heh.pl
Kanał informacyjny Heh.pl


Sobota 16 stycznia 2021 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Poniedziałek, 10 października 2016, 12:09

Narzędzie deszyfrujące dane zablokowane przez oprogramowanie ransomware Polyglot

Trojan Polyglot rozprzestrzenia się za pośrednictwem wiadomości spamowych zawierających szkodliwy załącznik spakowany w archiwum RAR. Podczas procesu szyfrowania trojan nie zmienia nazw plików na zainfekowanej maszynie, ale blokuje do nich dostęp. Po zakończeniu szyfrowania zamiast tapety na ekranie komputera ofiary pojawia się żądanie okupu.

Oszuści żądają wykonania płatności w bitcoinach, a jeśli opłata nie zostanie zrealizowana na czas, trojan usunie się z zainfekowanego urządzenia, pozostawiając wszystkie pliki w postaci zaszyfrowanej.

Nowy trojan przypomina niesławne oprogramowanie ransomware CTB-Locker, jednak po odpowiedniej analizie eksperci z Kaspersky Lab nie wykryli żadnych podobieństw między kodem tych szkodników. Polyglot naśladuje CTB-Lockera w niemal każdym aspekcie. Posiada prawie identyczny interfejs graficzny, podobny ciąg działań jest wymagany w celu uzyskania klucza deszyfrującego, tak samo wygląda strona płatności, tapeta pulpitu itd. Twórcy Polyglota najwyraźniej myśleli, że naśladując CTB-Lockera, mogą zwieść użytkowników, tak aby sądzili, że zostali zaatakowani przez poważne szkodliwe oprogramowanie i nie mają innego wyboru niż zapłacić przestępcom.

Żądanie okupu przez Polyglota

Eksperci z Kaspersky Lab dokładnie zbadali mechanizm szyfrowania Polyglota i stwierdzili, że w przeciwieństwie do CTB-Lockera stosuje on słaby generator kluczy szyfrowania. Przeszukiwanie całego zbioru możliwych wariantów kluczy deszyfrowania Polyglota przy użyciu metody siłowej (ang. brute-force) można przeprowadzić na standardowym komputerze PC w ciągu niecałej minuty. Wykrycie tego słabego punktu pozwoliło ekspertom z Kaspersky Lab opracować narzędzie, które może pomóc odblokować dane ofiar szkodnika.

Produkty Kaspersky Lab wykrywają omawiane oprogramowanie ransomware jako Trojan-Ransom.Win32.Polyglot i PDM:Trojan.Win32.Generic.

Więcej narzędzi wspomagających odzyskiwanie danych zaszyfrowanych przez oprogramowanie ransomware znajduje się w serwisie .

Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

10.10.2016 r.

Jeden atak DDoS może kosztować firmę ponad 1,6 mln dolarów, 12:05

Hakerska grupa APT28 znów powraca , 12:03


Nowsze

07.11.2016 r.

Pamięć USB wciąż niebezpieczna, 8:22

Messenger nareszcie pozwala zaszyfrować wiadomości. Wyjaśnimy jak to zrobić, 8:24


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  










Copyright © 2002-2021 | Prywatność | Load: 0.80 | SQL: 14 | Uptime: 133 days, 17:05 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl