Internetem se šíří nebezpečný červ Cryptolocker

Celosvětovou sítí se začal šířit jeden z nejnebezpečnějších zákeřných kódů za poslední desetiletí. Cryptolocker po infikování Windows šifruje soubory v počítači i lokální síti, čímž uživatelé ztrácejí přístup ke svým datům. Útočníci chtějí po oběti 100 nebo častěji 300 euro, resp. dolarů, jinak budou data navždy ztracena -- Cryptolocker totiž odpočítává čas, než dojde ke smazání soukromého klíče.

Cryptolocker napadá systémy Windows jednoduchou metodou, šíří se e-mailovými zprávami, jež se vydávají za poštu odeslanou různými důvěryhodnými organizacemi (phishing). Samotný škodlivý kód je ukryt v příloze a maskován jako soubor PDF. Po otevření souboru se červ nainstaluje do Windows (přesněji do uživatelského profilu), někdy bývá přibalen i další známý bankovní trojan Zeus. Cryptolocker přidává také klíč do registru Windows, což zaručuje jeho spuštění se startem samotného systému.

Aktivní Cryptolocker se poté připojí na některý z definovaných vzdálených serverů -- po úspěšném připojení server vygeneruje pár šifrovacích klíčů (RSA-2048), přičemž veřejný klíč je odeslán do napadeného počítače, kde je použit k zašifrování uživatelských dat. Uživatel je poté informován v okně programu, že osobní soubory byly zašifrovány a že k nim ztratí natrvalo přístup, pokud nezaplatí žádanou částku (100 nebo 300 eur/dolarů) a nezíská soukromý klíč k dešifrování. "Jakékoli snahy o odstranění nebo poškození tohoto softwaru budou mít za následek, že server okamžitě zničí soukromý klíč," vyhrožuje Cryptolocker svým obětem. Termín pro zaplacení je 72, resp. 100 hodin.

Ačkoli odstranit Cryptolocker není příliš složité, povede to k prostému faktu, že uživateli zůstanou na disku zašifrované soubory, které nemá šanci dešifrovat. Vzhledem k délce šifry jsou pokusy hrubou silou neúčinné. Proti Cryptolockeru neexistuje účinná obrana, neumějí jej detekovat ani antivirové programy (v posledních dnech mnozí výrobci antivirových programů zapracovali na detekci a stejně tak se pokoušejí blokovat komunikaci se servery, na něž se Cryptolocker připojuje).

Pokud se uživatelská stanice nakazí tímto malwarem, uživatel může zkusit obnovit systém a dokumenty ze zálohy. Jenže pravidelné či automatické zálohování není zrovna nejrozšířenějším způsobem ochrany dat v domácnostech či malých firmách. Cryptolocker navíc napadá a šifruje také namapovaná síťová úložiště, proto v případě lokálního zálohování jsou často zašifrovány i samotné zálohy.

28. 10. 2013

Autor: Redakce DSL.cz