Befuccsolt a LockCrypt zsaroló program

A LockCrypt zsaroló programnak sikerült megtalálni az ellenszerét. A vírusírók hibáit használták ki a biztonsági kutatók, hogy megmenthetővé tegyék a fájlokat.
 

A zsaroló programok esetében a legjobb ellenszert a korszerű vírusvédelem, valamint a rendszeres biztonsági mentés jelenti. Azonban, ha ezek közül valamelyik nincs, vagy éppen csődöt mond, akkor nagyon nehéz, egyes esetekben lehetetlen feladatnak bizonyulhat a tönkretett állományok helyreállítása. Ugyanakkor a biztonsági cégek még ebben a helyzetben sem javasolják a követelések teljesítését, hiszen semmi nem garantálja azt, hogy a csalók valóban segítenek a helyreállításban. Ilyenkor az utolsó lehetőséget az jelentheti, ha a biztonsági cégek ki tudnak fejleszteni olyan eljárásokat, eszközöket, amelyek révén a dekódolás a váltságdíj kifizetése nélkül elvégezhetővé válik. Még ha a zsarolóvírusok számához képest ezekből nincs is túl sok, azért néhány ellenszer az elmúlt időszakban már elérhetővé vált. E tekintetben a legjobb forrásnak a No More Ransom Project számít, ahol a biztonsági cégek összefogásának köszönhetően számos hasznos dekódoló szoftver tölthető el ingyenesen.
 
A Malwarebytes biztonsági kutatói is egy olyan eljárást dolgoztak ki, amely egy ransomware program által okozott károk felszámolásában nyújt segítséget. Ezúttal a LockCrypt zsaroló program gyógymódját sikerült megfejteni.
 
A LockCrypt tavaly jelent meg, de vélhetőleg nem előzmény nélkül. A víruskutatók ugyanis azt feltételezték, hogy a szerzemény mögött álló csoport alkotta meg a korábban szintén komoly károkat okozó Satan nevű ransomware-t is.
 
A LockCrypt azért nem vált túl ismertté, mert inkább célzott támadásokban jutott szerephez. Vagyis nem tömegesen terjesztették a kiberbűnözők például botnetek és kéretlen levelek révén, hanem sok esetben RDP-kapcsolatokon keresztül juttatták be a károkozót egyes szervezetek hálózataiba. A legjelentősebb akciójukat tavaly decemberben hajtották végre, amikor az egyik észak-karolinai megye informatikai rendszerét döntötték be.
 
"A LockCrypt jó példa az egyszerű zsaroló programokra, és a nem túl kifinomult technikákat alkalmazó támadókra. A kártevő készítői ugyanis nem vettek figyelembe számos olyan ajánlást, amelyek a titkosítások kapcsán léteznek" - nyilatkozta a Malwarebytes víruselemző csoportja. A szakemberek ezzel arra utaltak, hogy a kártevő ellenszerét olyan módon tudták megalkotni, hogy a zsaroló program nem volt kellően védve az "avatatlan szemek” elől, ezért annak kódja viszonylag könnyen visszafejthető volt. Persze azért a feladat nem lehetett annyira könnyű, hiszen egészen mostanáig kellett várni arra, hogy egy biztonsági cég hatásos módszert dolgozzon ki a LockCrypt ellen.
 
A Malwarebytes közölte, hogy a LockCryptnek eddig két variánsa vált ismertté. Az egyik a kompromittált fájlok kiterjesztését a .lock, míg a másik a .1btc kifejezéssel egészíti ki. A most kifejlesztett eljárás az utóbbi változat ellen vethető be.