Nuo programos šifruotojos „Polyglot“ nukentėję naudotojai dabar gali susigrąžinti prieigą prie failų taikydami nemokamą iššifravimo instrumentą „RannohDecryptor“, kurį išleido „Kaspersky Lab“.
„Trojos“ virusas, žinomas kaip „MarsJoke“, platinamas šlamštalaiškiais, kuriuose yra kenkėjiškas vykdomasis failas, supakuotas į RAR archyvą. Įsiskverbęs į sistemą, „Polyglot“ išoriškai niekaip nekeičia naudotojų failų, bet blokuoja prieigą prie jų. Baigęs šifruoti, virusas keičia darbalaukio vaizdą, o vėliau iškelia langą su išpirkos, kuri žymima bitkoinais, reikalavimu. Jei įmoka nebus sumokėta per sukčių nurodytą terminą, virusas palieka failus užšifruotus ir pats pasišalina iš užkrėsto įrenginio.
Naujas šifruotojas labai panašus į seniai žinomą „CTB-Locker“, nors bendro kodo abiejuose virusuose nerasta. „Polyglot“ faktiškai visiškai atkartoja „CTB-Locker“: beveik identiški grafinių sąsajų langai, iš nukentėjusio reikalaujamų veiksmų seka, kad atgautų raktą, apmokėjimo puslapis, darbalaukio vaizdas ir kiti elementai.
„Kaspersky Lab“ ekspertai kruopščiai išnagrinėjo naują virusą ir aptiko, kad skirtingai nei „CTB-Locker“, jis taiko labai nestabilų rakto generacijos algoritmą. Dėl to tapo įmanoma greitai atrinkti raktą ir sukurti instrumentą, padedantį viruso aukoms atkurti užšifruotus failus.
„Siekiant išvengti įrenginio užkrėtimo programa šifruotoja, reikia taikyti patikimus šiuolaikiškiausių technologijų apsaugos sprendimus. Kaip parodė viruso „Polyglot“ analizė, naudotojams gali pasisekti, jei puolantis virusas turi klaidų arba jei jį kuriant buvo taikomas įsilaužimui neatsparus algoritmas. Tokiu atveju yra šansų greitai ir neskausmingai grąžinti prieigą prie failų. Tačiau neverta pasikliauti vien sėkme. Šis atvejis – greičiau išimtis nei taisyklė, todėl mes rekomenduojame visiems naudotojams iš anksto pasirūpinti apsauga nuo programų šifruotojų“, – aiškina Antonas Ivanovas, „Kaspersky Lab“ vyriausiasis antivirusų analitikas.