Bekeményítettek a zsaroló vírusok

A zsarolással pénzt szerző kártékony programok régi motorosok a vírusok világában. Az első ilyen jellegű károkozók egyike az 1989-ben megjelent AIDS (PC Cyborg) trójai volt. Komolyabb problémát azonban ezek a programok akkor kezdtek jelenteni, amikor az interneten is felbukkantak. Fájlok titkosításával vagy törlésével igyekeztek használhatatlanná tenni a fertőzött számítógépeken lévő állományokat, majd megzsarolták a felhasználókat. Általában több tíz vagy száz dollárt követeltek azért, hogy a betitkosított fájlok visszaállíthatóvá váljanak. Az egyik legnagyobb hírnévre szert tett, ilyen jellegű számítógépes kártokozó a GpCode, amely először hat éve jelent meg. Érdekes megemlíteni, hogy az egyik, 2007-ben napvilágot látott változata tartalmazott egy hibát. Ezt a Kaspersky Lab kutatói arra használták fel, hogy a kártevő által alkalmazott (4096 bites kulccsal működő) titkosítást visszafejtsék, és elérhetővé tegyenek egy olyan kis segédprogramot, amely a trójai által okozott károkat segít felszámolni. A legújabb zsaroló programokkal azonban már nem mindig ilyen könnyű elbánni.

Az elmúlt napokban több biztonsági cég is arra hívta fel a figyelmet, hogy a zsaroló kártevők újra színre léptek, és viszonylag komoly támadást indítottak. Elsőként a Sophos adott hírt egy ilyen károkozóról, amely 120 dollárt követelt azért, hogy az általa letitkosított állományok visszafejthetők legyenek. A trójai a leggyakrabban használt kiterjesztésekkel rendelkező fájlokat teszi használhatatlanná, így például a dokumentumokat, képeket, multimédiás állományokat sem kíméli. Ráadásul a felhasználókat még meg is fenyegeti, ugyanis közli, hogy ne próbáljanak mással szóba állni az eset kapcsán, és kövessék az utasításokat.

„Jelenleg nincs igazán hatékony lehetőség arra, hogy a titkosított fájlokat dekódoljuk. A kutatóink dolgoznak a megoldáson. Nem valószínű, hogy egyszerű brute force módszerekkel sikerrel járunk. A trójai 1024 bites kulcsok révén titkosítja le a fájlokat, és most azt kutatjuk, hogy a program miként generálja a kulcsokat. Amennyiben ezt megfejtjük, akkor képesek leszünk segédprogramot fejleszteni a kulcsgeneráláshoz" - mondta Chet Wisniewski, a Sophos biztonsági tanácsadója.

Időközben a Kaspersky Lab jelezte, hogy lefülelte a GpCode legújabb variánsát, amely nagyon hasonlóan működik, mint a Sophos által felfedezett kártékony program. A biztonsági cég szerint a legújabb változat annyiban tér el az elődeitől, hogy ezúttal nem külön fájlokba titkosít, majd törli az eredeti állományokat, hanem közvetlenül felülírja az eredeti fájlokat. Ezért aztán a törölt fájlok helyreállításával nem szerezhetők vissza az adatok. A Kaspersky Lab a korábbi variánsok esetében helyreállítási célra a PhotoRec alkalmazást javasolta, de ez sajnos most már nem segít.

A CA is hírt adott egy zsaroló programról, amely szintén képes bonyodalmakat okozni. Ez a trójai nem a fájlokat titkosítja, hanem az MBR-t (Master Boot Record) módosítja. A CA szerint a kártevő az MBR manipulálása révén gondoskodik arról, hogy a Windows-t ne lehessen elindítani. Csak egy üzenetet jelenít meg, amely szerint 100 dollárért megkaphatja a felhasználó a helyreállításhoz szükséges információkat. A biztonsági cég javaslata szerint egy ilyen fertőzést követően az operációs rendszer telepítő, helyreállító CD/DVD-jével érdemes kijavítani a károsodott MBR-t.