CryptXXX שוחרר מהצפנה: מעבדת קספרסקי פרסמה כלי לשחרור קבצים מוצפנים
כחלק מהמחויבות המתמשכת של מעבדת קספרסקי להגנה על משתמשים מפני התפשטות תוכנות כופר, פיתחה החברה כלי נוסף לשחרור הצפנת קבצים שיסייע לנפגעי CyptyXXX לאחזר קבצים שהוצפנו.
13:3719.05.16
תוכנת הכופר CryptXXX פוגעת במכשירי חלונות והיא נועלת קבצים, מעתיקה נתונים וגונבת ביטקוין. תוכנת הכופר CryptXXX מופצת באמצעות הודעות ספאם, אשר מכילות קבצים מצורפים נגועים או קישורים לאתרי אינטרנט נגועים. דפי אינטרנט המארחים את חבילת הפריצה Angler Exploit Kit (EK) מפיצים את CryptXXX. בעת הפעלתו, כלי הכופר מצפין את קבצי המערכת הנגועים ומוסיף סיומת .crypt לשמות הקובץ. הקורבנות מקבלים הודעה כי הקבצים שלהם מוצפנים על ידי RSA-4096 – אלגוריתם הצפנה חזק – ונדרש מהם לשלם דמי כופר בביטקוין על מנת לשחרר את הנתונים שלהם.
יותר מ- 50 משפחות של כלי כופר פועלים כיום בשטח, ואין אלגוריתם אוניברסלי אחד שמאפשר לטפל באיום או בהתקפה. עם זאת, מסתבר שבמקרה של CryptXXX השימוש ב- RSA-4096 הוא התפארות ריקה מתוכן, ומעבדת קספרסקי הצליחה לפתח כלי לפתיחת ההצפנה אשר זמין כעת באתר התמיכה של מעבדת קספרסקי.
בעקבות הגילוי של מעבדת קספרסקי, יכולים מעתה הנפגעים להיות בטוחים כי גם אם כלי הכופר CryptXXX מצא את דרכו אל המערכות שלהם, עדיין אפשרי יהיה לאחזר קבצים ללא תשלום הכופר. במטרה לשחרר את הקבצים שנפגעו, הכלי של מעבדת קספרסקי יהיה זקוק לקובץ מקורי אחד לפחות (שלא הוצפן) ואשר נפגע מ- CryptXXX.
משתמשים של פתרונות מעבדת קספרסקי נהנים להגנה נוספת מכיוון שחבילת הפריצה Angler המשמשת את כלי הכופר מזוהה כבר בשלבים המוקדמים של המתקפה על ידי טכנולוגית Automatic Exploit Prevention.
מוצרי מעבדת קספרסקי מזהים את חבילת הפריצה תחת הסימול: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
כדי להגן על עצמם מפני הדבקות, מומלץ למשתמשים לבצע את הדברים הבאים:
1. גיבוי קבוע
2. התקנה של עדכונים חיוניים במערכת ההפעלה והדפדפנים. כלי הפריצה Angler, אשר משמש את CryptXXX, ממנף פרצות תוכנה כדי להוריד ולהתקין את כלי הכופר.
3. התקנה של פתרון אבטחה. Kaspersky Internet Security מספק הגנה רב שכבתית מפני כלי כופר. Kaspersky Total Security יכול להשלים מערך מקיף של אבטחה באמצעות גיבוי אוטומטי.
