Csökkentett módban öli meg a fájlokat a REvil zsarolóvírus
A REvil zsarolóprogram csökkentett módban indítja újra a Windows-t, majd minden értékes fájlt letitkosít. Eközben a felhasználó jelszavát sem kíméli.A REvil zsarolóvírus napjaink egyik legtöbb problémát okozó kártékony programja. Folyamatosan fejlődik, és rendszeresen hívja fel magára a figyelmet az új képességeivel. Márciusban azzal került be a biztonsági hírekbe, hogy a fertőzött számítógépeken a Windows-t csökkentett módban indította újra, és így próbálta meg titkosítani a fájlokat.
Felmerül a kérdés, hogy miért is jó a vírusnak a csökkentett mód. Elsősorban azért, mert így nem indulnak el olyan szolgáltatások, amelyek fájlokat zárolnának. Így például az adatbáziskezelők sem, ezért akár nagyobb adatbázisok is kompromittálhatóvá válhatnak. A károkozó szempontjából további előny, hogy csökkentett módban nagyobb valószínűséggel tudja kikerülni a biztonsági szoftvereket és a biztonsági mentések sem futnak.
Persze a csökkentett módnak hátránya is van a vírus működése szempontjából. Egyrészt nagyon feltűnő a fertőzés, hiszen egy lebutított Windows indul el a felhasználó számára. Másrészt az újraindítást követően a felhasználónak ismét be kell jelentkeznie az operációs rendszerbe, és ekkor könnyen gyanút foghat. Ha pedig elmarad a hitelesítés, akkor a REvil sem tudja véghez vinni a károkozását. Ez utóbbi hátrányt azonban a kártevő legújabb variánsa már kiküszöböli.
Jelszavas manipuláció
Minden bizonnyal a csökkentett módos trükk sok esetben bukott meg a vírusterjesztők szempontjából, ezért hamar reagáltak, és már egy olyan REvil variánssal fertőzik a számítógépeket, amely a felhasználói bejelentkezéseket szükségtelenné teszi, vagyis teljesen automatizálttá vált a fertőzés titkosítási fázisa. Ezt a kártevő úgy éri el, hogy a Windows újraindítása előtt megváltoztatja a kiszemelt felhasználói fiók jelszavát. (Az eddig vizsgált esetekben az új jelszó a "DTrump4ever" lett.) Emellett a vírus a regisztrációs adatbázis alábbi kulcsában is manipulációkat hajt végre:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="[fióknév]"
"DefaultPassword"="DTrump4ever"
A fenti változtatások hatására a fertőzés során csökkentett módban újraindul a Windows, majd automatikusan megtörténik a bejelentkezés, és a REvil rögtön elkezdi a fájlok titkosítását.
A Kaspersky szerint a REvil legújabb variánsa is jól mutatja, hogy a zsarolóvírusok miként fejlődnek, és hogyan változtatják a támadók a taktikáikat egyrészt a fertőzési módszerek, másrészt a pénzkövetelés szempontjából. A REvil mögötti kiberbanda volt az, amely nemrégen vezette be, hogy a fájltitkosítás mellett adatokat is szivárogtat, és ha még ekkor sem kapja meg a követelt összeget, akkor elosztott szolgáltatásmegtagadási (DDoS) támadást indít a célkeresztbe állított szervezet informatikai infrastruktúrája ellen.
-
A Google ChromeOS két fontos biztonsági javítást kapott.
-
Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.
-
Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.
-
A cURL fejlesztői négy biztonsági hibáról számoltak be.
-
Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.
-
A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.
-
A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.
-
A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.
-
A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.
-
A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.