Ten artykuł jest o jednym z najdłużej trwających do tej pory kampanii wyłudzeń online. Początkowo wirus znany jako TorrentLocker, aktualnie aktywny jako ransomware o nazwie Crypt0L0cker, istnieje od końca kwietnia 2015. Autorom wirusa brudny biznes uchodzi na sucho, ponieważ sprytnie ukrywają swój ślad poprzez użycie trudnej do namierzenia kryptowaluty Bitcoin oraz technologii Onion Router.
Crypt0L0cker jest trojanem okupu, który rozprzestrzenia się za pośrednictwem spamu, szyfruje wszystkie ważne dane na komputerze i żąda Bitcoins za deszyfrowanie. W trakcie swojego rozwoju wirus znacznie się usprawnił. Każda z poprzednich wersji wirusa dołączała do pliku ofiary pewne rozszerzenie, w tym .enc i .encrypted. W przeciwieństwie do swoich prekursorów, obecny wirus wykorzystuje losowość w zakresie etykietowania kodów wprowadzanych danych. Wirus łączy losowe przedłużenie 6-znakowe dla każdego zakodowanego pliku. Na przykład, zdjęcie o nazwie Pic.bmp zmieni się na Pic.bmp.ayncxo. Oczywiście wszelkie próby otworzenia zainfekowanego pliku zakończą się komunikatem błąd.
Mimo, że nowy format rozszerzenia jest przeszkodą do identyfikacji wirusa, Crypt0L0cker wykazuje więcej cech, które nie pozostawiają miejsca na wątpliwości co do tego, że ma się do czynienia ze szczególnym zagrożeniem. Wirus zostawia informacje dotyczące okupu, czyli pliki, które alarmują ofiary o zainfekowaniu i dostarczają wstępnych informacji, jak je odzyskać. Najnowszy wariant tego krypto ransomware tworzy następujące instrukcje: HOW_TO_RESTORE_FILES.html oraz HOW_TO_RESTORE_FILES.txt. (JAK_ODZYSKAĆ_PLIKI.html oraz JAK_ODZYSKAĆ_PLIKI.txt.) Znalezienie ich jest nie jest niczym niezwykłym, ponieważ pojawiają się na pulpicie, a także w folderach zawierających już niedostępne pliki. Sformułowania wirusa w stosunku do dokumentów pozostają niezmienne dzięki ciągowi różnych iteracji. Wirus może powiedzieć „Twoje ważne pliki, w tym na dyskach sieciowych, USB, itd. ): zdjęcia, filmy, dokumenty, itp. pliki, zostały zaszyfrowane przy użyciu naszego wirusa Crypt0L0cker. Jedynym sposobem, aby odzyskać pliki z powrotem jest opłata. W przeciwnym wypadku, pliki zostaną utracone.”
Postępując zgodnie z instrukcjami, zainfekowany użytkownik zostanie przeniesiony na stronę Tor, która poinformuje o zakupie odszyfrowania. Transakcja zakłada, że kwota około 0.5 BTC zostanie przeznaczona dla atakujących. Istnieje limit czasowy 120 godzin lub 5 dni, aby wysłać okup, w przeciwnym razie kwota będzie dwa razy większa. Zainfekowany użytkownik może również zobaczyć liczbę zaszyfrowanych plików na stronie “Buy Decryption” („Kup Deskrypcję”). Przestępcy zapewniają również możliwość odkodowania jednego pliku za darmo, jedynym ograniczeniem jest jego wielkość, która powinna być mniejsza niż 1 megabajt.
Jak już wspomniano, oszuści i twórcy wirusa Crypt0L0cker 2017 używają spamu jako sposobu do dystrybucji blokady danych. Atakujący wykorzystują botnet, aby generować ogromne fale spamu, które dostarczają szkodnika do tysięcy komputerów za jednym razem. Załączniki często pojawiają się jako skomplikowane pliki Microsoft Word, informujące odbiorcę, aby włączył programy makro lub archiwa ZIP, które zawierają szkodliwe obiekty JavaScript. Bez względu na rodzaj wektora zakażenia, otwarcie tych podmiotów zapoczątkuje proces wdrażania ransomware do systemu. Jeżeli tak się stanie i wszystkie dane osobowe zostaną zablokowane, kroki przedstawione poniżej powinny rozwiązać ten problem. Okup powinien być ostatecznością, więc najpierw należy spróbować alternatywy.
Usunięcie tego szkodnika może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Wykorzystanie techniki automatycznego czyszczenia zapewnia, że wszystkie elementy zakażenia zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus Crypt0L0cker tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Można tutaj wykorzystać narzędzia, takie jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usuwania wirusa, ale w każdym razie warto jest wypróbować tą metodę.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Metodę można zastosować, jeśli utworzone zostały kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to Twoja przezorność się opłacała.
Rozwiązanie 3: Użyj Kopiowania Woluminów w Tle
Jeśli nie wiedziałeś, to system operacyjny tworzy tzw. Kopiowanie Woluminów w Tle każdego pliku dopóki opcja Przywracanie Systemu (System Restore) jest włączona na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, generowane są również migawki plików, które pojawiają się w tej samej chwili. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji plików. Na pewno jednak warto jest spróbować. Ten obieg jest wykonalny na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się manualnemu procesowi.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Ponownie, samo usunięcie złośliwego oprogramowania nie prowadzi do zdeszyfrowania plików osobistych. Powyższe metody przywracania danych, mogą lub nie załatwić sprawę, ale samo ransomware nie znajduje się już wewnątrz Twojego komputera. Nawiasem mówiąc, wirus pojawia się z innym złośliwym oprogramowaniem, dlatego na pewno sensowne jest wielokrotne zeskanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania wirusa Crypt0L0cker