Vigyázat! Pendrive-on is lapulhat zsaroló vírus

A zsaroló programok készítői még szélesebb körben igyekeznek terjeszteni a veszélyes szerzeményeiket. Már pendrive-okon is lapulhatnak fájlokat romboló károkozók.
 

A zsaroló programok az esetek többségében kártékony weboldalakon vagy fertőzött elektronikus leveleken keresztül terjednek. Az utóbbi esetben vagy a levél melléklete tartalmazza a károkozó fájlját, vagy az üzenetben egy ártalmas weblapra mutató hivatkozás szerepel. Mindkét vírusterjesztési módszer kapcsán elmondható, hogy a felhasználónak közre kell működnie ahhoz, hogy a zsaroló program elinduljon. Ugyanakkor vannak olyan esetek is, amikor - főként biztonsági rések kihasználásával - a támadók automatizált módon igyekeznek elérni azt, hogy a kártékony szerzeményük betöltődjön a memóriába, és elkezdje a rombolást.
 
A Microsoft biztonsági kutatói arra hívták fel a figyelmet, hogy a zsaroló programok terjesztőinek eszköztára a ZCryptor nevű kártevő megjelenésével kibővült. Ez a károkozó ugyanis férgekre jellemző képességekkel is rendelkezik, ami a jelenlegi variánsának esetében cserélhető adathordozókon történő, automatizált terjedésben mutatkozik meg. Vagyis a ZCryptor megpróbálja kihasználni a Windows Autorun funkcióját, és egy autorun.inf fájl segítségével az adattároló csatlakoztatásakor automatikusan igyekszik elindulni. Majd a már megfertőzött rendszeren folyamatosan figyelemmel kíséri a csatlakoztatott adattárolókat, és azokra felmásolja a saját állományait.
 
Megszokott működési elv
 
A ZCryptor a fertőzött rendszereken egy kiterjesztéslista alapján kutatja fel a számára érdekes állományokat, amelyeket titkosít, azaz használhatatlanná tesz. A kártékony program nem kíméli a dokumentumokat, a képeket, a videókat, az adatbázisokat, a forráskódokat, sőt még a CAD-rajzokat sem. Az általa kompromittált fájlok kiterjesztését ".zcrypt"-re cseréli le. Mihelyt végig ér a merevlemezen, illetve a többi elérhető és írható meghajtón, egy üzenetet jelenít meg, amellyel közli a követeléseit. Kezdetben 1,2 Bitcoint próbál behajtani a felhasználón, de ha az nem fizet, akkor az ár négy nap eltelte után 5 Bitcoinra emelkedik.  
A zsaroló program a merevlemezen egy [rendszermeghajtó betűjele]:\system.exe és egy [appdata]\zcrypt.exe nevű állomány formájában tevékenykedik. Esetenként megkísérli felvenni a kapcsolatot a vezérlőszerverével, de a biztonsági cég kutatói szerint ez a kiszolgáló a vizsgálatok elvégzésekor inaktív volt.
 
Védekezés

A ZCryptor elleni fellépés legfontosabb eszközeinek a naprakészen tartott víruskeresők, a rendszeres szoftverfrissítések és a kellő gyakorisággal elvégzett biztonsági mentések számítanak. A mentéseket a védett számítógéptől elkülönítetten kell tárolni. Az Autorun/AutoPlay funkciókat pedig célszerű letiltani a Windows-ban. Ez esetben sem javasolt a csalók követeléseinek teljesítése, hiszen nincs garancia arra, hogy betartják az ígéretüket, és valóban megküldik a helyreállításhoz szükséges információkat.