Sve veći broj klijenata nas zove i donosi nam diskove koji su zaraženi CryptoLocker-om ili nekom njegovom varijantom (CryptoWall, CryptoDefense, Cryptorbit…). Nažalost, osim ako je u pitanju prva verzija CryptoLockera ili CryptoDefense-a, za koje je pronađeno rešenje zahvaljujući propustima programera ili niskom stepenu enkripcije, za ostale varijante nema rešenja, niti će ih skoro biti.

Kako ste se zarazili?

Postoji više ulaznih vektora za pomenute viruse, kao što su recimo potpuno legitimni update-ovi za popularne programe ili ekstenzije (Java, Flash Player, Adobe Reader…), ali skinuti sa korumpiranih sajtova, ali najčešće je to fajl u attachment-u e-mail-a, koji izgleda potpuno legitimno (ili je došao sa adrese koja legitimno izgleda, ili čak i sa adrese nekoga kome verujete). Pokretanjem programa, u pozadini kreće enkripcija vaših fajlova, tj enkripcija određenog tipa fajlova. U poslednjim verzijama malwear-a, enkripcija koja se primenjuje jeste 2048-bit RSA, tako da bez privatnog ključa koji se generiše u procesu, nema spašavanja, bar ne u ovom veku sa računarima koji su nam dostupni.

Šta možete da uradite?

Ako primetite da je krenulo nešto što nije uobičajno ili traje duže nego što je normalno, najbolje što možete da uradite jeste da odmah ugasite kompjuter. Naime, ceo proces se odvija u pozadini, ali zahteva da vaš Windows operativni sistem bude aktivan. Time nećete spasiti već enkriptovane podatke, ali ćete spasiti one do kojih enkripcija još nije stigla (npr, na drugoj particiji). Neke od varijanti virusa prvo prave kopiju koju enkriptuju, pa brišu orginal, i tu je moguće spasiti vrlo malu količinu podataka. Novije generacije direktno enkriptuju fajlove i tu pomoći te vrste nema.

Ako dobijete ovakvu (ili sličnu) poruku na ekranu, već je kasno:

All of your files were protected by a strong encryption with RSA-2048 using CryptoWall.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 – public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.

Jedna od opcija jeste da platite traženu cenu, koja se kreće u rasponu od par stotina do par hiljada US dolara,m ada tu nemate garanciju da ćete dobiti program za dekripciju. Velike su šanse da hoćete, jer i oni zavise od ljudi. Ako se proširi vest da vam nisu dali program, a vi ste platili, ljudi će prestati da im plaćaju, a to im nije u interesu. To nije opcija koju mi preporučujemo, jer time ih samo ohrabrujete da nastave sa svojim kriminalnim aktivnostima, ali nekada je to Hobsonov izbor.

Naravno, najbolja preporuka jeste da pravite redovan backup, bilo Windows verzije fajlova, bilo eksterni disk na kome ćete držati podatke. Time ćete samo izgubiti vreme na reinstalaciju sistema i kopiranje podataka, ali to je mala cena za vaše podatke, zar ne?

Data Solutions Laboratorija