V petek, 13. aprila, smo na SI-CERT dobili prve prijave uporabnikov, ki so se okužili s trojancem Ransomcrypt. Ta po zagonu zašifrira datoteke na disku in prikaže sporočilo, v katerem zahteva plačilo 50 € “globe”. To pa naj bi plačali zaradi uporabe nelegalne programske opreme.
Ker je poleg dokumentov in slik Ransomcrypt zašifriral tudi bližnjice, je računalnik postal neuporaben, še posebej, če imate na računalniku administratorske pravice.
Ker smo prejeli več prijav že prvi dan, smo se tudi sami lotili analize trojanca. Na prvi pogled je šifriranje izgledalo kot dokaj enostavno XOR kodiranje, vendar je bilo to res le v začetku. O trojancu je poročalo več protivirusnih podjetij, ruski Dr. Web pa je prvi objavil, da je razvozlal način šifriranja datotek. Ta je odvisen od večih parametrov, vsaka različica pa vsebuje svojega. Uporablja se TEA algoritem (Tiny Encryption Algorithm), avtor pa lahko vsakič izbere nov ključ, njegovo dolžino, algoritem, število tekov, ter začetno in končno lokacijo šifriranja v datoteki.
V sodelovanju z Dr. Web smo vsem prijaviteljem pomagali dešifrirati datoteke, zadnjih par dni pa dobimo le še nekaj prijav na dan. Vsega skupaj 60 prijav, tako domačih uporabnikov, kot tudi podjetij. Še največ težav so imeli v podjetju, kjer sta na datotečnem strežniku dve delovni postaji zaporedoma zašifrirali datoteke, vsaka s svojim ključem.
število prijav Ransomcrypt okužb na dan
Po okužbi se trojanec naseli v uporabnikov %TEMP% direktorij in se aktivira ob dvokliku na zašifrirano datoteko. Več podrobnosti je na voljo v obvestilu SI-CERT 2012-06 / Trojanec Ransomcrypt, če pa poznate koga, ki je postal njegova žrtev, ga napotite na cert@cert.si (elektronska pošta), facebook.com/sicert, ali twitter.com/sicert.