Eksperci przechwycili nową wersję CryptoLockera, która po zainfekowaniu komputera szyfruje pliki użytkownika i żąda za ich odblokowanie okupu.

wg. dziennika internautów

Ostrzegam wszystkich użytkowników MS Windows przed fałszywą aktualizacją systemu, rozpowszechnianą przy użyciu poczty elektronicznej. W załączniku – zamiast łatki możecie otrzymać CryptoLocker, znany też jako Filecoder, wyjątkowo złośliwy program,  próbujący zastraszyć użytkownika, któremu nie powiodło się go uruchomić.

Nowa wersja tego zagrożenia przedostaje się na dysk komputera pod postacią aplikacji, która służy rzekomo do aktywacji pirackich kopii systemów Windows 7 oraz Windows 8, pakietu Office 2013 lub programu Photoshop. Uruchomienie programu powoduje zagnieżdżenie się szkodnika w systemie. Kolejnym krokiem jest zaszyfrowanie przez niego niektórych plików i poinformowanie o tym użytkownika.

Oprogramowanie instaluje się na naszym komputerze, zapisuje w rejestrze klucz publiczny i rozpoczyna szyfrowanie naszych danych. Oprogramowanie zostało tak zaprojektowane, aby również skanować sieć. Jeżeli natrafi na udostępnione dyski, czy też udziały Samby, CryptoLocker automatycznie dobierze się również do danych znajdujących się w tych lokalizacjach. Gdy szyfrowanie plików zostanie zakończone, użytkownikowi pojawia się komunikat, iż za 72 godziny dostęp do plików zostanie utracony i aby odzyskać do nich dostęp, musi zapłacić okup. Można by rzec, że najłatwiej byłoby użyć oprogramowania antywirusowego i usunąć szkodnika z naszego systemu. Niestety, w tym przypadku to nie pomoże a nawet może zaszkodzić zaszkodzić. Oprogramowanie działa na takiej zasadzie, że po wpłaceniu okupu (około 200 dolarów w bitcoin) aplikacja pobiera klucz prywatny, deszyfruje pliki i sama usuwa się z naszego komputera. Jeżeli usuniemy klucz publiczny znajdujący się w rejestrze, to nawet po wpłaceniu okupu utracimy dostęp do naszych danych, bo aplikacja nie będzie mogła ich odszyfrować. A co się stanie, jeżeli po tym czasie nie wpłacimy żądanych dla cyberprzestępców pieniędzy? Aplikacja sama odinstaluje się z naszego komputera pozostawiając zaszyfrowane pliki. Dane szyfrowane są przy wykorzystaniu algorytmu RSA z wykorzystaniem 2048 – bitowego klucza. Zmianą w nowej wersji CryptoLockera jest algorytm szyfrujący. Wcześniej twórcy zagrożenia wykorzystywali AES, którego porzucili na rzecz 3DES. Równocześnie zaczęli jednak szyfrować nie tylko dokumenty, ale też pliki zawierające zdjęcia, muzykę oraz filmy (.mp3, .mp4, .jpg, .png, .avi, .mpg itd.).

Najbardziej widoczną różnicą jest żądanie okupu wyłącznie w kryptowalucie Bitcoin. Poza tym CryptoLocker nie wyświetla już zegara, który odlicza czas, jaki pozostał użytkownikowi na wpłacenie okupu. Informuje tylko, kiedy zaszyfrowane dane zostaną usunięte z zainfekowanego komputera. Aby uchronić się przed zagrożeniem, warto korzystać ze sprawdzonego oprogramowania antywirusowego. Należy podkreślić,  że jeśli pliki zostały już zaszyfrowane, to usunięcie CryptoLockera z dysku może nie wystarczyć, by odzyskać dostęp do danych. Jedynym skutecznym rozwiązaniem jest wówczas skorzystanie z aktualnej kopii zapasowej.