Korisnici koji su osetili negativne posledice Polyglot ransomware virusa, poznatijeg i kao MarsJoke, sada mogu da povrate svoje fajlove zahvaljujući alatu za dešifrovanje koji su razvili stručnjaci iz kompanije Kaspersky Lab.

Polyglot trojan virus je bio distribuiran pomoću spam i-mejl poruka koje su sadržale maliciozne priloge u vidu .RAR arhive. Tokom procesa enkripcije, trojan virus nije menjao imena fajlova na zaraženoj mašini već je korisniku blokirao pristup fajlovima. Kada je enkripcija bila završena, desktop pozadina na inficiranom računaru bi se promenila, a korisniku se prikazivala poruka sa zahtevom za otkup. Iznuda novca funkcioniše tako što kriminalci zahtevaju da otkup bude plaćen u bitcoin-ima, a ako uplata ne bude izvršena na vreme, trojan virus će se sam izbrisati sa inficiranog računara, pri čemu će fajlovi ostati zaključani pod šifrom.

Ovaj novi ransomware podseća na ozloglašeni CTB-Locker ransomware, međutim, nakon detaljne analize, stručnjaci iz kompanije Kaspersky Lab nisu pronašli nikakve sličnosti između ovih malver kodova. Polyglot ransomware oponaša CTB-Locker na gotovo svaki način. On ima praktično isti grafički interfejs, sličan niz aktivnosti koje su neophodne kako bi korisnici dobili ključ za dešifrovanje, identičnu stranicu za plaćanje otkupa, desktop pozadinu, kao i još neke druge elemente. Kreatori Polyglot ransomware virusa očigledno su mislili da će imitiranjem CTB-Locker ransomware-a prevariti korisnike da pomisle da su napadnuti ozbiljnom malver pretnjom, što bi uticalo na njihovu odluku da kriminalcima plate otkup kako bi povratili svoje fajlove.



Stručnjaci iz kompanije Kaspersky Lab pažljivo su ispitali mehanizam za enkripciju Polyglot ransomware-a, i otkrili su da, za razliku od CTB-Locker ransomware-a, Polyglot koristi slab generator ključeva za enkripciju. Pretraživanje kompletnog paketa mogućih varijanti Polyglot klučeva za dešifrovanje može se izvršiti za manje od jednog minuta na standardnom PC računaru. Otkrivanje ove slabosti omogućilo je stručnjacima iz kompanije Kaspersky Lab da kreiraju alat koji će korisnicima pomoći da povrate svoje fajlove.

„Ovaj slučaj nam pokazuje da nikada ne treba odustajati: ransomware je postao ozbiljan problem za sve korisnike, ali u nekim slučajevima se može pronađi rešenje. U ovom slučaju, kreatori malvera su napravili grešku prilikom implementacije, zbog čega je bilo moguće prekinuti enkripciju. Međutim, korisnici ne bi trebalo da se oslanjaju na sreću kada je u pitanju ransomware. Ovaj slučaj predstavlja izuzetak, a ne pravilo, i upravo zbog toga savetujemo svim korisnicima da proaktivno zaštite svoje uređaje, koristeći pouzdano rešenje sa tehnologijom za zaštitu od enkripcije”, izjavio je Anton Ivanov, viši malver analitičar u kompaniji Kaspersky Lab.

Proizvodi kompanije Kaspersky Lab detektuju ovaj ransomware kao Trojan-Ransom.Win32.Polyglot i PDM:Trojan.Win32.Generic. Pročitajte detaljan blog post na stranici Securelist.com kako biste saznali više o tehničkim specifikacijama ovog trojan virusa.

Više alata za dešifrovanje fajlova dostupno je na stranici No More Ransom. Projekat „No More Ransom” predstavlja zajedničku inicijativu kompanije Kaspersky Lab, jedinice za visoko tehnološki kriminal u okviru Ministarstva unutrašnjih poslova Holandije, Europol-ovog centra za suzbijanje sajber kriminala i kompanije Intel Security. Glavni cilj ovog projekta jeste da pomogne žrtvama ransomware virusa da povrate svoje fajlove bez potrebe da plaćaju otkup kriminalcima.




Izvor: benchmark.rs