Spoločnosť Kaspersky Lab sa dlhodobo snaží vyvíjať aktivity zamerané na ochranu používateľov pred najnovšími verziami ransomvérov.

V nadväznosti na túto iniciatívu vyvinuli experti spoločnosti nový nástroj, ktorý má pomôcť používateľom odblokovať zašifrované súbory napadnuté vírusom CryptXXX. Tento mimoriadne škodlivý ransomvér útočí predovšetkým na zariadenia s operačným systémom Windows s cieľom zablokovať súbory a skopírovať dáta za účelom vydierania.

Ransomvér CryptXXX sa medzi používateľmi interntetu šíri prostredníctvom nevyžiadaných e-mailov, ktoré obsahujú infikované prílohy alebo odkazy (linky) na škodlivé stránky. Experti zistili, že hlavným distribútorom ransomvéru CryptXXX sú práve webové stránky, v ktorých je nasadený Angler Exploit Kit (EK). Akonáhle sa ransomvér dostane do zariadenia, zakóduje infikované systémové súbory a priradí im príponu .crypt. Obete sú následne informované o tom, že ich súbory boli zašifrované pomocou silného kódovacieho algoritmu RSA-4096. Za ich odkódovanie požadujú zločinci výkupné v bitcoinoch.

CryptXXX_ilustŕ_web2016_3_nowat

Na svete je súčasnosti rozšírených viac ako 50 kmeňov ransomvérov, pričom neexistuje univerzálny algoritmus schopný odvrátiť hrozbu alebo dôsledky tohto kybernetického útoku. V prípade CryptXXX sa však expertom z Kaspersky Lab podarilo pokoriť údajne “neprekonateľný” RSA-4096 kód a vyvinúť účinný dešifrovací nástroj, ktorý je odteraz dostupný na stránke podpory Kaspersky Lab.

Tvorcom dešifrovacieho nástroja ja Fedor Sinitsyn, senior analytik pre malvéry v spoločnosti Kaspersky Lab. Vďaka nemu majú odteraz obete napadnuté ransomvérom CryptXXX istotu, že sa k svojim súborom dostanú bez toho, aby museli zaplatiť výkupné. Obnovenie súborov je s použitím Kaspersky Lab technológie jednoduché. Nástroj potrebuje iba  originálnu (nezakódovanú) verziu aspoň jedného z napadnutých súborov.

Tí, čo využívajú riešenia Kaspersky Lab sú navyše chránení aj prostredníctvom Automatic Exploit Prevention technology, ktorá je súčasťou Kaspersky Lab produktov (vzhľadom na už v minulosti detekované prípady infiltrácie Angler exploit kitu, ktorý využíva ransomvér CryptXXX).

Produkty Kaspersky Lab sú schopné detekovať exploit kit na základe týchto formulácií: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.

Viac informácií o nebezpečnom ransomvére CryptXXX nájdete v expertnom blogu na Kaspersky Daily.