11 dec. 2016 | 17:44

Ce să faci dacă ți-au fost criptate datele cu un ransomware

OPINII
Ce să faci dacă ți-au fost criptate datele cu un ransomware

Despre programele ransomware se vorbește atât de mult încât cred că majoritatea celor care folosesc Internetul știu deja că îți criptează fișierele și cer o sumă de bani (“răscumpărarea”), în schimbul deblocării. Sunt, însă, câteva lucruri, pe care, oricât de des le-am auzi, uneori tot nu le aplicăm.

[related]

De exemplu, prevenția este mai importantă decât tratamentul. Dacă faci backup fișierelor de pe dispozitiv suficient de des, nu o să mai ai de ce să te întrebi dacă să plătești sau nu suma cerută, pentru că nu ai pierdut nimic irecuperabil. Cel mai bine este ca backup-ul să existe în două locuri – o dată în Cloud, cu ajutorul unor servicii cum sunt GoogleDrive sau Dropbox și o dată fizic, pe alt laptop sau pe un hard drive portabil.

Nu amâna la nesfârșit actualizările sistemelor de operare, ale soluțiilor de securitate și ale tuturor programelor folosite. Dacă bazele de date nu sunt la zi sau nu au fost rezolvate vulnerabilităție identificate anterior, misiunea infractorilor cibernetici va fi mai ușoară.

Atenție la link-urile pe care dai click, la fișierele pe care le deschizi și la ce instalezi pe dispozitiv! Recent, a apărut un nou malware pe Facebook, trimis sub forma unor poze în format svg, care, în momentul în care sunt deschise, îl direcționează pe utilizator către un site YouTube fals, pentru a instala o extensie Chrome care să permită deschiderea videoclipului. Extensia Chrome este, de fapt, un program malware care se pare că ar descărca ransomware-ul Locky, pentru care nu există încă o soluție de decriptare.

Dacă se întâmplă totuși să îți fie infectat dispozitivul și să nu ai backup la fișierele criptate, uite ce ai putea să faci. Caută, în primul rând, cheia de decriptare pe Internet. Noi de fiecare dată când reușim să spargem un cod ransomware, facem public antidotul aici, pentru a ajuta victimele.

De exemplu, în cazul în care ești printre “norocoșii” care și-au infectat dispozitivul cu un fișier de tip .crypt, vestea bună este că există o cheie de decriptare, RannohDecryptor. Aceasta a fost creată pentru ransomware-ul Rannoh, iar apoi a fost actualizată, ca să decripteze și fișierele afectate de CryptXXX. Pentru ca decriptarea să funcționeze, trebuie să mai ai cel puțin un fișier în varianta originală, necriptată. Chiar dacă nu ai făcut backup documentelor, caută prin adresa de e-mail, sigur ar trimis măcar un fișier și îl poți recupera de acolo.

Trebuie să descarci programul RannohDecryptor și să-l deschizi pe computerul infectat. Vei găsi și instrucțiunile cu pașii care trebuie urmați. Dă un scan, apoi indică locul unde se află un fișier criptat și unul care nu este criptat. În cazul în care responsabilă de criptare a fost varianta de troian Trojan-Ransom.Win32.CryptXXX, ar trebui să alegi fișierul cel mai mare, pentru că vor fi decriptate doar fișierele mai mici sau egale cu acesta. După ce fișierele sunt identificate și decriptate, probabil va trebui să faci un reboot. Pentru a șterge fișierele criptate, ai la dispoziție o opțiune care chiar așa se numește: Delete encrypted files after decryption. Atenție, bifeaz-o doar după ce te-ai asigurat că fișierele au fost decriptate și le poți deschide! Dacă selectezi opțiunea de a șterge fișierele criptate după decriptare, fișierul recuperat va fi salvat cu denumirea inițială. În funcție de versiunea de ransomware, s-ar putea ca procesul de curățare să dureze mai mult, dar într-un final binele va birui !

Ștefan Tănase este Senior Security Specialist în cadrul Kaspersky Lab. Când nu se luptă cu viruși, ne învață cum să navigăm în siguranță. vezi toate articolele