Як протидіяти та уникнути атаки нового вірусу-криптора.

Спеціалістами кіберполіції зафіксовані факти кібернетичних атаки із застосуванням нового вірусу-криптора. За наявною класифікацією він отримав назву «Trojan.Encoder.25129».

У якості ідентифікатора інфікованого файлу може використовуватися контрольна сума, вирахувана за алгоритмом “SHA1” та дорівнює de74dd60ba3448b072f03ad80001f6a903f60b60. Цей ідентифікатор додано до баз даних антивірусних програм та вони здатні його розпізнавати.

Шифруються файли, що зберігаються у каталогах користувача (Робочій стіл, Завантаження, Документи тощо) та деякі системні файли, пов’язані із користувачем (каталоги, що зберігають історію браузерів, месенджерів, ігор тощо). Алгоритм шифрування файлів – AES-256-CBC із однаковим, заздалегідь визначеним ключем. До зашифрованих файлів додається розширення «.tron».

Дослідники шкідливого програмного забезпечення зазначають, що за певними ознаками можна дійти висновку, що цей криптор не мав шифрувати інформацію користувачів, які отримують доступ до мережі «Інтернет» з ІР-адрес, які розміщені у Республіці Білорусь, Російській Федерації та Казахстані, або системні налаштування мови були російськими. Однак, через допущену помилку при розробці алгоритму перевірки ІР-адреси, цього досягти розробникам не вдалося та шифруванню підлягають усі заражені комп’ютери.

Водночас, файли розміром більше ніж 28.6 мегабайт вірусом не шифруються.

Однак, розробники вірусу допустили ще одну помилку (можливо це зроблено спеціально), яка призвела до того, що розшифрувати файли не має можливості. Звертаємо увагу, що якщо навіть зробити оплату яку вимагають зловмисники та отримати ключ для розшифровки, відновити файли не вдається.

Рекомендації щодо уникнення та протидії зараженню.

– оновити антивірусне програмне забезпечення та запустити повне сканування системи та зовнішніх носіїв інформації;

– не завантажувати та тим паче не виконувати програми із непідтверджених джерел;

– для перевірки підозрілого фалу у ОС Windows у терміналі можна скористатися командою:

FCIV -sha1 <ім’я файлу>

(Якщо програма не встановлена, можна скористатися посібником від розробника ОС).

у ОС Linux:

sha1sum <ім’я файлу>

Якщо отриманий результат дорівнює de74dd60ba3448b072f03ad80001f6a903f60b60 це вказує на те, що це файл є вірус-криптор та його необхідно видалити.

– за можливості відключити виконання макросів у файлах MS Office;

– без нагальної на то потреби не використовуйте для повсякденної роботи обліковий запис із повноваженнями адміністратора;

– регулярно робіть резервне копіювання критичних даних на окремі носії інформації.

Якщо Ви стали жертвою атаки, звертайтеся до Департаменту кіберполіції Національної поліції України. Активна громадська позиція щодо інформування кіберполіції про випадки атак матиме позитивний вплив на аналіз загроз та сприятиме протидії останнім.

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017