Polscy internauci ofiarami nowego ataku ransomware – uważajcie na faktury z DHL

Strona główna Aktualności

O autorze

Mamy nadzieję, że nikt z was na swoim komputerze nie znajdzie plików z rozszerzeniem .nozelesn. Jeśli jednak doszło do najgorszego, czyli zaszyfrowania waszych plików, to może będziecie w stanie pomóc badaczom. Przeciwko polskim internautom przeprowadzany jest atak za pomocą ransomware o nazwie Nozelesn, rozsyłanego wraz z fałszywymi fakturami DHL, jednak jak do tej pory nawet CERT Polska nie dysponuje próbką szkodnika.

Prowadzony przez grupę MalwareHunterTeam serwis ID Ransomware odnotował dziesiątki pochodzących z Polski zgłoszeń malware, które otrzymało nazwę Nozelesn od rozszerzenia, jakie dodaje do zaszyfrowanych plików. Jak donoszą ofiary, nowe ransomware szyfruje on dokumenty i pliki graficzne, a następnie umieszcza na pulpicie plik z żądaniem okupu o nazwie HOW_FIX_NOZELESN_FILES.htm.

Schemat wymuszenia okupu jest dość typowy – ofierze nakazuje się w ciągu 10 dni od zaszyfrowania plików zainstalować Tor Browsera, odwiedzić ukrytą w darknecie stronę z końcówką .onion i zapoznać się z umieszczonymi tam instrukcjami. Faktycznie, pod wskazanym adresem działa usługa deszyfrowania. Zalogować się można do niej z wykorzystaniem osobistego kodu, który malware pozostawia w pliku żądania okupu.

Korzystając z jednego z takich kodów sprawdziliśmy, czego cyberprzestępcy chcą tym razem. Niespodzianki nie ma – po rozwiązaniu testu CAPTCHA trafiamy do generatora klucza deszyfrującego, który za jedyne 0,1 BTC (obecnie około 2470 zł) klucz taki dostarczy. Wpłaty dokonywane są na jednorazowe konta, więc trudno powiedzieć, ile osób do tej pory się skusiło.

Oczywiście radzimy, by okupu nie płacić. W ostatnich czasach autorzy ransomware stają się coraz bardziej nieuczciwi i nie dostarczają tego, co obiecali, a zwrotów pieniędzy w sieci Bitcoin nie ma. Płacąc umacniamy też tylko ich biznes i przekonujemy, że ransomware to dobry sposób na życie.

Zamiast tego lepiej poczekać na pracę ekspertów od bezpieczeństwa, którym wielokrotnie już udawało się zaszyfrowane pliki odszyfrować. Wykorzystywano w tym celu czy to błędy w implementacji szyfrowania popełnione przez cyberprzestępców, czy też zdobyte z ich serwerów dowodzenia i kontroli klucze. Najbardziej pomocną będzie tu usługa NoRansom firmy Kaspersky Lab.

Jeśli już jednak padliście ofiarą ataku autorów Nozelesn, sprawdźcie za pomocą swojego programu antywirusowego, czy czasem gdzieś nie zostanie wykryty plik szkodnika. Jeśli tak jest, możecie zgłosić do do polskiego CERT-u, na adres cert@cert.pl.

Pamiętajcie też o kopii zapasowej swoich plików. Zawsze. Jeśli nie wiecie, jak ją zrobić, zapraszamy do naszego poradnika.

Aktualizacja

Wygląda na to, że przyłapano przynajmniej downloadera tego szkodnika. Został on wgrany do VirusTotal, czekamy na dalszą analizę.

© dobreprogramy