Dėmesio: plinta virusai, užšifruojantys failus.

2015-11-30

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojingų „ransomware“ tipo virusų suaktyvėjimą.

Virusų požymiai:

  • priklauso išpirkos reikalaujančių virusų šeimai (angl. ransomware);
  • visuose prieinamuose diskuose (kietuosiuose diskuose, atmintukuose ir tinkliniuose diskuose) ieško failų pagal tam tikrus plėtinius ir vėliau šifruoja juos;
  • rodo anglišką ar lietuvišką pranešimą, kuriame nurodoma, kad failai yra šifruoti ir kokie turėtų būti tolesni kompiuterio naudotojo veiksmai;
  • išpirką už dešifravimą neretai prašoma mokėti bitkoinais;
  • sumokėjus išpirką, failų dešifravimas anaiptol nėra garantuojamas (t. y. naudotojas gali būti apgautas).

Yra daug tokių virusų atmainų. Kai kuriais atvejais užšifruotus failus galima dešifruoti, pasinaudojus tokiais įrankiais kaip https://noransom.kaspersky.com/ ir https://support.kaspersky.com/viruses/disinfection/8547.


CERT-LT rekomenduoja:

  • neatidarinėti įtartinų nuorodų;
  • neatidarinėti įtartinų failų, gautų el. paštu;
  • kilus abejonei, patikrinti failą interneto svetainėje www.virustotal.com (atkreipiame dėmesį, kad neretai antivirusinės programos atpažįstą kenkimo kodą praėjus tik kelioms dienoms);
  • nuolat daryti atsargines duomenų kopijas;
  • neleisti naudotojams dirbti kompiuteriu kasdienius darbus turint administratoriaus teises (ypač naršyti internete);

Jei kompiuteris buvo užkrėstas tokiu virusu, reikia:

  • pašalinti surastas viruso vykdomojo failo kopijas;
  • jei buvo naudojamos tokios „Windows“ OS funkcijos kaip „Shadow Copy“ arba „Previous Version“, pabandyti atkurti užšifruotus failus iš kompiuteryje esančių atsarginių kopijų;
  • jei nėra failų atsarginių kopijų (kompiuteryje ar išorinėje laikmenoje), išsaugoti svarbius viruso užšifruotus failus (jei bus rastas dešifravimo būdas, tikėtina, failus pavyks dešifruoti);
  • atlikus šiuos veiksmus, perdiegti užkrėsto kompiuterio OS ir įdiegti OS atnaujinimus.

Daugiau informacijos apie vieną žinomiausių šios rūšies virusų – „CTB Locker“:

1. https://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information;

2. https://www.2-viruses.com/cbt-locker-ransomware-or-how-to-decrypt-encrypted-files;

3. https://curah.microsoft.com/293812/decrypt-your-files-damaged-by-ctb-locker-virus.


Užvaldęs kompiuterį, „CTB Locker“ rodo tokį ar panašų pranešimą:

Visi pranešimai