Trojanec Ransomcrypt

Opis

Protivirusna podjetja poročajo o širjenju trojanskega konja Ransomcrypt. Ob okužbi sistema trojanec zašifrira dokumente in slike, ter zahteva od uporabnika nakazilo 50 € preko plačilnega sistema PaySafeCard. Šifrirane datoteke imajo podaljšek .EnCiPhErEd (1). Ob plačilu naj bi storilec poslal ustrezno kodo za razšifriranje datotek.

Rešitev

Če je vaš računalnik okužen, nas kontaktirajte preko elektronske pošte na naslov cert(at)cert.si. Ko bodo na voljo nove informacije o odpravi okužbe in odšifriranju datotek, vam jih sporočimo preko elektronske pošte.

Odprava okužbe

Opravite posodobitev protivirusnega programa in preglejte računalnik. Ta trenutek še nimamo na voljo dovolj informacij za izdelavo navodil za ročno odstranjevanje trojanca Ransomcrypt. Odprava okužbe ne bo nujno poskrbela tudi za odšifriranje vaših datotek.

Varnostne kopije (backup)

Če redno izdelujete varnostne kopije, lahko zašifrirane datoteke restavrirate iz njih. Če še ne izdelujete varnostnih kopij, si oglejte osnovne napotke na našem portalu varninainternetu.si. Z izdelavo varnostnih kopij se zaščitite pred izgubo podatkov zaradi strojnih in programskih napak, ali v primeru računalniškega vdora ali okužbe. Trojanec zašifrira tudi datoteke na zunanjih diskih, zato je uspešnost restavracije datotek odvisna od metode izdelave varnostnih kopij.

Program te94decrypt.exe

Več uporabnikov poroča uspešno odšifriranje datotek z uporabo programa te94decrypt.exe ruskega protivirusnega podjetja Dr.Web. Programa še nismo ustrezno analizirali, zato ga uporabljate na lastno odgovornost. Uporabo programa priporočamo le naprednejšim uporabnikom in pred izdelavo varnostnih kopij. Program namreč lahko okvari datoteke ali jih le delno odšifrira. Ker je različic trojanca več, raje kontaktirajte avtorja programa (Dr. Web) preko povezave v njihovem obvestilu.

Program zaženete preko ukazne vrstice (Start -> Run, vpišite cmd) in z ukaznim parametrom -k 85 (ali -k 88).

Povezave

Vir in spremembe ter dopolnitve informacij: SI-CERT