A Windows hibáját használja ki a romboló Sodin vírus

A Sodin névre keresztelt zsaroló program egy Windows-os biztonsági rés kihasználásával terjed.
 

A Kaspersky biztonsági kutatói szerint a Sodin (más néven Sodinokibi vagy REvil) egy alvilági partnerhálózaton keresztül vált elérhetővé, és az úgynevezett RAAS (zsarolóvírus mint szolgáltatás) trendek részét képezi. Vagyis a támadók szolgáltatásként vehetik igénybe a kártékony program különféle funkcióit, és válhatnak maguk is vírusterjesztővé, akár különösebb szakértelem nélkül.
 
Érdekesség, hogy a vírusírók hagytak maguknak egy kiskaput arra az esetre, ha a partnerhálózatukból valakit ki kellene zárni. A Sodinhoz ugyanis tartozik egy olyan mesterkulcs, amivel átvehetővé válhat az irányítás a fertőzött számítógépek felett, és akár a titkosított fájlok dekódolása is elvégezhető.
 
A fertőzés menete
 
Sok zsarolóvírus elektronikus levelekben vagy weboldalakon keresztül terjed. A károkozás megkezdéséhez a legtöbb esetben szükség van arra, hogy a felhasználó egy programot elindítson. A Sodin készítői azonban úgy döntöttek, hogy a felhasználói interakciók szükségességét minimálisra szorítják, és inkább automatizáltan igyekeznek elindítani a fertőzést, valamint ezzel együtt a fájlok titkosítását. E célra a tavaly felfedezett (CVE-2018-8453 azonosítójú) Windows sebezhetőséget szemelték ki maguknak. Mindez a gyakorlatban azt jelenti, hogy a nem megfelelően frissített Windows operációs rendszerek könnyedén kiszolgáltatottá válhatnak a károkozóval szemben. Ha pedig megtörténik a baj, és az állományok kódolásával végez a kártevő, akkor a számítógépeken hagyott üzenetében 2500 dollár megfizetését követeli Bitcoinban. (Elképzelhető, hogy ezt az összeget a zsarolóvírus szolgáltatás előfizetői saját maguk beállíthatják.)
 
Terjedés
 
A Sodin zsarolóvírus legtöbb célpontja eddig az ázsiai térségben volt. A támadások 17,6 százalékát Tajvanon, 9,8 százalékát Hongkongban, 8,8 százalékát pedig Koreában észlelték. Azonban már Európában, Észak-Amerikában és Dél-Amerikában is figyeltek meg támadásokat.
 
"Bár a zsarolóvírusok a rosszindulatú programok elterjedt változatai, mégsem gyakori, hogy ilyen kidolgozott és kifinomult verzióval találkozunk. A Sodin vírust használó támadások számában véleményünk szerint növekedés várható, mivel egy ilyen típusú program létrehozásához jelentős mennyiségű erőforrás szükséges. Ezért azok, akik befektettek a program fejlesztésébe, nyilvánvalóan azt várják, hogy a befektetésük busásan megtérüljön" - mondta Fjodor Szinicin, a Kaspersky biztonsági kutatója.
 
Védekezés
 
A biztonsági cég azt javasolja, hogy mindig gondoskodjunk az operációs rendszerek és a szoftverek rendszeres frissítéséről. Emellett használjunk korszerű biztonsági megoldásokat. A rendszeres biztonsági mentésről pedig szintén nem célszerű megfeledkezni.