Un expert Kaspersky Lab a reusit sa dezvolte un instrument de decriptare pentru a ajuta victimele programului de tip ransomware CryptXXX sa-si recupereze fisierele.Acest ransomware periculos vizeaza dispozitivele Windows pentru a cripta fisiere, a copia date si a fura monede Bitcoin.
Programul de tip ransomware CryptXXX este distribuit utilizatorilor de Internet prin intermediul email-urilor spam, care contin documente infectate, in attach, sau link-uri catre site-uri compromise. CryptXXX este raspandit de paginile web care gazduiesc kit-ul de exploit-uri Angler (EK). Atunci cand este lansat, fisierul ransomware cripteaza fisierele din sistemul infectat si adauga extensia a.crypt la denumirea fisierelor. Victimele sunt anuntate ca le-au fost criptate fisierele cu ajutorul RSA-4096 – un algoritm foarte puternic de criptare – si li se cere o rascumparare in bitcoini, daca vor sa aiba din nou acces la date.
Cu peste 50 de familii de ransomware existente in prezent, nu exista un algoritm universal pentru decriptare. Cu toate acestea, in cazul CryptXXX, afirmatia infractorilor ca au folosit RSA-4096 s-a dovedit neadevarata, iar Kaspersky Lab a reusit sa dezvolte un instrument de decriptare, disponibil pe site-ul Kaspersky Lab.
Datorita muncii lui Fedor Sinitsyn, Senior Malware Analyst la Kaspersky Lab, victimele pot sa-si recupereze fisierele afectate fara sa plateasca rascumpararea. Pentru a decripta fisierele afectate, solutia Kaspersky Lab va avea nevoie de varianta originala (necriptata) a cel putin unui fisier afectat de CryptXXX.
Utilizatorii solutiilor Kaspersky Lab sunt protejati suplimentar pentru ca pachetul de exploit-uri Angler folosit din programul ransomware CryptXXX este detectat in stadii incipdente ale infectiei de catre tehnologia Automatic Exploit Prevention, prezenta in solutiile Kaspersky Lab.
Produsele Kaspersky Lab detecteaza kit-ul de exploit-uri, dand urmatoarele verdicte: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Pentru a se proteja, utilizatorii ar trebui:
1. Sa faca backup la intervale regulate.
2. Sa instaleze toate actualizarile importante pentru sistemul de operare si browsere. Kit-ul de exploit Angler, folosit de CryptXXX, profita de vulnerabilitatile din software pentru a descarca si a instala programul ransomware.
3. Sa instaleze o solutie de securitate. Kaspersky Internet Security ofera o protectie pe mai multe niveluri impotriva atacurilor de tip ransomware. Kaspersky Total Security poate completa protectia, realizand backup-uri automate.
Mai multe informatii despre CryptXXX sunt diponibile pe Kaspersky Daily. Companiile pot folosi aplicatia Kaspersky Security for Windows Server, care are inclusa tehnologia Anti-Cryptor, menita sa protejeze infrastructura IT de atacuri cryptomalware.
