Elő adásban esett el egy zsaroló program
Egy biztonsági kutató élő adásban mutatta be, hogy miként lehet kihúzni egy zsaroló vírus méregfogát.A Hermes nevű zsaroló programot Karsten Hahn, a G Data egyik szakembere fedezte fel. Megállapította, hogy az fájlok titkosítását követően pénzt követel a felhasználóktól. Nem sokkal később a víruskutatók közötti együttműködés jegyében több víruslaborba is eljutott a kártékony program, így a szélesebb körű elemzése is kezdetét vehette. A legsikeresebbnek Fabian Wosar, az Emsisoft műszaki igazgatója bizonyult, aki egy több mint három órás videóban mutatta be, hogy miként is térképezte fel a kártékony programot, és hogyan készítette el az ellenszert.
Amikor a Hermes rákerül egy számítógépre, akkor azon megpróbálja megkerülni a felhasználói fiókfelügyeletet, azaz megelőzi, hogy a Windows egy biztonsági figyelmeztetést jelenítsen meg. Ekkor egy Shade.vbs nevű fájl fut le, ami létrehoz egy azonos nevű, de .bat kiterjesztésű állományt. Ennek feladata, hogy törölje a korábban létrehozott árnyékmásolatokat, és ezzel is megnehezítse a helyreállítást. Sőt, hogy mindezt tovább tetézze a következő kiterjesztésekkel rendelkező állományokat is eltávolítja a rendszerről: *.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk.
Maga a zsaroló program egy Reload.exe állomány formájában jut fel a számítógépekre, ami aztán a C:\Users\Public nevű mappába kerül be. Amint elindul, feltérképezi a helyi és a cserélhető adattárolókat, valamint a hálózati megosztásokat. Egy tekintélyes méretű kiterjesztéslista alapján elkezdi (AES-eljárásokkal) titkosítani a fájlokat, dokumentumokat, multimédiás állományokat, adatbázisokat, forráskódokat, CAD-rajzokat stb. Amikor pedig véghez vitte a rombolást, akkor megjeleníti az alábbi zsaroló üzenetet az alapértelmezett webböngészőben:
Forrás: Emsisoft
A károkozó közli, hogy három fájl ingyenes dekódolására van lehetőség, de a többi állomány helyreállítása már pénzbe, pontosabban Bitcoinokba kerül.
A vizsgálat
Fabian Wosar, a Hermes vizsgálatát élőben közvetítette, és egyben érdekes betekintést adott a víruskutatók munkájába. A több órás küzdelem nem volt hiábavaló, hiszen fény derült a Hermes egyik gyenge pontjára, ami végül a kompromittált fájlok helyreállíthatóvá tételét is lehetővé tette. A szakember a titkosító kulcsok generálásában fedezett fel egy olyan sajátosságot, aminek segítségével egy dekódoló eszközt tudott kifejleszteni.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
-
A Microsoft Edge legújabb verziója számos sebezhetőséget szüntet meg.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.