A béna zsarolóvírus romboló szörnyeteggé változott

A DeathRansom első variánsa szerencsére igen bénára sikerült, de sajnos a helyzet gyorsan megváltozott. Most már helyreállíthatatlan károkat képes okozni a szerzemény.
 

A DeathRansom zsaroló program alapvetően azzal a céllal született, hogy fájlok titkosítását követően megzsarolja a felhasználót, majd váltságdíjat követeljen a helyreállításhoz szükséges kódért cserébe. Arról lehetett leginkább felismerni, hogy a fertőzött számítógépeken a fájlok nevét .wctc kiterjesztéssel egészítette ki. 

Látszólag semmi meglepőt nem végzett a többi ransomware programhoz képest. Csakhogy a biztonsági vizsgálatok során hamar kiderült, hogy a zsaroló program vagy hibás, vagy csak kezdeti szárnypróbálgatásnak szánták azt a készítői. A kártevő ugyanis valójában nem titkosította a fájlokat, csak azok kiterjesztését változtatta meg, majd megjelenítette a zsaroló üzenetét. A manipulált kiterjesztések miatt ugyan a fájlok nem voltak közvetlenül megnyithatók, de egyszerű fájlátnevezést követően minden probléma helyrehozható volt. 

Gyors hibajavítás

A DeathRansom készítői sajnos gyorsan reagáltak, és rövid időn belül kiadták azt a variánst, amely már valóban képes komoly károkozásra. A legújabb változat már ténylegesen titkosítja az állományokat, méghozzá izmos algoritmusok segítségével. Egyelőre nincs ellenszer (a biztonsági mentéseken kívül). 

Érdekesség, hogy - az eredeti variánstól eltérően - az új kiadás nem módosítja a kompromittált fájlok nevét, vagyis nem "jelöli" meg azokat jól látható módon. A háttárében azonban minden tönkretett állományhoz hozzáfűz egy "AB EF CD AB" hexadecimális értéket, ami azt jelzi, hogy a rombolás megtörtént. 

A zsaroló program nem titkosítja a Windows rendszerfájljait, illetve az alkalmazások könyvtárait, vagyis a fertőzést követően is működőképes marad a számítógép. A kompromittált fájlokat tartalmazó mappákba pedig bekerül egy-egy read_me.txt nevű szöveges állomány, amely a követeléseket tartalmazza. A zsarolók jelenleg 0,1 Bitcoin váltságdíjat akarnak beszedni. 

Annak ellenére, hogy jelenleg nincs ellenszere a DeathRansomnak, nem javasolt a követelések teljesítése. Semmi garancia nincs arra, hogy a fizetést követően megérkezik a dekódoló kulcs, és valóban helyreállíthatóvá válnak a fájlok.