Wygląda na to, że podmioty zagrożeń, którzy prowadzą kampanie ransomware są stale zajęci pisaniem destrukcyjnych kodów i uruchamianiem nowych wirusów, a przemysł zabezpieczeń nie posiada praktycznego narzędzia do ich usuwania. To bardzo przykre, że talent tych ludzi zmierza w złym kierunku, ale perspektywa łatwych pieniędzy sprawia, że ludzie stają się źli. Jeden z najbardziej znanych współczesnych programów ransomware, CryptoLocker, posiada już swoją historię. Oryginalny wirus został uruchomiony we wrześniu 2013 roku i został zdjęty w czerwcu 2014 roku. Aktualnie aktywny wirus, analizowany w tym poście jest w rzeczywistości następcą oryginału, prawdopodobnie stworzonym przez inny cyber gang. Ogólne działanie tego złośliwego oprogramowania jest podobne do poprzedniego, ale istnieje między nimi pewien kontrast.
Jedną z różnic jest ekran z ostrzeżeniem wyświetlanym przez CryptoLocker. Nie jest już czerwony, a bardziej rażący z powodu ego hakerów. Ostrzeżenie w poprzedniej wersji mówiło „Twoje pliki osobiste są zaszyfrowane”, a te ostatnie brzmi: „Uwaga, zaszyfrowaliśmy Twoje pliki wirusem CryptoLocker”. Komponent „my” prawdopodobnie świadczy o oszustach, którzy stali się bardziej ambitni i odważni, ale zostawmy ocenę profilu psychologom. Techniczny schemat działań kompromisu zaczyna się skażeniem komputera, które ma tendencję do zasilania za pomocą inżynierii społecznej. Jeden z wektorów polega na fałszywych e-mailach zatytułowanych „Raporty płac” (Payroll reports), które zawierają załącznik z plikiem programu Microsoft Excel. Uszkodzone pliki mogą być również zamaskowane jako archiwa ZIP z plikami PDF wewnątrz. Po kliknięciu załącznik zrzuca ładunek na komputer.
Wirus skanuje dyski komputerowe w celu uzyskania paru rozszerzeń plików oraz poszczególnych plików, a gdy zostaną znalezione, zostaną zaszyfrowane przy użyciu algorytmu AES. Następnie pojawia się komunikat ostrzegawczy, który przedstawia pewne szczegóły tego, co się stało:
„Twoje ważne pliki (w tym te na dyskach sieciowych, USB, etc): zdjęcia, filmy, dokumenty, itp. zostały zaszyfrowane wirusem CryptoLocker. Jedynym sposobem, aby odzyskać pliki z powrotem jest opłata. W przeciwnym razie, Twoje pliki zostaną utracone.”
Opłata wspomniana w powyższej wiadomości ma być złożona w Bitcoin, której kwota stanowi równowartość około 500 dolarów. Każdy zainfekowany użytkownik otrzymuje przypisany do niego unikalny adres Bitcoin. Jeśli opłata nie zostanie uregulowana w ciągu trzech dni, cena okupu wzrośnie. Cyber przestępcy zasadniczo sugerują zakup oprogramowania do deszyfrowania, które posiada prywatny klucz szyfrujący, tak więc uprowadzone pliki mogą być odzyskane. Jednak jest to wymuszenie w najczystszej postaci więc, zamiast pracować z tymi złymi zaleca się, aby wypróbować kilka rozwiązań zalecanych w dalszej części tego poradnika. Zalecenie usunięcia CryptoLocker nie rozwiąże problemu w kontekście odzyskiwania plików, ale jest to obowiązkowe w ramach całościowego oczyszczenia systemu operacyjnego.
Jest to skuteczna metoda całkowitego usuwania złośliwego oprogramowania i zagrożeń ransomware w szczególności. Zastosowanie renomowanego pakietu bezpieczeństwa zapewnia skrupulatne wykrycie wszystkich elementów wirusa i kompletne usunięcie ich za pomocą jednego kliknięcia. Należy pamiętać jednak, że odinstalowywanie tego wirusa i odzyskiwanie plików to dwie różne rzeczy, ale potrzeba usunięcia szkodnika jest bezsporna, ponieważ sprzyja on pojawieniu się innych trojanów podczas pracy.
Wspomniano już, że CryptoLocker stosuje mocne szyfrowanie do renderowania plików niedostępnych, więc nie ma magicznej różdżki, która przywraca wszystkie zaszyfrowane dane w mgnieniu oka, za wyjątkiem oczywiście zapłacenia okupu. Istnieją jednak techniki, które pomogą Ci w odzyskaniu ważnych rzeczy – dowiedz się co to za techniki.
Automatyczne oprogramowanie do odzyskiwania plików
To interesujące wiedzieć, które oryginalne pliki usuwa wirus w niezaszyfrowanej formie. To kopie, które ulegają przetwarzaniu krypto przez wirusa. Więc narzędzia, takie jak Data Recovery Pro mogą przywrócić usunięte obiekty, nawet jeśli został usunięty w bezpieczny sposób. To rozwiązanie jest zdecydowanie opłacalne, gdyż okazuje się być dość skuteczne.
Kopiowanie woluminów w tle
Podejście to opiera się na rodzimej kopii zapasowej plików Windows na komputerze, która jest prowadzona w każdym punkcie przywracania. Istotny warunek tej metody: to działa, jeżeli funkcja Przywracanie Systemu (System Restore) została włączona przed pojawieniem się wirusa. Ponadto, jeśli zmiany zostały wprowadzone do pliku po ostatnim punkcie przywracania, nie zostaną one uwzględnione w odzyskanej wersji pliku.
Właściwości dla losowych plików posiada zakładka Poprzednie Wersje. To tu zapisane są poprzednie wersję i są one wyświetlane, stąd mogą być odzyskane. Dlatego kliknij prawym przyciskiem myszy na plik, idź do Właściwości, wybierz wymienioną powyżej zakładkę i wybierz Kopiuj lub opcję Otwórz, w zależności od lokalizacji, w której chcesz je odzyskać
Powyższy proces może być zautomatyzowany narzędziem nazwanym ShadowExplorer. Właściwie dokonuje tej samej rzeczy (odzyskanie Kopii Rozmiaru Cienia), ale w bardziej przystępny sposób. Dlatego pobierz i zainstaluj aplikację, odpal ją oraz przeglądaj pliki i foldery, których poprzednie wersje chciałbyś odzyskać. By wykonać to zadanie, kliknij prawym przyciskiem na jakikolwiek wpis i wybierz opcję Export
Kopie zapasowe
Spośród wszystkich opcji, które nie są związane z okupem, ta jest najbardziej optymalna. W przypadku tworzenia kopii zapasowej danych na zewnętrznym serwerze, zanim ransomware zaatakował Twój komputer, przywracanie plików zaszyfrowanych przez tego szkodnika jest bardzo proste, wystarczy zalogować się do odpowiedniego interfejsu, wybrać odpowiednie pliki i zainicjować przywrócenie prawidłowej transakcji. Zanim to zrobisz, upewnij się, że wirus został całkowicie usunięty z komputera.
W przypadku wybrania opcji ręcznego oczyszczania, niektóre fragmenty ransomware mogły zostać, jako utajnione obiekty w systemie operacyjnym lub we wpisie rejestru. Aby upewnić się, że żadne złośliwe elementy wirusa CryptoLocker nie stanowią już zagrożenia, zeskanuj swój komputer używając niezawodnego pakietu bezpieczeństwa przed malware.
Pobierz oprogramowanie do skanowania i usuwania wirusa CryptoLocker