Лабораторія Касперського cryptolocker - особливості роботи троянця здирника Новини та Огляди

Зловмисники вимагають, щоб користувач заплатив їм протягом трьох днів – інакше дані будуть безповоротно втрачені. Пропонується безліч способів оплати, у тому числі з використанням віртуальної валюти Bitcoin:

Щоб переконати жертву в серйозності своїх намірів, зловмисники встановлюють на зараженій машині страхітливі шпалери:

Для з'єднання з командними серверами Cryptolocker використовує алгоритм генерації доменних імен, що видає 1000 унікальних імен-кандидатів на добу.

Дімітер Андонов (Dimiter Andonov) із компанії ThreatTrack Security відтворив алгоритм за допомогою методів реверс-інжинірингу. Це дозволило "Лабораторії Касперського" встановити sinkhole-сервери на трьох доменах, щоб оцінити кількість жертв шкідливої ​​програми по всьому світу.

Нижче представлено розподіл жертв по 30 країнах, де їх кількість була найбільшою. Найбільше жертв у США та Великобританії, за якими йдуть Індія, Канада та Австралія:

Важливо, що статистика відбиває кількість жертв, на комп'ютерах яких файли ще зашифровані. При оперативному застосуванні антивірусного програмного забезпечення для очищення системи від зараження у користувача залишається шанс уникнути шифрування даних.

Методи захисту

Cryptolocker застосовує надійні засоби шифрування файлів, що не дозволяють відновити їх вихідні версії за допомогою таких утиліт, як Photorec. Найкращий спосіб захисту – встановити та своєчасно оновлювати антивірусний продукт, здатний запобігти зараженню. Система запобігання вторгненням, реалізована в продуктах «Лабораторії Касперського», блокує навіть невідомі версії цього троянця, не дозволяючи їм проникнути в систему.

Для безкоштовної перевірки системи можна скористатися диском аварійного відновлення Kaspersky RescueDisk:

  1. Завантажте образ ISO Kaspersky Rescue Disk 10 (kav_rescue_10.iso).
  2. Завантажте утиліту для запису Kaspersky Rescue Disk 10 на USB-носій (rescue2usb.exe).
  3. Виконуйте вказівки в базі знань.

Найбільш поширені варіанти шкідливої ​​програми Cryptolocker детектуються продуктами Лабораторії Касперського з наступними вердиктами:

Trojan-Ransom.Win32.Blocker.cfkz, Trojan-Ransom.Win32.Blocker.cmkv, Trojan-Ransom.Win32.Blocker.cggx, Trojan-Ransom.Win32.Blocker.cfow, Trojan-Ransom.Win32.Blocker. Trojan-Ransom.Win32.Blocker.cgmz, Trojan-Ransom.Win32.Blocker.cguo, Trojan-Ransom.Win32.Blocker.cfwh, Trojan-Ransom.Win32.Blocker.cllo, Trojan-Ransom.Win32.Blockercoe

Якщо ваші дані вже зашифровані, найгірше, що ви можете зробити, це заплатити зловмисникам. Це дасть їм стимул до розширення своєї злочинної діяльності та вдосконалення механізмів зараження.