A teljes merevlemeznek odavág a Petya vírus

A zsaroló programok már eddig nagyon alattomos és roppant kártékony módszereket vetettek be a felhasználók megkárosítására. Aztán jött Petya, amely igencsak beújított.
 
Az eddig ismert zsarolóprogramok - mint például a Magyarországon is jelentős pusztítást végző Locky, a CryptoWall és a TeslaCrypt - a merevlemezeken, illetve a cserélhető és a hálózati meghajtókon található dokumentumokat, táblázatokat, képeket és az egyéb értékes állományokat egyesével titkosítják. A G DATA szakértői által felfedezett Petya azonban a merevlemezek tekintetében még tovább ment, ugyanis már nem bíbelődik a fájlok egyenkénti kódolásával. Ehelyett a teljes merevlemezt "zárolja", méghozzá rendkívül gyorsan.
 
A Petya készítőinek célkeresztjében elsősorban az üzleti felhasználók állnak, de ez nem jelenti azt, hogy az egyéni felhasználók számítógépeire ne jelentene veszélyt. Az általában e-mailben érkező kártevőt jelenleg jellemzően a HR-osztályoknak küldik, például "Jelentkezés állásra" tárggyal. A levél törzse egy Dropbox linket tartalmaz, ahonnan a HR munkatárs letöltheti a munkakereső "portfólióját", ami valójában a károkozót rejti.
 
A linkre való kattintás után egy futtatható (.exe) fájl kerül a számítógépre. A fájl elindítása után a Windows rövid időn belül (esetenként kék halállal) összeomlik, majd újraindul. Az újraindulás előtt azonban a Petya még manipulálja a merevlemezen az MBR-t (Master Boot Record).
 
A kártevő a rendszer újraindítása után egy fekete képernyőn egy ellenőrzést szimulál, és ekkor teszi elérhetetlenné a fájlokat. Azzal kapcsolatban azonban megoszlanak a vélemények, hogy a Petya ekkor a teljes merevlemezt titkosítja-e, vagy "csak" a fájlok elérését teszi lehetetlenné. A G DATA szakértői azt feltételezik, hogy fájltitkosítást a jelenlegi variáns nem végez.
 
A következő lépésként a kártevő egy halálfejet jelenít meg, majd következik a zsaroló üzenet, amely azt állítja, hogy a merevlemez titkosítása miatt egy dekódoló kulcsra van szükség a helyreállításhoz, amihez fizetség ellenében lehet hozzájutni. A váltságdíj kifizetésének mikéntjéről részletesen tájékoztatnak a csalók, és egyben azt is közlik, hogy az ár minden héten megduplázódik.

 
Mivel azonban megjelenhetnek új, jelenleg még ismeretlen változatok is, a G DATA arra figyelmeztet, hogy néhány egyszerű szabályt mindig be kell tartani. Az első ilyen, hogy folyamatosan gondoskodjunk az adatok mentéséről. Fontos emellett, hogy a felhasználók figyelmet fordítsanak arra, hogy ne töltsenek le, és ne indítsanak el nem megbízható forrásból származó fájlokat.
 
A biztonsági cég szerint a fertőzéskor az érintett számítógépeket azonnal érdemes leválasztani a hálózatról. Az ugyan jelenleg még nem világos, hogy az adatok visszanyerhetők-e, de a váltságdíj kifizetését a szakértők ezúttal sem javasolják.
Vélemények
 
  1. 3

    A Linux Kernel legutóbb feltárt sebezhetősége jogosultsági szint emelést segíthet elő.

  2. 4

    A Microsoft Remote Desktop Client for Mac jogosulatlan távoli kódfuttatáshoz járulhat hozzá.

  3. 3

    A Cisco Email Security Appliance egy biztonsági hibajavítást kapott.

 
Partnerhírek
Hirdetési bannerek pixeleiben rejtőző kártevő

Az ESET kutatói fertőzött hirdetéseken keresztül terjedő új expolit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók.

Új vezetőkkel bővül a Balabit menedzsmentje

Peter O’Neill globális kereskedelmi, míg Matthew Ravden marketing igazgatóként csatlakozott a Balabit csapatához.

hirdetés
Közösség
1