Lietotāji, kas ir cietuši no šifrētājprogrammas Polyglot, tagad var atgūt piekļuvi datnēm, izmantojot bezmaksas atšifrēšanas rīku RannohDecryptor, ko ir izlaidis Kaspersky Lab.
Eksperti izveido atslēgu datu atgūšanai no šifrētāja Polyglot
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Trojas zirgs, kas ir pazīstams ar nosaukumu MarsJoke, tiek izplatīts ar surogātpasta vēstulēm, kurās ir ietverts RAR arhīvs ar kaitīgu izpildāmo datni. Kad Polyglot ir ieviesies sistēmā, tas nekādi ārēji nemaina lietotāja datnes, bet bloķē piekļuvi tām. Kad šifrēšana ir pabeigta, Trojas zirgs nomaina darbvirsmas fonu un pēc tam parāda logu ar izpirkuma maksas bitkoinos pieprasījumu. Ja samaksa netiek veikta uzbrucēju norādītajā termiņā, Trojas zirgs atstāj datnes šifrētas un pašizdzēšas no inficētās ierīces.
Jaunā šifrētājprogramma ir ļoti līdzīga sen zināmajam CTB-Locker, lai gan kopīgs kods abos Trojas zirgos netika konstatēts. Polyglot atkārto CTB-Locker pilnīgi visā: gandrīz identiski grafisko saskarņu logi, no upura pieprasīto darbību secība, lai saņemtu atslēgu, samaksas lapa, darbvirsmas foni un citi elementi.
Kiberdrošības eksperti rūpīgi izpētīja jauno ļaunprogrammatūru un konstatēja, ka atšķirībā no CTB-Locker tā izmanto diezgan nedrošu atslēgas ģenerēšanas algoritmu. Tas ļāva ar pārlasīšanas metodi ātri atrast atslēgu un izveidot rīku, kas palīdz ļaunprogrammatūras upuriem atjaunot šifrētās datnes.
«Lai nepieļautu ierīces inficēšanu ar šifrētājprogrammu, ir jāizmanto uzticami drošības risinājumi, kas ietver vismodernākās tehnoloģijas. Trojas zirga Polyglot analīze parādīja, ka lietotājiem var paveikties, ja uzbrukusī ļaunprogrammatūra ietver kļūdas vai tās rakstīšanā ir izmantots algoritms, kas nav izturīgs pret uzlaušanu. Tādā gadījumā ir izredzes ātri un nesāpīgi atgūt piekļuvi datnēm. Bet nevajadzētu paļauties uz veiksmi vien. Šis gadījums drīzāk ir izņēmums, nevis norma, tāpēc mēs iesakām visiem lietotājiem laikus parūpēties par aizsardzību pret šifrētājprogrammām,» paskaidro Kaspersky Lab vecākais antivīrusu analītiķis Antons Ivanovs.
Visi Kaspersky Lab risinājumi atklāj jauno ļaunprogrammatūru kā Trojan-Ransom.Win32.Polyglot vai PDM:Trojan.Win32.Generic. Par tās tehniskajām īpašībām sīkāk var izlasīt interneta vietnē Secuirelist.com.