer u SophosLabs nisu želeli da trguju sa kriminalcima.

Stručnjaci ove kompanije kažu da su do sada dobili veliki broj kodiranih dokumenata od korisnika koji se nadaju da oni mogu da im pomognu da povrate fajlove. Ali na žalost, rešenje ne postoji, jer kako sami kriminalci kažu, jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove nalazi se na tajnom serveru na internetu. Server će uništiti ključ nakon isteka roka koji je dat korisniku zaraženog računara. Nakon toga, niko i nikad neće moći da vrati fajlove.

CryptoLocker se najčešće širi putem emailova, u kojima je skriven u prilozima ali i putem botneta.

To znači da je prevencija infekcije malverom CryptoLocker moguća bar kad je reč o infekciji putem emaila: dovoljno je da ne otvarate priloge u emailovima koje niste očekivali ili koje vam šalju nepoznati ljudi.

Međutim, ako je računar već zaražen malverom koji omogućava kriminalcima dodatnu infekciju računara drugim malverima, onda se od CryptoLocker-a možete odbraniti samo tako što ćete uz pomoć pozdanog antivirusnog rešenja proveriti svoj računar i ukloniti malvere koji su već na računaru.

Ako praktikujete pravljenje rezervnih kopija (backup), onda povratak fajlova za vas neće biti veliki problem.

Prevencija je bolja od lečenja:

• Preuzimajte redovno dostupne zakrpe, neka vaš operativni sistem i programi budu ažurirani.

• Neka vam antivirus bude uvek aktivan i ažuriran.

• Ne otvarajte priloge u emailovima koje niste očekivali ili koje ste dobili od ljudi koje ne poznajete.

• Pravite rezervne kopije redovno, i čuvajte ih na sigurnom.