Fałszywe e-maile, których nadawcy podszywają się pod działających w Polsce operatorów telekomunikacyjnych i pocztowych, chętnie były dotąd wykorzystywane przez twórców zagrożeń podmieniających numery kont bankowych. Coś się jednak w tej dziedzinie zmienia. Do skrzynek polskich internautów zaczęły bowiem trafiać informacje o niedostarczonych przesyłkach rozpowszechniające szkodnika innego typu.

CryptoLocker jest programem z kategorii ransomware (z ang. ransom – okup, software – oprogramowanie). Jego działanie sprowadza się do zaszyfrowania plików przechowywanych na komputerze użytkownika i żądania okupu w zamian za narzędzia pozwalające je odszyfrować.

Producenci antywirusów nie tracą czasu na uzgadnianie nazw wykrywanych zagrożeń, w sieci mogliście więc natrafić na opisy takich szkodników, jak CTB-Locker, CryptoWall czy Filecoder, przypominające w pewnym stopniu poniższą charakterystykę. Można założyć, że w większości przypadków chodziło o któryś z licznych wariantów CryptoLockera.

Najnowszy – jak wynika z informacji podawanych przez ESET – został przygotowany z myślą o Polakach. Poniżej możecie zobaczyć przykład wiadomości rozsyłanej w ostatnim czasie do internautów. Dowiecie się z niej, że kurier nie był w stanie dostarczyć przesyłki „ponieważ nikt w tym czasie”. Takie okrojone sformułowanie pozwala przypuszczać, że nadawca nie włada językiem polskim i skorzystał z translatora.

CryptoLocker

Użytkownik jest nakłaniany do kliknięcia w link i wydrukowania znajdujących się pod nim informacji. Z wydrukiem należy udać się na pocztę, bo nieodebranie przesyłki w ciągu 7 dni roboczych może spowodować przeniesienie na użytkownika rzekomych kosztów jej utrzymania wynoszących 50 zł dziennie. Wisienką na torcie jest widniejąca na dole informacja o możliwości wypisania się z subskrypcji.

Infekcja zaczyna się w momencie, gdy ofiara kliknie w link zawarty w otrzymanej wiadomości. Powoduje to pobranie z sieci droppera, który po zainstalowaniu się w systemie ściąga kolejnego szkodnika, czyli właśnie CryptoLockera. Zagrożenie szyfruje pliki użytkownika asymetrycznym algorytmem kryptograficznym (RSA-2048) i wyświetla komunikat. Aby przywrócić dostęp do zaszyfrowanych plików, ofiara musi zapłacić okup.

Odzyskanie tak zaszyfrowanych danych jest niemożliwe. Jedynym rozwiązaniem jest odtworzenie danych z wykonanej wcześniej kopii zapasowej.

Warto zatem zachować szczególną czujność podczas korzystania z poczty elektronicznej – pod żadnym pozorem nie otwierajmy załączników niewiadomego pochodzenia.