Trojanski konj, ki zahteva odkupnino tudi v Sloveniji

V petek, 13. aprila, smo na SI-CERT dobili prve prijave uporabnikov, ki so se okužili s trojancem Ransomcrypt. Ob okužbi sistema trojanec zašifrira dokumente in slike, ter zahteva od uporabnika nakazilo 50 € preko plačilnega sistema PaySafeCard. To pa naj bi plačali zaradi uporabe nelegalne programske opreme.

Ker poleg dokumentov in slik Ransomcrypt zašifrira tudi bližnjice, postane računalnik neuporaben, še posebej, če imate na računalniku administratorske pravice.  

Ker smo prejeli več prijav že prvi dan, smo se tudi sami lotili analize trojanca. Na prvi pogled je šifriranje izgledalo kot dokaj enostavno XOR kodiranje, vendar je bilo to res le v začetku. O trojancu je poročalo več protivirusnih podjetij, ruski Dr. Web pa je prvi objavil, da je razvozlal način šifriranja datotek.

Ta je odvisen od večih parametrov, vsaka različica pa vsebuje svojega. Uporablja se TEA algoritem (Tiny Encryption Algorithm), avtor pa lahko vsakič izbere nov ključ, njegovo dolžino, algoritem, število tekov, ter začetno in končno lokacijo šifriranja v datoteki.

V sodelovanju z Dr. Web smo vsem prijaviteljem pomagali dešifrirati datoteke, zadnjih par dni pa dobimo le še nekaj prijav na dan. Vsega skupaj 60 prijav, tako domačih uporabnikov, kot tudi podjetij. Še največ težav so imeli v podjetju, kjer sta na datotečnem strežniku dve delovni postaji zaporedoma zašifrirali datoteke, vsaka s svojim ključem.

Po okužbi se trojanec naseli v uporabnikov %TEMP% direktorij in se aktivira ob dvokliku na zašifrirano datoteko. Več podrobnosti je na voljo v obvestilu SI-CERT 2012-06 / Trojanec Ransomcrypt, če pa poznate koga, ki je postal njegova žrtev, ga napotite na cert@cert.si (elektronska pošta),  facebook.com/sicert, ali twitter.com/sicert.