Kot so sporočili s podjetja za računalniško varnost F-secure, širjenje trojanskega konja RansomCrypt zaznavajo zadnja dva dni. Zlonamerna koda ob okužbi preveri mape na računalniku, okuži vse dokumente, slike in bližnjice in jim doda 'podaljšek .EnCiPhErEd.

V vsaki mapi tudi ustvari tekstovno datoteko z imenom HOW TO DECRYPT.TXT. Ta vsebuje izsiljevalna navodila, so sporočili z mariborskega podjetja Amis, ki v Sloveniji zastopa F-secure.
S spremembo v registru je avtor trojanca poskrbel, da se izsiljevalno sporočilo odpre tudi ob vsakem poskusu zagona okužene in šifrirane datoteke. Avtor zahteva, da mu uporabnik za odklep datotek na njegov račun na spletnih plačilnih storitvah Ukash ali Paysafecard nakaže 50 evrov. Če to stori, mu izsiljevalec pošlje odklepno šifro.
Uporabnik ima pet možnosti za pravilen vnos šifre. Po petih poskusih se zlonamerna koda izbriše s sistema, za seboj pa pusti šifrirane datoteke. Izsiljevalec sicer v zapisu zatrjuje, da bodo ob tem datoteke "nepovratno pokvarjene".
Amis: Žrtev v Sloveniji nekaj deset
Vodja oddelka varnostnih rešitev v Amisu Sergeja Cvelfer je dejala, da je bilo po dostopnih informacijah do zdaj v Sloveniji nekaj deset žrtev tega trojanca. "Problematičen je predvsem v podjetjih, ker zakodira tudi datoteke na skupnih diskih. Dovolj je torej, da se en od računalnikov okuži in ta računalnik potem zakodira datoteke povsod, do koder ima uporabnik dostop," je pojasnila.
SI-CERT še ni prejel prijav
Slovensko središče za obravnavo medmrežnih incidentov SI-CERT za zdaj še ni prijelo prijav o okužbah s trojancem RansomCrypt. "Tudi od drugod prihajajo novice o tem konkretnem trojancu šele danes. Znane pa so podobne starejše različice že nekaj let," je pojasnil vodja središča Gorazd Božič.
Vsem uporabnikom svetujejo, naj redno izdelujejo varnostne kopije, s čimer se izognejo možnosti izgube dragocenih podatkov. Morebitnim žrtvam pa svetujejo, naj se obrnejo na njihovo središče (e-poštni naslov cert@cert.si). Trenutno še preverjajo, kako dešifrirati datoteke, vsem prijaviteljem pa bodo poslali navodila takoj, ko bo rešitev na voljo.
Kako se sistem okuži?
Božič pojasnjuje, da je trenutni način širjenja prek zlorabljenih spletnih strani. Vdiralec lahko izkoristi slabo zaščito spletnega mesta tako, da mu v HTML-kodo podtakne povezavo do svoje strani. Ta je obiskovalcu nevidna, brskalnik pa ji sledi. Gre za t. i. drive-by downolad. Napadalec lahko izkoristi varnostne luknje, če uporabnik nima posodobljenega brskalnika ali njegovih komponent.
Mogoča pot za najnaprednejše uporabnike
Po navedbah SI-CERT-a več njihovih uporabnikov poroča o uspešnem dešifriranju datotek z uporabo programa te94decrypt.exe ruskega protivirusnega podjetja Dr.Web. V SI-CERT-u sicer programa še niso ustrezno analizirali, zato ga uporabniki koristijo na lastno odgovornost - uporabo priporočajo le najnaprednejšim uporabnikom. Pred uporabo svetujejo izdelavo kopije diska ali map s šifriranimi datotekami.
V Amisu medtem pravijo, da se datoteke da dešifrirati, in dodajajo, da se uporabniki za pomoč lahko obrnejo nanje. Za zaščito pred tem trojancem pa svetujejo predvsem to, da imajo nameščene najnovejše popravke operacijskih sistemov in podpornih programov (Adobe Acrobat, Adobe Flash, Java).
"Predvsem glede Jave je zadnje čase veliko različnih okužb, saj se računalnik lahko okuži zgolj z obiskom spletne strani - ne da bi uporabnik kaj kliknil ali namestil. Zato se zadnje čase uporabnikom svetuje, da Javo odstranijo ali izklopijo, če je ne uporabljajo," pojasnjuje Cvelferjeva.
Java je te dni po njenih besedah težave povzročala tudi računalnikom z operacijskim sistemom Apple OS X, za katerega se je prav tako pojavil škodljiv program Flashback in se nameščal na računalnike. Apple je že objavil posodobitev, s katero odpravlja ranljivost, ki jo izkorišča omenjeni program.