Tereza MalkusováKdyž mi zvonil telefon, netušil jsem, že se bude jednat o první českou mutaci viru Filecoder. Za chvíli přišly screenshoty a bylo jasno. Zašifrované .doc, .xls, .pdf, obrázky a databázové soubory.
Na počítači běželo jedno bezplatné antivirové řešení, podle kterého bylo vše v naprostém pořádku. Jestli jsou data, zašifrovaná malwarem v pořádku, tak pak jsme hledali problém zbytečně (smích).
Získané vzorky jsme poslali do našeho VirusLabu s tím, že šance je, ale také jsme zákazníka připravili na to, že pokud nemá data zálohovaná, bude s nimi konec. Záloha byla. Ale na externím disku, který Cryptolocker zašifroval také.
Do každého adresáře pak malware umístil soubor .txt, který informoval o možnosti zaplacení a odblokování dat. Samozřejmě pomocí Bitcoinu.
Po dvou hodinách jsme měli nástroj, který byl schopen soubory dešifrovat klíčem, který jsme získali ze zaslaných vzorků. Obrovské štěstí uživatele.
Nakonec byla všechna data večer k dispozici, ESET antivirus pak jen dočistil disk. Každý .txt soubor s instrukcemi byl detekován jako malware – a následně smazán.
Podle všeho si tedy někdo v ČR rozjíždí nový business. Uživatel tohoto infikovaného PC nelezl na závadné stránky, neotevřel žádný podezřelý e-mail. Jen měl neaktualizovaný OS, Javu a Adobe Flash Player.
Myslete, prosím, i na aktualizace. Mohou zabránit zneužití chyby, nebo instalaci malware. V žádném případě nikomu neplaťte. I my se můžeme pokusit získat klíč, který data dešifruje.
Lucie Mudráková
