Στο πλαίσιο της διαρκούς δέσμευσης της Kaspersky Lab για την προστασία των χρηστών από τα πιο πρόσφατα ransomware προγράμματα, οι ειδικοί της εταιρείας ανέπτυξαν ένα εργαλείο αποκρυπτογράφησης, για να βοηθήσουν τα θύματα του CryptXXX να ανακτήσουν τα κρυπτογραφημένα αρχεία τους. Το ιδιαίτερα κακόβουλο ransomware πρόγραμμα CryptXXX επιτίθεται σε συσκευές Windows, με στόχο να κλειδώνει αρχεία, να αντιγράφει δεδομένα και να κλέβει Bitcoins.
Το ransomware πρόγραμμα CryptXXX διανέμεται στους χρήστες του Διαδικτύου μέσω spam email, τα οποία περιέχουν «μολυσμένα» συνημμένα αρχεία ή link που οδηγούν σε κακόβουλες ιστοσελίδες. Επίσης, το CryptXXX διανέμεται και μέσα από διαδικτυακές σελίδες που περιλαμβάνουν ένα Angler Exploit Kit (EK). Κατά την εκτέλεση, το ransomware κρυπτογραφεί αρχεία του «μολυσμένου» συστήματος και προσθέτει μια .crypt επέκταση στο όνομα του αρχείου. Τα θύματα ενημερώνονται ότι τα αρχεία τους κρυπτογραφούνται με τη βοήθεια του RSA-4096 – ενός ισχυρότερου αλγόριθμου κρυπτογράφησης. Αν τα θύματα επιθυμούν να απελευθερώσουν τα δεδομένα τους, το ransomware πρόγραμμα απαιτεί λύτρα σε bitcoins.
Με πάνω από 50 οικογένειες ransomware προγραμμάτων να κυκλοφορούν σήμερα ελεύθερα, δεν υπάρχει ένας καθολικός αλγόριθμος για την αντιμετώπιση της απειλής ή των επιπτώσεων των επιθέσεων. Ωστόσο, στην περίπτωση του CryptXXX, αποδείχθηκε ότι οι ισχυρισμοί των εγκληματιών ότι χρησιμοποιούν τον αλγόριθμο RSA-4096 ήταν παραπλανητικοί. Έτσι, η Kaspersky Lab μπόρεσε να αναπτύξει ένα εργαλείο αποκρυπτογράφησης, το οποίο είναι πλέον διαθέσιμο στην ιστοσελίδα υποστήριξης της Kaspersky Lab.
Χάρη στη δουλειά του Fedor Sinitsyn, Senior Malware Analyst της Kaspersky Lab, ο οποίος ανέπτυξε το εργαλείο, τα θύματα μπορούν να είναι σίγουρα ότι ακόμα κι αν το CryptXXX έχει βρει το δρόμο προς τα συστήματά τους, είναι δυνατό να ανακτήσουν τα αρχεία τους, χωρίς να πληρώσουν λύτρα. Για να αποκρυπτογραφήσει τα αρχεία που επηρεάζονται, το χρηστικό πρόγραμμα της Kaspersky Lab θα χρειαστεί την πρωτότυπη (μη κρυπτογραφημένη) έκδοση τουλάχιστον ενός αρχείου, το οποίο έχει δεχτεί επίθεση από το CryptXXX.
Οι χρήστες των λύσεων της Kaspersky Lab προστατεύονται περαιτέρω, επειδή το Angler exploit kit που χρησιμοποιείται από το ransomware CryptXXX ανιχνεύεται στα πρώιμα στάδια της «μόλυνσης» από την τεχνολογία Automatic Exploit Prevention στις λύσεις της Kaspersky Lab.
Τα προϊόντα της Kaspersky Lab εντοπίζουν αυτό το exploit kit, υπό τις ακόλουθες κωδικές ονομασίες: HEUR: Exploit.SWF.Agent.gen, PDM: Exploit.Win32.Generic και HEUR: Exploit.Script.Generic.
Για την προστασία των χρηστών από «μολύνσεις», η Kaspersky Lab συνιστά στους χρήστες:
- Να δημιουργούν αντίγραφα ασφαλείας ανά τακτά χρονικά διαστήματα
- Να εγκαθιστούν όλες τις κρίσιμες ενημερώσεις για το λειτουργικό σύστημα και τα προγράμματα περιήγησης τους. Το Angler exploit kit, το οποίο χρησιμοποιείται από το CryptXXX, αξιοποιεί τις ευπάθειες του λογισμικού για να «κατεβάσει» και να εγκαταστήσει το ransomware.
- Να εγκαταστήσουν μια αξιόπιστη λύση ασφάλειας, όπως το Kaspersky Internet Security, το οποίο παρέχει πολυεπίπεδη προστασία ενάντια στα ransomware προγράμματα, ή το Kaspersky Total Security, που προσφέρει ολοκληρωμένη προστασία, παρέχοντας αυτόματη δημιουργία αντιγράφων ασφαλείας.
Περισσότερες πληροφορίες σχετικά με το CryptXXX είναι διαθέσιμες στον ειδικό ιστότοπο Kaspersky Daily.