Képekkel támadnak a zsaroló vírusterjesztők

A fájlokat titkosító, felhasználókat megzsaroló Cryptowall trójai program terjesztői új módszerrel próbálkoznak. Látszólag ártalmatlan grafikus fájlok révén igyekeznek feljuttatni a PC-kre a károkozójukat.
 

A Cryptowall trójai már eddig is nagyon komoly károkat okozott. A világméretű térhódítása során milliószámra tette használhatatlanná a felhasználók értékes állományait, miközben az áldozatok megzsarolásával igyekezett pénzzel megtömni a csalók zsebét. Noha az utóbbi időben némileg kevesebbszer került szóba ez a romboló kártékony program, azért a háttérben a vírusírók serényen tevékenykedtek, és újabb alattomos technikákat dolgoztak ki az ártalmas szerzeményük minél szélesebb körű terjesztéséhez.
 
Új terjesztési technika

A Cryptowall eddig elsősorban kártékony weboldalakról vagy egyéb ártalmas programok közreműködésével került fel a számítógépekre. Az AppRiver biztonsági kutatói azonban arra lettek figyelmesek, hogy ezen a téren az elmúlt napokban felerősödött a kéretlen elektronikus levelek szerepe. Ráadásul a vírusterjesztők egy meglehetősen megtévesztő módszert kezdtek alkalmazni, amivel sok felhasználót tudnak csőbe húzni.  
Az új technika lényege, hogy a kockázatot jelentő e-mailek mellékletében egy tömörített (zip kiterjesztésű) fájl kap helyet, amelyet ha a felhasználó kibont, akkor látszólag egy teljesen ártalmatlan SVG állománnyal találkozik. Az SVG formátum mögött alapvetően grafikák, kétdimenziós ábrák, képek szoktak meghúzódni, ami ezúttal sincs másként. Egy nagy különbség azonban van: az SVG-fájlba a csalók elrejttettek egy olyan JavaScript kódot, amely egy távoli webszerverről letölt egy fájlt. Amennyiben ezt is megnyitja a felhasználó, akkor a számítógépe megfertőződhet a Cryptowall trójai legújabb variánsával. Ha ez bekövetkezik, akkor a trójai a már ismert módon elkezdi titkosítani a felhasználói fájlokat, majd egy idő után megjeleníti a zsaroló üzenetét. Ekkor különböző összegek (vagy bitcoinok) átutalására próbálja rávenni a felhasználót, vagyis fizetséghez köti a kompromittált fájlok helyreállításához szükséges információk átadását.  
Az AppRiver kutatói egy további érdekességre is felhívták a figyelmet. Azt vették észre, hogy Cryptowall legújabb variánsa számos adatbázis-lekérdezésre alkalmas SQL utasítást is tartalmaz. Az utasítások elemzésekor hamar fény derült arra, hogy a károkozó iskolai adatbázisokat próbál célkeresztbe állítani. Arról egyelőre nincs információ, hogy pontosan mely oktatási rendszerrel kompatibilis, de a táblanevek egyértelműen iskolákban használt szoftverek adatbázisára utalnak.
 
Védekezési lehetőségek

A Cryptowall és a hasonló módszereket alkalmazó kártékony programok elleni védekezés során fontos a naprakészen tartott víruskeresők használata, és a gyanús webes tartalmak, valamint az ismeretlenektől származó elektronikus levelek rendkívül óvatos kezelése. Emellett nélkülözhetetlen a biztonsági mentések készítése, amelyeket elkülönítetten célszerű tárolni a számítógéptől. Amennyiben minden óvintézkedés és óvatosság ellenére mégis bekövetkezik egy fertőzés, akkor a mentésekből helyreállíthatóvá válhatnak az értékes állományok. A biztonsági cégek nem javasolják a csalók követeléseinek teljesítését.