A béna zsarolóvírus romboló szörnyeteggé változott

A DeathRansom első variánsa szerencsére igen bénára sikerült, de sajnos a helyzet gyorsan megváltozott. Most már helyreállíthatatlan károkat képes okozni a szerzemény.
 

A DeathRansom zsaroló program alapvetően azzal a céllal született, hogy fájlok titkosítását követően megzsarolja a felhasználót, majd váltságdíjat követeljen a helyreállításhoz szükséges kódért cserébe. Arról lehetett leginkább felismerni, hogy a fertőzött számítógépeken a fájlok nevét .wctc kiterjesztéssel egészítette ki. 

Látszólag semmi meglepőt nem végzett a többi ransomware programhoz képest. Csakhogy a biztonsági vizsgálatok során hamar kiderült, hogy a zsaroló program vagy hibás, vagy csak kezdeti szárnypróbálgatásnak szánták azt a készítői. A kártevő ugyanis valójában nem titkosította a fájlokat, csak azok kiterjesztését változtatta meg, majd megjelenítette a zsaroló üzenetét. A manipulált kiterjesztések miatt ugyan a fájlok nem voltak közvetlenül megnyithatók, de egyszerű fájlátnevezést követően minden probléma helyrehozható volt. 

Gyors hibajavítás

A DeathRansom készítői sajnos gyorsan reagáltak, és rövid időn belül kiadták azt a variánst, amely már valóban képes komoly károkozásra. A legújabb változat már ténylegesen titkosítja az állományokat, méghozzá izmos algoritmusok segítségével. Egyelőre nincs ellenszer (a biztonsági mentéseken kívül). 

Érdekesség, hogy - az eredeti variánstól eltérően - az új kiadás nem módosítja a kompromittált fájlok nevét, vagyis nem "jelöli" meg azokat jól látható módon. A háttárében azonban minden tönkretett állományhoz hozzáfűz egy "AB EF CD AB" hexadecimális értéket, ami azt jelzi, hogy a rombolás megtörtént. 

A zsaroló program nem titkosítja a Windows rendszerfájljait, illetve az alkalmazások könyvtárait, vagyis a fertőzést követően is működőképes marad a számítógép. A kompromittált fájlokat tartalmazó mappákba pedig bekerül egy-egy read_me.txt nevű szöveges állomány, amely a követeléseket tartalmazza. A zsarolók jelenleg 0,1 Bitcoin váltságdíjat akarnak beszedni. 

Annak ellenére, hogy jelenleg nincs ellenszere a DeathRansomnak, nem javasolt a követelések teljesítése. Semmi garancia nincs arra, hogy a fizetést követően megérkezik a dekódoló kulcs, és valóban helyreállíthatóvá válnak a fájlok. 
 
  1. 4

    11 biztonsági javítás érkezett a Thunderbird alkalmazáshoz.

  2. 3

    A Citrix XenServerhez egy biztonsági frissítés vált elérhetővé.

  3. 4

    A Microsoft Edge két biztonsági hiba miatt kapott frissítést.

  4. 4

    A WordPress kompatibilis Forminator bővítmény súlyos biztonsági hibát tartalmaz.

  5. 3

    A Graylog esetében egy biztonsági hiba megszüntetésére nyílt lehetőség.

  6. 4

    A Tenable Nessus három biztonsági frissítést kapott.

  7. 3

    Az Apache Hive fejlesztői egy biztonsági hibát javítottak.

  8. 5

    A Google Chrome egy kritikus veszélyességű, nulladik napi biztonsági rést foltozott be a Chrome webböngészőn.

  9. 5

    A Cisco két súlyos sérülékenységet szüntetett meg az Identity Services Engine-ben.

  10. 3

    A Python öt biztonsági hibajavítással lett gazdagabb.

Partnerhírek
​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

hirdetés
Közösség