Na pohodu po Sloveniji nov trojanec

Pred nekaj dnevi se je po Evropi in Južni Ameriki začela širiti elektronska pošta, ki vključuje nevarno priponko. Ta se izdaja za faks sporočilo, v resnici pa gre za škodljivo kodo, ki na računalnikih šifrira datoteke in nato od uporabnikov zahteva odkupnino v virtualni valuti bitcoin.

Omenjena grožnja CTB-Locker povzroča glavobole tisočim uporabnikov po celem svetu, najbolj dejavna pa je na Poljskem, na Češkem in v Mehiki. V zadnjih dneh pa je zelo dejavna tudi pri nas.

Napad se začne z elektronskim sporočilom, ki prispe v uporabnikov nabiralnik. Zavajajoč naslov sporočila uporabnika prepričuje, da gre za faks sporočilo. Protivirusni programi ESET nevarno datoteko prepoznajo pod imenom Win32/TrojanDownloader.Elenoocka.A.

V kolikor datoteko iz priponke zaženete in je vaš protivirusni program ne prepozna, potem se na vaš sistem prenese škodljiv program iz družine Win32/FileCoder.DA. Vaše datoteke v kratkem postanejo neuporabne, saj so šifrirane. Nazaj jih lahko pridobite le, če plačate odkupnino v kriptovaluti bitcoin.

Nekatere različice trojanskega konja Win32/TrojanDownloader.Elenoocka.A se povežejo na oddaljen URL naslov iz katerega prenesejo škodljivo kodo, ki jo ESET prepozna pod imenom Win32/FileCoder.DA oz. CTB locker. Ta družina izsiljevalskih groženj (ang. ransomware) šifrira vse datoteke, podobno kot nekoliko starejši CryptoLocker. Glavna razlika med obema je v algoritmu, ki ga uporabjata za šifriranje.

Rezultat je podoben kot pri grožnjah CryptoLocker ali TorrentLocker – vse datoteke s končnicami kot so mp4, .pem, .jpg, .doc, .cer, .db itn. so šifrirane s ključem, kar pomeni, da so neuporabne, saj jih praktično nemogoče dešifrirati. Sporočilo je prikazano v nemščini, nizozemščini, italijanščini in angleščini. Uporabnikom, ki so v dvomih, da bi po plačilu svoje datoteke resnično pridobili nazaj, prikažejo demonstracijo delovanja.

Potem, ko si uporabnik ogleda predstavitev delovanja, mu napadalci pošljejo še naslov za pošiljanje odkupnine v valuti bitcoin (BTC) ter navodila za dešifriranje datotek po izvedenem plačilu. V primeru, da uporabnik nima valute bitcoin, ga preusmerijo v spletno menjalnico.

Varnostni ukrepi s katerimi se lahko zaščitite pred grožnjami kot je CTB-Locker so preprosti: ne odpirajte sumljive elektronske pošte in priponk od neznanih pošiljateljev, imejte varnostne kopije svojih podatkov, posodobite svoj operacijski sistem, spletne brskalnike, Javo, Adobe Reader ter vso ostalo ranljivo programsko opremo. Prepričajte se, da uporabljate zadnjo različico svojega protivirusnega programa.