[gynterk]

link :: CryptoLockeri info


2013. aasta septembrist on levima hakanud pahavara nimega CryptoLocker, mis krüpteerib ära nii arvutis kui ka sinna ühendatud võrguketastel ja andmetalletusseadmetel (mälupulgad, välised kõvakettad jms) olevad teatud failid - põhiliselt dokumendid, fotod ja levinumate tarkvaradega (nt Adobe Photoshop ja CorelDRAW) seotud failid. Pärast krüpteerimist kuvatakse nakatunud arvutis ekraanile teavitus, kus nõutakse faile dekrüpteeriva privaatvõtme eest tasu ($100 või $300, olenevalt pahavara variandist).

Juhul, kui ülekannet kolme ööpäeva (72 tunni) jooksul ei teostata, siis kustutatakse privaatvõti ja failide dekrüpteerimine ei ole enam võimalik, mis tähendab seda, et antud failid on igaveseks lukus ja nendele sisule ei pääse enam kunagi ligi. Maksevõimalustena on välja toodud GreenDot MoneyPak ja uuemas variandis lisaks ka Bitcoinid (2 BTC).

Mitmed viirusetõrjetarkvara tootjad ja IT eksperdid tegelevad lahenduse leidmisega pahavara poolt tehtud kahju ennistamiseks, kuid hetkel on olnud ainukeseks toimivaks lahenduseks väljapressijatele allumine ning lunaraha üle kandmine. Pärast ülekande teostamist võib tehingu kinnitamine aega võtta 3-4 tundi. Kontrolli õnnestumisel algatatakse failide dekrüpteerimine, mis võib olenevalt failide kogustest ning suurustest aega võtta tunde.

Levinumad viirusetõrjeprogrammid suudavad küll antud pahavara tuvastada, kuid alles siis, kui kahju on juba tehtud. Seetõttu on soovitatav teostada failidest perioodilisi varukoopiaid välisele kõvakettale, mis ei ole arvutiga pidevas ühenduses. Samuti tuleks vältida e-kirjade manustes, sotsiaalmeedias ning erinevates suhtluskanalites (nt Skype) levivaid tundmatuid programmifaile (EXE faile) ja iga väiksemagi kahtluse korral faili saatjalt üle küsida, et millega tegu ja kas Ta ikka saatis selle Teile.
Ühe ennetusviisina on soovitatav ka ära keelata EXE failide käivitamine Windowsi tarkvara piiramise reeglite kaudu. Täpsemad juhised leiate siit (inglise keeles).

MUUDATUS: NB! Välja on tulnud uuem versioon, mis on veelgi halvem. Nimelt levib see nüüdsest väliste andmekandjate (mälupulgad, välised kõvakettad jms) kaudu. Samuti levib erinevate P2P saitide kaudu tuntud tarkvarade (nt Adobe Photoshop või Microsoft Office) aktivaatoriks maskeerituna.

MUUDATUS 2: Riigi Infosüsteemi Ameti kodulehel avaldatud uudise andmetel on tuvastatud juhtumeid ka Eestis.

[Osiris]

Vanad kombed tulevad tagasi. mõned aastad tagasi liikus samasuguse ideoloogiaga viirus ringi. Aunult, et peale maksmist ei saanud sa ikka datat tagasi.....

[Etz]

[mteachx]

BTC rocks my socks ;D

Äge

[ewur]

Kui ise vajalikud failid ennetavalt ära krüptida, see ei aita?

[pois11]

[wirx]

Hehe, IT mehed on hakanud katust pakkuma - vanasti põletasid kandid baari maha, kui omanik raha ei maksnud, nüüd siis "põletatakse" ähvarduste saatel failid

[Etz]

[mTim]

kust seda tõmmata saab?

[asjameez]

Linuxile see viirus külge ei hakka.

[Ragnar7474]

Idee on küll hea .

[K3891]

Eriti hea on ka tulevikus raha saada, kui rahvas ka peale tasumist oma asjad tagasi saab.... ehk kiirelt ei levi kuulujutt, et ei saa asju nii või naa tagasi

[UB]

Äkki see paneb inimesed mõtlema, et varukoopiad on ikka väga olulised asjad. Endal arvutis olevad failid kõik ilusti pilvedega sünkroonis, nii et viska karp kasvõi vastu seina puruks, mina ei kaota sellega midagi.
See krüptimine ju võtab ka meeletu aja kui failide kogused on suured. Seda protsessi peaks saama ju siis kuidagi peatada, kui ta hakkab gigasid krüptima...

[LKits]

Krüpteerimise käigus võtit hijackida ei saa? Tõmmata mingi anti-CryptoLocker, mis jookseb taustal ja tunneb kohe ära CryptoLockeri olemasolu ja injectib ennast sinna sisse, hijackib krüptovõtme, kui krüpteerimiseks läheb.

[namstoop]

Atsa, mu poole eelmisel nädalal just üks vanema generatsiooni esindaja pöördust küsimusega, et mida teha, tal pidavat kodus arvutis lahti hüppama mingi teade, et maksa raha muidu failid krüpteeritakse Aga kuna tal oli keegi teine, kes appi läks, siis ma ei teagi mis saanud on. Et kas jäigi siis failides ilma või. Ma mõtlesin, et mingi niisaama spyware mis mingeid pop-up'e genereerib vms.

[mteachx]

[namstoop]

Just rääkisin temaga, ega ta täpselt ei teagi mis tehti. Põhimõtteliselt tal on kõik olulised asjad erinevate mälupulkade peal dubleeritud, mida kasutab siis, kui vaja on. Pidevalt arvutil järgi ühesõnaga pole. Nii et kui arvutis miskit kaotsi läks, siis suurt kadu polnud.

[tahanteada]

Symantec vist reklaamis, et temal on olemas ka vastav skänner juba, mis siis seda pahategelast avastada suudab.

[ASSAA! elektroonika]

Selle uudise taustal pigem tekib küsimus, kas inimesed on kaotanud liiga vähe kordi oma olulisi faile neid vaid ühes füüsilises hoidlas hoides ja failidest regulaarselt back-upe tegemata? Kõvakettaruum maksab täna vähem kui ei kunagi varem ning tihtipeale ületavad juba üksikute failide endi väärtused kõvaketta hinna kordades, kui mitte kümnetes kordades. Selmet hakata toitma kurikaelu, võiks rohkem mõelda oma vara (failide) kindlustamise peale nii riistvaraprobleemide, omaenda rumaluse kui ka kurikaelte vastu...

[euforia]

Tea kas see CryptoLocker ka võrgukettani ulatub, mis ei ole masinasse mapitud, aga on üle kohaliku võrgu leitavad?
Login request peks olema ilmselt piisav, mis pahalase NAS'ist eemal hoiab. Või olen ma naiivne?

[LKits]

Kui veel mitte, siis võib-olla varsti.

Iseenesest ei ole väga raske sellist programmi peita peaaegu ükskõik, millise exe sisse kasutades justnimelt näiteks TrueCrypt commandline lahendust, mis ei ole blokeeritud viirusetõrjete poolt.
Krüptovõti on kas juba eelnevalt genereeritud või genereeritakse ohvri arvutis endas, koostatakse nimekiri krüpteeritavatest failidest/kaustadest ja TrueCrypt teeb enda töö...

[Marie]

[tahanteada]

[nexus]

[tahanteada]

Järgmisel lehel natuke ka lahtikrüptimis-õpetust - ehk sobib kunagi kellelegi.

Wednesday, October 16, 2013
Remove CryptoLocker virus and restore encrypted files
http://deletemalware.blogspot.com/2013/10/remove-cryptolocker-virus-and-restore.html