A teljes merevlemeznek odavág a Petya vírus

A zsaroló programok már eddig nagyon alattomos és roppant kártékony módszereket vetettek be a felhasználók megkárosítására. Aztán jött Petya, amely igencsak beújított.
 
Az eddig ismert zsarolóprogramok - mint például a Magyarországon is jelentős pusztítást végző Locky, a CryptoWall és a TeslaCrypt - a merevlemezeken, illetve a cserélhető és a hálózati meghajtókon található dokumentumokat, táblázatokat, képeket és az egyéb értékes állományokat egyesével titkosítják. A G DATA szakértői által felfedezett Petya azonban a merevlemezek tekintetében még tovább ment, ugyanis már nem bíbelődik a fájlok egyenkénti kódolásával. Ehelyett a teljes merevlemezt "zárolja", méghozzá rendkívül gyorsan.
 
A Petya készítőinek célkeresztjében elsősorban az üzleti felhasználók állnak, de ez nem jelenti azt, hogy az egyéni felhasználók számítógépeire ne jelentene veszélyt. Az általában e-mailben érkező kártevőt jelenleg jellemzően a HR-osztályoknak küldik, például "Jelentkezés állásra" tárggyal. A levél törzse egy Dropbox linket tartalmaz, ahonnan a HR munkatárs letöltheti a munkakereső "portfólióját", ami valójában a károkozót rejti.
 
A linkre való kattintás után egy futtatható (.exe) fájl kerül a számítógépre. A fájl elindítása után a Windows rövid időn belül (esetenként kék halállal) összeomlik, majd újraindul. Az újraindulás előtt azonban a Petya még manipulálja a merevlemezen az MBR-t (Master Boot Record).
 
A kártevő a rendszer újraindítása után egy fekete képernyőn egy ellenőrzést szimulál, és ekkor teszi elérhetetlenné a fájlokat. Azzal kapcsolatban azonban megoszlanak a vélemények, hogy a Petya ekkor a teljes merevlemezt titkosítja-e, vagy "csak" a fájlok elérését teszi lehetetlenné. A G DATA szakértői azt feltételezik, hogy fájltitkosítást a jelenlegi variáns nem végez.
 
A következő lépésként a kártevő egy halálfejet jelenít meg, majd következik a zsaroló üzenet, amely azt állítja, hogy a merevlemez titkosítása miatt egy dekódoló kulcsra van szükség a helyreállításhoz, amihez fizetség ellenében lehet hozzájutni. A váltságdíj kifizetésének mikéntjéről részletesen tájékoztatnak a csalók, és egyben azt is közlik, hogy az ár minden héten megduplázódik.

 
Mivel azonban megjelenhetnek új, jelenleg még ismeretlen változatok is, a G DATA arra figyelmeztet, hogy néhány egyszerű szabályt mindig be kell tartani. Az első ilyen, hogy folyamatosan gondoskodjunk az adatok mentéséről. Fontos emellett, hogy a felhasználók figyelmet fordítsanak arra, hogy ne töltsenek le, és ne indítsanak el nem megbízható forrásból származó fájlokat.
 
A biztonsági cég szerint a fertőzéskor az érintett számítógépeket azonnal érdemes leválasztani a hálózatról. Az ugyan jelenleg még nem világos, hogy az adatok visszanyerhetők-e, de a váltságdíj kifizetését a szakértők ezúttal sem javasolják.
Vélemények
 
  1. 3

    A Kaspersky egyes biztonsági szoftverei több sérülékenységet is tartalmaznak.

  2. 3

    A Cisco AnyConnect Secure Mobility Client egy biztonsági frissítést kapott.

  3. 1

    A Kwampirs trójai speciálisan összeállított webcímekkel vezérelhető, és rögtön ugrik a támadók parancsaira.

hirdetés
Partnerhírek
Twitter-üzenetekkel irányítható androidos kártevő

A kiberbűnözők a jövőben a Facebook és a LinkedIn oldalait is felhasználhatják majd hasonló kártevők irányítására.

Support csalásokkal verik át a felhasználókat

Az ESET júliusi listájának új szereplője a Defo, amely az általános észlelési gyűjtőneve az MS-DOS platformon futó kártékony programkódoknak.

Közösség
1