.Crypt súbory – ako na ne?

credit card phishing - piles of credit cards with a fish hook onMožno ste sa už stretli s nejakou formou ransomwaru, čiže vírusu na vymáhanie výkupného za odomknutie/znovu-sprístupnenie vašich súborov. Zobrazí sa vám notifikácia, informujúca o uzamknutí všetkých vašich dát s prísľubom odomknutia výmenou za – čo iné? – peniaze. Skontrolujete vaše súbory a zistíte, že sa skutočne odmietajú otvoriť. Čerešničkou na torte je neblahý prídavok k formátu všetkých súborov „.crypt“. Práve ste sa stali ďalšou obeťou CryptXXX ransomwaru – veľmi nepríjemného Trojan vírusu, ktorý šifruje súbory a kradne digitálnu menu bitcoin. SaferPass vám dnes povie, čo presne je ransomware a ako postupovať, keby ste sa nebodaj jedného dňa ocitli v takejto situácii.

CryptXXX je Trojan, ktorý objavili v apríli výskumníci z Proofpoint, a keďže mu do tej doby nebolo pridelené meno, nazvali ho CryptXXX. Pravdepodobne aj preto, lebo tento vírus pridáva koncovku .crypt k všetkým súborom, ktoré zašifruje. Má jednu nepríjemnú funkciu, a to zašifruje súbory až po určitom čase po samotnom nainfikovaní zariadenia. Toto má zmiasť potenciálne obete a sťažiť úspešné identifikovanie stránok, ktoré tento ransomware prenášajú.

Akonáhle zašifruje všetky súbory, CryptXXX vytvorí tri „manuály“: textový súbor (ktorý je uložený na disku), obrázok (tento nastaví vírus ako pozadie pracovnej plochy) a jednoduchú HTML stránku, ktorá sa otvorí vo vašom prehliadači. Všetky obsahujú podobné inštrukcie – vysvetlenie situácie a žiadosť o výkupne vo výške 500 USD v bitcoinoch za odomknutie súborov. Používateľ si musí nainštalovať TOR prehliadač, prostredníctvom ktorého sa dostane na stránku na tzv. Dark Webe, kde nájde podrobné inštrukcie ohľadom platby výkupného. Dokonca aj so sekciou často kladených otázok. Úžasne, však?

Okrem výkupného je cieľom vírusu ukradnúť všetky bitcoiny na danom zariadení, prípadne ďalšie informácie, ktoré by mohli byť pre útočníka použiteľné. Bohužiaľ, v prípade takýchto ransomwarov neexistuje žiadne univerzálne dešifrovacie riešenie a obetiam často nezostáva nič iné, ako výkupné zaplatiť. Našťastie na tento konkrétny už riešenie je – nástroj na obnovu zašifrovaných dát od Kaspersky Lab.

Zobrali svoj vlastný RannohDecryptor, ktorý bol pôvodne používaný na dešifrovanie následkov vyčíňania Rannoh ransomwaru, upravili ho a doplnili ďalšie praktické funkcie. Dnes je využiteľný aj ako riešenie pre obete CryptXXX vírusu. Na dešifrovanie vašich súborov je potrebné aspoň jeden súbor, ktorý NEBOL infikovaný a zašifrovaný. Čím viacej súborov máte zazálohovaných alebo neinfikovaných, tým viac môžete zachrániť. RannohDecryptor môžete stiahnuť tu: RannohDecryptor pre odomknutie zašifrovaných súborov

Po stiahnutí a inštalácii otvorte RannohDecryptor a vyberte disky, ktoré majú byť preverené. Nezaškrtávajte možnosť „Vymazať zašifrované súbory po dešifrovaní“ až kým si nebudete istí, že dešifrované súbory ide stopercentne otvoriť.

Kliknite na „Začať scan“ a vyberte miesto kde sa nachádza zašifrovaný súbor, ku ktorému máte nezašifrovanú kópiu. Program sa pokúsi dešifrovať daný súbor a všetky súbory, ktoré sú menšie ako dodaný nezašifrovaný súbor. Čím väčší nezašifrovaný súbor teda programu dodáte, tým viac .crypt súborov bude schopný dešifrovať a zachrániť.

Tento nástroj a postup funguje dnes, avšak netreba sa naň spoliehať do nekonečna. Online zločinci vytvárajú a používajú novšie a novšie nástroje a vírusy každý deň, preto je oveľa dôležitejšia správna prevencia. Vytvárajte si pravidelne zálohy vašich dát a inštalujte dôležité aktualizácie operačných systémov a prehliadačov. Antivírový program, manažér hesiel a zdravý rozum – toto sú vaše najsilnejšie prostriedky na zabezpečenie vašej online identity a všetkého s ňou spojené.

Screen Shot 2016-05-18 at 12.37.42