Elő adásban esett el egy zsaroló program

Egy biztonsági kutató élő adásban mutatta be, hogy miként lehet kihúzni egy zsaroló vírus méregfogát.
 

A Hermes nevű zsaroló programot Karsten Hahn, a G Data egyik szakembere fedezte fel. Megállapította, hogy az fájlok titkosítását követően pénzt követel a felhasználóktól. Nem sokkal később a víruskutatók közötti együttműködés jegyében több víruslaborba is eljutott a kártékony program, így a szélesebb körű elemzése is kezdetét vehette. A legsikeresebbnek Fabian Wosar, az Emsisoft műszaki igazgatója bizonyult, aki egy több mint három órás videóban mutatta be, hogy miként is térképezte fel a kártékony programot, és hogyan készítette el az ellenszert.
 
Amikor a Hermes rákerül egy számítógépre, akkor azon megpróbálja megkerülni a felhasználói fiókfelügyeletet, azaz megelőzi, hogy a Windows egy biztonsági figyelmeztetést jelenítsen meg. Ekkor egy Shade.vbs nevű fájl fut le, ami létrehoz egy azonos nevű, de .bat kiterjesztésű állományt. Ennek feladata, hogy törölje a korábban létrehozott árnyékmásolatokat, és ezzel is megnehezítse a helyreállítást. Sőt, hogy mindezt tovább tetézze a következő kiterjesztésekkel rendelkező állományokat is eltávolítja a rendszerről: *.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk.
 
Maga a zsaroló program egy Reload.exe állomány formájában jut fel a számítógépekre, ami aztán a C:\Users\Public nevű mappába kerül be. Amint elindul, feltérképezi a helyi és a cserélhető adattárolókat, valamint a hálózati megosztásokat. Egy tekintélyes méretű kiterjesztéslista alapján elkezdi (AES-eljárásokkal) titkosítani a fájlokat, dokumentumokat, multimédiás állományokat, adatbázisokat, forráskódokat, CAD-rajzokat stb. Amikor pedig véghez vitte a rombolást, akkor megjeleníti az alábbi zsaroló üzenetet az alapértelmezett webböngészőben:  
A károkozó közli, hogy három fájl ingyenes dekódolására van lehetőség, de a többi állomány helyreállítása már pénzbe, pontosabban Bitcoinokba kerül.
 
A vizsgálat
 
Fabian Wosar, a Hermes vizsgálatát élőben közvetítette, és egyben érdekes betekintést adott a víruskutatók munkájába. A több órás küzdelem nem volt hiábavaló, hiszen fény derült a Hermes egyik gyenge pontjára, ami végül a kompromittált fájlok helyreállíthatóvá tételét is lehetővé tette. A szakember a titkosító kulcsok generálásában fedezett fel egy olyan sajátosságot, aminek segítségével egy dekódoló eszközt tudott kifejleszteni.