Elég finnyásra sikerült a legújabb zsarolóvírus

A vxCrypter nevű zsarolóvírus azzal hívta fel magára a figyelmet, hogy nem bíbelődik a duplikált fájlok titkosításával. Ehelyett szó nélkül törli azokat.
 

A zsarolóvírusok fejlődése továbbra sem állt meg. A vírusírók rendszeresen rukkolnak elő olyan technikákkal, amelyek vagy a korábbiaknál is jobban képesek megkeseríteni a felhasználók életét, vagy "hatékonyabbá" teszik ezeket az ártalmas programokat. A vxCrypter zsarolóvírus legújabb változata elsősorban a rombolás sebességében lépett előre. 

A vxCrypter több biztonsági kutató figyelmét is felkeltette már, akik alaposan szemügyre vették a szerzeményt. Az elemzések során megállapították, hogy ez a károkozó is fájlok titkosításával képes akár helyreállíthatatlan károkat előidézni. A titkosítást követően pedig a váltságdíj követelése sem marad el, amit ez esetben sem célszerű kifizetni az elkövetőknek. 

A gyorsaság a lényeg

A vxCrypter is rendelkezik egy kiterjesztéslistával, amelynek alapján kiválasztja a kódolandó állományokat. A titkosítás során azonban valami olyat is tesz, amit eddig nem igen láthattunk a hasonló célú kártevőktől. A vxCrypter ugyanis minden tönkretett fájlhoz generál egy egyedi, SHA256-alapú hash kódot. Ezt amolyan digitális lenyomatként használja fel a későbbiekben. Az éppen titkosítandó fájl hash kódját összehasonlítja a kódolás során folyamatosan növekvő hash listájával, és amennyiben egyezőséget talál, akkor az adott fájlt nem titkosítja, hanem egyszerűen törli. A készítői ezzel valószínűleg azt akarták elérni, hogy az időigényesebb titkosítást minél gyorsabban elvégezze a kártevőjük. (Először a kutatók azt gondolták, hogy mivel egy fejlesztés alatt álló vírusról van szó, az egy programhibát tartalmaz, de a forráskódból úgy fest, hogy szándékosan beépített funkcióról van szó.)

Egy kis reménysugár

A zsaroló programon végzett újítás némi reményt adhat egyes fájlok megmentéséhez. Az interneten megjelent forráskódrészletek ugyanis arra utalnak, hogy a károkozó nem rendelkezik úgynevezett wipe funkcióval, hanem egyszerű fájltörlést alkalmaz. Ennek következtében - némi szerencsével - fájlhelyreállító szoftverek segítségével elővarázsolhatóvá válhatnak a duplikált fájlok egyes példányai. Ha nem is biztos a siker, de mindenképpen nagyobb eséllyel kecsegtet, mintha a zsarolóvírus titkosított módon felülírná az összes állományt. 

Persze a legjobb védekezési mód a korszerű vírusvédelem alkalmazása, és a rendszeres biztonsági mentés.