Képekkel veri át a víruskeresőket egy zsaroló program

A SyncCrypt zsaroló programmal a legtöbb víruskeresőnek meggyűlik a baja. A károkozó ugyanis egy ártalmatlannak látszó kép segítségével terjed.
 

Manapság a zsaroló programok többsége elektronikus levelek mellékleteként terjed, és gyakorta különféle Office dokumentumokat használnak fel a felhasználók megtévesztéséhez. Általában makrók engedélyezésére kérik a címzettet, aki ha ennek a kérésnek eleget tesz, akkor könnyedén megfertőződhet a számítógépe. A legújabb SyncCrypt ransomware program készítői azonban nem az Office-os utat választották, igaz az e-mailekből nem engedtek. A szerzeményüket úgynevezett WSF (Windows Script File) állományok segítségével terjesztik, amihez egy képet is bevetnek.
 
Lawrence Abrams, a BleepingComputer munkatársa szerint amikor a felhasználó megnyitja az e-mailben lévő WSF-fájlt, akkor az az interneten keresztül rögtön letölt egy képet. A képpel első ránézésre semmi különös nincs. Sőt, ha éppen valaki egy webböngészővel akad rá, akkor önmagában nem is jelent kockázatot. A problémák akkor kezdődnek, ha a SyncCrypt-hez tartozó WSF-fájl veszi kezelésbe. Ekkor ugyanis script a képből kimazsoláz egy ZIP-állományt, amit aztán kibont. Ekkor a számítógépre három új fájl (sync.exe, readme.html, readme.png) kerül fel. Az igazi veszélyt a sync.exe jelenti, ami automatikusan elindul.
 
Ezt követően a SyncCrypt már úgy viselkedik, mint egy hagyományos ransomware. Egy kiterjesztéslista alapján felkutatja a számára érdekes állományokat, amiket letitkosít, és .kk kiterjesztéssel lát el. A zsaroló program több mint 350 különféle fájl kompromittálására alkalmas, miközben a Windows rendszerfájljait, valamint az alkalmazásokat érintetlenül hagyja. Ezt leginkább azért teszi, hogy a felhasználó a PC-ről ki tudja fizetni a váltságdíjat, ami ez esetben több mint 400 dollárra rúg. A fizetésre 48 órát ad a kártevő, de a biztonsági szakemberek hangsúlyozták, hogy nem célszerű teljesíteni a zsarolók követeléseit, hiszen semmiféle garancia nincs arra, hogy megérkezik a dekódoló kulcs.
 
Sajnos úgy tűnik, hogy a SyncCrypt terjesztői számára egyelőre beválik - az amúgy nem új keletű - képes trükk, és nagy valószínűséggel tudják átjuttatni a kártevőt a védelmi vonalakon. Az első vizsgálatok alkalmával a VirusTotal mögött lévő 58 víruskeresőből mindössze egynek (DrWeb) szúrt szemet, hogy valami nincs rendben a szóban forgó képfájllal. Természetesen egyre több antivírus lesz képes kiszűrni a szerzeményt, de azért nem szabad csak erre hagyatkozni. Nagyon fontos az elektronikus levelezés megfontolt kezelése, illetve a biztonsági mentések rendszeres készítése, és azok biztos helyen történő tárolása.