Kéz a kézben terjed két veszélyes trójai

Banki adatok eltulajdonítására alkalmas trójaival együtt terjed az a kártékony program, amely a számítógépeken található fájlok használhatatlanná tételét követően megzsarolja a felhasználókat.
 

A zsaroló kártékony programok korántsem számítanak új keletű jelenségnek a számítógépes vírusok világában. Alapvetően kétféle típusuk létezik. Az egyik a PC-k zárolásával okoz komoly bosszúságot, míg a másik közvetlen károkat képes előidézni, mivel állományok titkosításával teszi használhatatlanná vagy akár helyreállíthatatlanná a felhasználók digitális értékeit. Azonban mindkét esetben a végső cél azonos: a károk helyreállításáért cserébe minél több pénzt követelni az áldozatul esett számítógépek tulajdonosaitól. E károkozók két legismertebb, régóta terjedő példánya a Ransomlock és a Ransomcrypt trójai. Ahogy azt a nevük is mutatja, az előbbi a Windows zárolásával, alkalmazások elérhetetlenné tételével próbál pénzt kicsalni, míg a másik fájlok titkosításától sem riad vissza.

A Symantec kutatói az elmúlt napokban arra lettek figyelmesek, hogy a nagyobb károkozásra képes Ransomcrypt trójainak egy újabb variánsa jelent meg, amely a céljait és az alapvető taktikáját illetően ugyan semmit sem változott az elődjeihez képest, azonban a terjedését és egyes összetevőit tekintve hordoz újdonságokat. Sajnos ezek a korábbiaknál veszélyesebbé teszik a kártevőt.

A Ransomcrypt "F" betűjelű variánsának legfigyelemreméltóbb tulajdonsága, hogy a banki adatok lopására specializálódott, korábban már komoly hírnévre szert tett Zbot trójaival együtt kerülhet fel a számítógépekre. Elsősorban elektronikus levelekhez mellékelt, fertőzött fájlok révén próbálja uralma alá vonni a PC-ket. Amikor a felhasználó megnyit egy ilyen csatolmányt, akkor a trójai betöltődik a memóriába, és rögtön megpróbál egy távoli kiszolgálóhoz csatlakozni különféle parancsok, utasítások letöltése érdekében. Eközben pedig nekilát a rendszeren található, felhasználók által gyakorta használt állományok titkosításához. Ilyen módon többek között képeket és Office dokumentumokat is károsít. Az eddigi vizsgálatok szerint a Ransomcrypt ezúttal is meglehetősen erős titkosítási eljárásokat alkalmaz, így a dekódoláshoz szükséges kulcs nélkül komoly nehézségekbe ütközhet a helyreállítás.


Forrás: Symantec

Végül a trójai - a Ransomlockhoz hasonlóan - megjelenít egy teljes képernyős ablakot, és elérhetetlenné teszi a Windows-os alkalmazásokat. A felbukkanó ablakban pedig közli a követeléseit. Azért, hogy még inkább ráijesszen a felhasználóra, egy számlálót is megjelenít, amelyet folyamatosan csökkent utalva arra, hogy nincs sok idő a követelt összeg átutalására. Ez esetben egyébként MoneyPak vagy Bitcoin alapú fizetési módok érhetők el.

A Symantec kutatói hangsúlyozták, hogy a Ransomcrypt elleni, hálózatszintű védekezést nehezíti, hogy a károkozó úgynevezett DGA (Domain Generation Algorithm) algoritmusok segítségével generálja azon domain neveket, amelyeket aztán felhasznál a vezérlőszervereihez való kapcsolódáshoz. A trójai naponta 1000 véletlenszerű domain név generálására alkalmas. Ehhez Mersenne twister véletlenszám-generátort használ, mely viszonylag szokatlan a kártékony programok esetében. Ugyanakkor a Zbot egyes variánsai éppen ezt a módszert alkalmazzák, ami egy újabb közös vonás a két különböző céllal létrehozott károkozó között.

Legfontosabb a megelőzés

A Symantec azt javasolta, hogy egy zsaroló programmal való fertőzés esetén senki ne fizesse ki a követelt pénzösszeget. Semmi nem garantálja ugyanis, hogy ezt követően meg is kapja a titkosítás feloldásához szükséges kulcsokat, információkat. A védekezést a megelőzésre kell kihegyezni, amiben fontos szerepet kell kapniuk a naprakészen tartott víruskeresőknek és az egyéb biztonsági alkalmazásoknak. Emellett a rendszeres biztonsági mentésekről sem szabad megfeledkezni, ugyanis ezáltal a veszteségek csökkenthetők, és a helyreállítás nagymértékben megkönnyíthető.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség