Brrr: hátborzongató vírusfertőzés

A Dharma zsaroló program látványos fájlnevekkel adja a felhasználó tudomására, hogy az értékes állományai használhatatlanná váltak.
 
hirdetés

A Dharma zsaroló program nem először hívja fel magára a figyelmet. A célzott támadásairól ismert szerzemény ugyanis már eddig is sok kárt okozott elsősorban a vállalati és intézményi felhasználók körében. A legújabb variánsa a "brrr" elnevezést kapta, mivel az általa tönkretett állományok fájlnevét egy ilyen kiterjesztéssel egészíti ki.
 
Támadás távoli asztalon keresztül
 
A károkozó az elődjei által kitaposott útra lépett, és nem törekszik a széles körű, tömeges terjedésre. Az esetek többségében a vírusterjesztők saját kezűleg telepítik a programot feltört távoli asztali kapcsolatokon keresztül. Ekkor többféle módszert használnak. Szkennelik a hálózatot, különös figyelmet fordítva a 3389-es porta. Amennyiben egy internet felől elérhető RDP-szerverre akadnak, akkor brute force módszerekkel puhatolják ki a felhasználónevet és a jelszót. Ugyanakkor az is előfordulhat, hogy internetes feketepiacon elérhető hitelesítő adatokat használnak fel a támadásaik során.
 
Ha az elkövetők bejutnak egy rendszerbe, akkor arra rögtön felmásolják a Dharma fájljait, és telepítik azt. A károkozó ettől kezdve elkezdi titkosítani a fájlokat. A helyi és cserélhető meghajtók kompromittálása után nekilát a hálózat feltérképezéséhez. Ekkor védtelenül hagyott hálózati megosztásokat keres, amiken szintén pusztít. Fontos megjegyezni, hogy a Dharmának nincs szüksége arra, hogy a hálózati megosztások betűjellel is rendelkezzenek (azaz mapelve legyenek) a célkeresztbe állított rendszeren - enélkül is képes a pusztításra.


Forrás: Jakub Kroustek 
 
A kártékony program az operációs rendszert nem teszi teljesen tönkre, de arról gondoskodik, hogy a Windows újraindítása után is be tudjon töltődni, és az újonnan keletkező fájlokra is le tudjon csapni. Eközben pedig megjeleníti a követeléseit, amiket egy szöveges és egy HTML fájl formájában is a felhasználó elé tár. Ebben egy e-mail címet ad meg, amelyen keresztül további információkat lehet megtudni a zsarolóktól (persze, ha válaszolnak). Természetesen ez esetben sem javasolt a követelések teljesítése.
 
Védekezési lehetőségek
 
A Dharma elleni védekezés szempontjából fontos a távoli asztali kapcsolatok szigorú kontrollja, a vírusvédelem naprakészen tartása és a rendszeres biztonsági mentés. Emellett a károk csökkentésében fontos szerepet játszik a hálózati hozzáférések kellően szigorú szabályozása.
 
A biztonsági mentéseken kívül a Dharma.brrr ellen jelenleg nincs olyan ellenszer, amivel a titkosított fájlok helyreállíthatóvá válhatnának.
Vélemények
 
  1. 3

    A Jenkins fontos biztonsági frissítéseket kapott.

  2. 3

    A HAProxy két biztonsági rés kapcsán szorul frissítésre.

  3. 2

    A Trickbot trójai egy meglehetősen komplex felépítésű kémprogram, amely többféle módon képes értékes adatokhoz juttatni a terjesztőit.

 
Partnerhírek
Trendek a vállalati biztonságban

A felhasználók negyede soha egyetlen munkahelyén sem kapott biztonságtudatossági képzést.

Oktatással a zsarolóvírusok ellen

A legtöbb biztonsági incidensnek kevesebb fájó következménye lenne, ha a vállalat minden munkatársa tudná, hogy mit kell tennie vészhelyzet esetén.

hirdetés
Közösség
1