Komoly fegyverrel álltak elő a netes zsarolók

A Hello XD zsarolóvírus fájlok titkosítása mellett hátsó kaput is létesít a fertőzött rendszereken.
 

A Hello XD zsarolóvírus tipikus példája annak, amikor egy hírhedt vírus forráskódja elérhetővé válik az interneten, amit aztán a vírusírók felhasználnak a céljaik elérése érdekében. A tavaly novemberben felfedezet Hello XD ugyanis a korábban nagyon komoly károkokat okozó Babuk zsaroló program kiszivárgott forráskódjára épül. Ennél fogva a Babuk minden fontosabb jellemzőjével rendelkezik, így azzal is, hogy többszörös zsarolásra képes. Mindez a gyakorlatban azt jelenti, hogy nem kizárólag fájlok titkosításával okoz károkat, hanem adatszivárogtatással is.
 
A kártékony program a tavalyi megjelenését követően viszonylag állandó funkcionalitással terjedt, azonban a Palo Alto Networks biztonsági kutatói az elmúlt napokban jelentősebb történésekre figyeltek fel a károkozó kapcsán.
 
Kiderült, hogy a kiberbűnözők körében hadra foghatóvá vált a Hello XD 2.0-ás verziója, amely sajnos számos olyan újdonsággal szolgál, amik egyrészt megnehezítik a detektálását és az eltávolítását, másrészt még jelentősebb károkozásokra adnak módot.
 
A legfrissebb elemzések szerint a Hello XD 2.0 alapvetően két területen fejlődött. Egyrészt titkosítási algoritmust váltott, amivel még izmosabb módon képes elkódolni a fertőzött számítógépeken lévő, illetve az azokról elérhető állományokat. Az új variáns HC-128 és Curve25519-Donna kriptográfiai megoldásokat használ.
 
A zsarolóvírus másik újdonsága pedig abban keresendő, hogy egy teljesen új modullal bővült, amely hátsó kapu kiépítésére teszi alkalmassá. A fejlesztők ez esetben is maradtak a nyílt forráskódú megközelítésnél, vagyis nem bíbelődtek saját hátsó kapu kifejlesztésével. Ez esetben a Microbackdoor nevű, nyílt forráskódú összetevő mellett tették le a voksukat. Ugyanakkor ezt nem csak szimplán integrálták a Hello XD-be, hanem különféle kódolási eljárásokkal rejtették el abban, hogy a biztonsági megoldásokon minél kisebb valószínűséggel akadjon fent a szerzeményük. A Microbackdoor révén hozzáférést szerezhetnek a kompromittált számítógépekhez, azokról adatokat tölthetnek le, illetve egyéb műveleteket hajthatnak végre.
 
A Hello XD 2.0 az általa titkosított fájlok nevéhez egy .hello kiterjesztést fűz hozzá, de emellett véletlenszerű kódsorral meg is jelöli a kompromittált állományokat. Ezt követően egy chat felületre "invitálja" a párul járt felhasználót, ahol a zsarolók előadják a követeléseiket.
 
A biztonsági cég szerint a Hello XD új variánsa szerencsére még nem terjed széles körben, inkább csak a szárnyait próbálgatja. Ugyanakkor a képességei miatt a közeljövőben komolyabb problémákat is előidézhet majd.