Data: Poniedziałek, 10 października 2016, 12:09
Narzędzie deszyfrujące dane zablokowane przez oprogramowanie ransomware Polyglot
Trojan Polyglot rozprzestrzenia się za pośrednictwem wiadomości spamowych zawierających szkodliwy załącznik spakowany w archiwum RAR. Podczas procesu szyfrowania trojan nie zmienia nazw plików na zainfekowanej maszynie, ale blokuje do nich dostęp. Po zakończeniu szyfrowania zamiast tapety na ekranie komputera ofiary pojawia się żądanie okupu.
Oszuści żądają wykonania płatności w bitcoinach, a jeśli opłata nie zostanie zrealizowana na czas, trojan usunie się z zainfekowanego urządzenia, pozostawiając wszystkie pliki w postaci zaszyfrowanej.
Nowy trojan przypomina niesławne oprogramowanie ransomware CTB-Locker, jednak po odpowiedniej analizie eksperci z Kaspersky Lab nie wykryli żadnych podobieństw między kodem tych szkodników. Polyglot naśladuje CTB-Lockera w niemal każdym aspekcie. Posiada prawie identyczny interfejs graficzny, podobny ciąg działań jest wymagany w celu uzyskania klucza deszyfrującego, tak samo wygląda strona płatności, tapeta pulpitu itd. Twórcy Polyglota najwyraźniej myśleli, że naśladując CTB-Lockera, mogą zwieść użytkowników, tak aby sądzili, że zostali zaatakowani przez poważne szkodliwe oprogramowanie i nie mają innego wyboru niż zapłacić przestępcom.
Eksperci z Kaspersky Lab dokładnie zbadali mechanizm szyfrowania Polyglota i stwierdzili, że w przeciwieństwie do CTB-Lockera stosuje on słaby generator kluczy szyfrowania. Przeszukiwanie całego zbioru możliwych wariantów kluczy deszyfrowania Polyglota przy użyciu metody siłowej (ang. brute-force) można przeprowadzić na standardowym komputerze PC w ciągu niecałej minuty. Wykrycie tego słabego punktu pozwoliło ekspertom z Kaspersky Lab opracować narzędzie, które może pomóc odblokować dane ofiar szkodnika.
Produkty Kaspersky Lab wykrywają omawiane oprogramowanie ransomware jako Trojan-Ransom.Win32.Polyglot i PDM:Trojan.Win32.Generic.
Więcej narzędzi wspomagających odzyskiwanie danych zaszyfrowanych przez oprogramowanie ransomware znajduje się w serwisie .