Securitate — September 27, 2019 at 6:15 am

Kaspersky își actualizează soluția de decriptare

by

Ransomware written on keyboard button with finger pressing on itKaspersky și-a actualizat soluția RakhniDecryptor pentru a permite utilizatorilor ale căror fișiere au fost criptate de programele ransomware Yatron și FortuneCrypt să își recupereze datele fără a plăti răscumpărarea. Versiunea actualizată este disponibilă pe site-ul Nomoreransom.org.

Ransomware-ul este o amenințare pentru utilizatorii individuali și companii, infractorii cibernetici dezvoltând noi tipuri de malware în fiecare zi, pentru atacuri. După ce le sunt blocate fișierele, corporațiile și utilizatorii individuali sunt la mila unor infractori cibernetici care cer sume substanțiale de bani pentru a le reda accesul la informațiile lor.

Yatron și FortuneCrypt sunt exemple tipice de astfel de malware. Yatron face parte dintr-un program de afiliere la servicii de ransomware, iar dezvoltatorii săi păreau a fi intenționat să utilizeze exploit-urile EternalBlue și DoublePulsar (programe periculoase care utilizează vulnerabilități din software-ul legal pentru a distribui alte programe malware) ca instrument de propagare. În timp ce criptează fișierele victimelor, programul își modifică extensia în „.Yatron”. Kaspersky a dezvoltat un instrument capabil să recunoască astfel de fișiere și să le readucă la starea normală.

Cealaltă versiune de ransomware – FortuneCrypt – este neobișnuită, întrucât este scrisă cu un compilator BlitzMax pe baza unor informații publice și este o soluție de programare dezvoltată special pentru cei implicați în primii pași de dezvoltare a jocurilor video. Ambele variante de ransomware au probleme legate de modul în care tratează fișierele victimelor, iar acest lucru le-a permis cercetătorilor Kaspersky să găsească modalități de a anula efectele provocate de acest malware.

„Ar fi prea mult să spunem că cele două programe pot fi considerate ceva ieșit din comun în peisajul amenințărilor ransomware, întrucât nu au fost distribuite prea mult”, explică Orkhan Mamedov, security expert la Kaspersky. „Totuși, acest lucru nu înseamnă că în comunitatea de securitate cibernetică nu ar trebui să se acorde atenție cazurilor mai puțin reușite de ransomware. Scopul efortului coordonat pe care industria noastră îl depune în prezent împotriva ransomware-ului nu este doar de a ajuta victimele să își recupereze fișierele, ci și de a face ca afacerea ransomware-ului să devină cât mai dificilă și costisitoare pentru escroci. Cu cât învingem mai multe familii ransomware, cu atât este mai greu pentru infractorii cibernetici să obțină profit din activitatea lor. Noile instrumente de decriptare pe care le-am lansat contribuie la acest obiectiv și, cu siguranță, nu vor fi ultimele.”

Pentru acei utilizatori care devin victime ale unui atac ransomware și le sunt blocate fișierele sau dispozitivele, Kaspersky recomandă următorii pași:
1. Nu plătiți răscumpărarea dacă v-a fost blocat un dispozitiv. Achitarea răscumpărărilor nu face decât să încurajeze infractorii cibernetici să își continue atacurile.
2. Contactați organismul local de aplicare a legii și raportați atacul.
3. Încercați să aflați numele troianului ransomware. Aceste informații îi pot ajuta pe experții în domeniul securității cibernetice să decripteze amenințarea și să vă redea accesul la fișiere.
4. Faceți backup fișierelor, pentru a putea fi recuperate în cazul unui atac.
5. Păstrați actualizată soluția de securitate cibernetică, instalând întotdeauna cele mai recente versiuni.

Atât Yatron, cât și FortuneCrypt, au fost adăugate în Kaspersky RakhniDecryptor. Acestea pot fi descărcate de pe site-ul No More Ransom – un proiect lansat de Poliția Națională Olandeză, Europol, McAfee și Kaspersky în 2016. Proiectul implică experți în domeniul securității cibernetice și agenții de aplicare a legii care colaborează pentru a împărtăși soluții și a opri flagelul ransomware-ului.