Ez a veszélyes vírus már a szomszédban kopogtat

Egy új zsaroló program kezdte ostromolni a számítógépeket. Bevett módszert alkalmaz a fájlok rombolásához és a felhasználóktól való váltságdíj követeléshez.
 

A zsaroló programok továbbra is olyan ütemben jelennek meg, mintha világméretű hiány lenne belőlük. Az eddig detektált, hasonló károkozók már bebizonyították, hogy nagyon komoly kockázatot jelentenek, ezért ennek megfelelő védelem kiépítésére van szükség. Ezt támasztotta alá a legújabb, Spider néven terjedő károkozó is. Az igazán aggasztó, hogy ez a szerzemény úgy tud széles körben terjedni, hogy valójában különösebben új technikát nem alkalmaz. Ez pedig a biztonságtudatosságra sem vet jó fényt.
 
A Spider eddig a legnagyobb pusztítást Szerbiában és Horvátországban okozta. Elektronikus levelek mellékleteként küldözgetett, Word dokumentumok segítségével fertőzi a számítógépeket. Amikor a felhasználó egy ilyen csatolmányt megnyit, akkor a Word először egy figyelmeztetést jelenít meg, amelyben közli, hogy makrók futtatását kéri a dokumentum, ami viszont veszélyeket rejt. Ha ennek ellenére engedélyezi a makrókat a felhasználó, akkor azzal tulajdonképpen saját maga fertőzi meg a rendszerét.
   
A Spider a makró segítségével elindít egy (Base64 kódolással ellátott) PowerShell scriptet, ami letölti a Spider fő moduljait. Ha ezzel végez, akkor kezdetét veszi a rombolás. A károkozó minden értékes állományt letitkosít, majd a kompromittált fájlok nevét .spider kiterjesztéssel egészíti ki. Kivételt az alábbi mappákban lévő állományokkal tesz:
"tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot, Windows."
 
A Spider érdekessége, hogy a titkosítás során figyelemmel kíséri a folyamatok listáját, és néhány folyamatot blokkol: taskmgr, procexp, msconfig, regedit, cmd, outlook, winword, excel, msaccess. Ezzel nem más a célja, mint hogy a Feladatkezelőből egyszerűen ne legyen leállítható, illetve, hogy a felhasználó a kódolás közben ne nyisson meg dokumentumokat, adatbázisokat, amiket ilyenkor nem tudna felülírni a károkozó.
 
A Spider végül egy angol vagy horvát nyelvű üzenetben tudatja a felhasználóval, hogy mi is történt a számítógépén, és miként tudja visszakapni a fájljait. A követelés összege általában 120 dollárnak megfelelő Bitcoin. A biztonsági szakemberek ez esetben sem javasolják a fizetést.
 
"A zsaroló programok folyamatos fejlődésével a felhasználók biztonságtudatossági képzésének is lépést kellene tartania. Tisztában kell lennünk azzal, hogy milyen hatásai vannak egy-egy ransomware károkozónak. Emellett a szervezeteknek rendszeres biztonsági mentésekkel kellene védeniük a kritikus adataikat. A makrók futtatását pedig minden esetben tiltani kell, és a felhasználók csak akkor engedélyezhetik mindezt, ha teljes bizonyossággal meggyőződtek arról, hogy a dokumentum megbízható helyről származik, és a benne lévő makró ártalmatlan" - nyilatkozta Amit Malik, a Netskope biztonsági szakértője. (Persze ez utóbbi óvintézkedéshez sem árt szakember segítségét igénybe venni.)