LJUBLJANA – Slovenski center za obravnavo omrežnih incidentov (SI-CERT) je v teh dneh prejel okrog 40 prijav uporabnikov o okužbi s škodljivim trojancem Ransomcrypt. Med njimi je bilo tudi osem skrbnikov sistemov v slovenskih podjetjih, je pojasnil vodja centra SI-CERT Gorazd Božič. Pri tem dodaja, da so med koncem tedna vsa protivirusna podjetja dodala omenjenega trojanca na spisek znanih virusov, tako da bi to moralo zelo upočasniti njegovo širjenje.
Širil se je predvsem prek zlorabljenih spletnih strani. Vdiralec lahko izkoristi slabo zaščito spletnega mesta tako, da nanj podtakne povezavo do svoje strani, ki je obiskovalcu nevidna, brskalnik pa ji sledi. Napadalec lahko izkoristi varnostne luknje, če uporabnik nima posodobljenega brskalnika ali njegovih komponent.
Nepridipravi hočejo 50 evrov
Ransomcrypt deluje tako, da po zagonu pregleda vse mape na računalniku ter vse dokumente, slike in bližnjice (.lnk) šifrira ter jim na konec imena doda podaljšek ".EnCiPhErEd". V vsaki mapi ustvari tudi datoteko "HOW TO DECRYPT.TXT" z navodilom. V navodilu avtor zahteva, da mu uporabnik za odklep datotek na njegov račun na spletnih plačilnih storitvah Ukash ali Paysafecard nakaže 50 evrov.
Za odklep ima uporabnik pet poizkusov vnosa kode, zatem se program izbriše in pusti na računalniku šifrirane datoteke. Program tudi priredi nastavitve računalnika, tako da se ob odpiranju katerekoli šifrirane datoteke s podaljškom .EnCiPhErEd odpre izsiljevalno sporočilo.
Če se stvar zaplete, vskoči SI-CERT
Na vprašanje, ali je že na voljo kakšna preverjena rešitev za odklepanje šifriranih datotek na napadenih računalnikih, Božič odgovarja, da zaenkrat še vedno ostaja glavno orodje te94decrypt podjetja Dr. Web.
»Univerzalnega orodja verjetno ne bo, ker gre za več različic trojanca, vsak uporablja svoje ključe in je treba ugotoviti ključ s poskušanjem,« je pojasnil Božič in dodal, da SI-CERT nudi pomoč uporabnikom, kadar se stvar zaplete.
