Komoly pusztítást végez a RobbinHood vírus

A RobbinHood zsaroló program komoly károkat képes okozni a fertőzött számítógépeken, majd habozás nélkül elkezd követelőzni.
 
hirdetés

A zsaroló programok tábora sajnos még mindig gyarapodik. Az egyik legújabb példánynak a RobbinHood névre keresztelt szerzemény számít, amely onnan kapta a nevét, hogy az általa tönkretett állományok kiterjesztését a ".enc_robbinhood" kifejezéssel egészíti ki.
 
Az új kártékony program alapvetően nagyon hasonlít azokra a károkozókra, amelyek fájlok titkosításával, illetve felhasználók zsarolásával igyekeznek pénzhez juttatni a kiberbűnözőket. Azonban a RobbinHoodról elmondható, hogy elsősorban vállalatok, intézmények számára képes jelentős károkat előidézni. A kártevő ugyanis nem elektronikus levelekben terjed, hanem célzott támadásokban jut szerephez. Az eddigi vizsgálatok szerint leginkább nem megfelelően védett, távoli asztali kapcsolatokon keresztül jut be a vállalati hálózatokba.
 
Egyedi titkosítás
 
Amikor felkerül egy PC-re, akkor feltérképezi a futó szolgáltatásokat, alkalmazásokat. Vitali Kremez biztonsági szakértő szerint a kártevő egy olyan listával rendelkezik, amelyen 181 különféle szolgáltatásnév szerepel. Ezek alapján végzi el azon szoftverek, szolgáltatások leállítását, amelyek fájlokat zárolhatnak, és ezáltal nem lehet a titkosítást elvégezni. Ezen a listán biztonsági szoftverek, adatbáziskiszolgáló megoldások, levelezőszervereken használatos folyamatok is szerepelnek. Ebből az is következik, hogy a zsaroló program szerveralkalmazásokat sem kímél.
 
Amint a kártevő végez az előkészítő tevékenységeivel, akkor rögtön nekilát a fájlok titkosításához. Minden egyes állomány esetében más-más titkosító kulcsot használ, és első körben AES-alapú megközelítést alkalmaz. Majd, ha az adott fájlt sikeresen kódolta, akkor az AES-kulcsot, valamint a titkosított fájlt összecsomagolja, és egy publikus RSA-kulccsal még egyszer titkosítja. Eközben minden érintett mappába bemásolja a követeléseit tartalmazó (HTML) fájlját.


Forrás: Vitali Kremez 
 
A zsarolók ezúttal minden egyes fertőzött számítógép helyreállításáért 3 Bitcoint követelnek, de lehetőséget adnak a szervezetek számára, hogy 13 Bitcoin fejében az összes kompromittált rendszert, illetve fájlt megmentsék. Nyilván ez esetben sem javasolt a követelések teljesítése.
 
Érdekes zárkózottság
 
Miközben sok zsaroló program arra törekszik, hogy a helyi hálózatokban minél nagyobb pusztítást tudjon végezni fájlmegosztásokon keresztül, addig a RobbinHood éppen ellenkezőleg cselekszik. Az általa megfertőzött rendszereken törli az összes megosztást. Ez azonban nem jelenti azt, hogy kizárólag egy számítógép térdre kényszerítésére törekedne. A terjesztői úgy döntöttek, hogy a rendszereket vagy domain vezérlőkön keresztül fertőzik meg, vagy a PSExec segítségével.
 
Védekezés
 
A RobbinHood elleni védekezésben is fontos szerepet kell kapniuk a korszerű víruskeresőknek és a biztonsági mentéseknek. Emellett azonban az is lényeges, hogy a távoli asztali kapcsolatokat kellően szigorú kontrollok vegyék körül.
Vélemények
 
  1. 4

    A VirtualBoxhoz fontos hibajavítások váltak letölthetővé.

  2. 3

    A Comodo Antivirus esetében több biztonsági rés vár befoltozásra.

  3. 1

    A Fenkrib trójai nem közvetlenül okoz károkat a számítógépeken, hanem azon ártalmas programok révén, amelyeket letölt a PC-kre.

 
Partnerhírek
​Vírusok ihlette művészeti kiállítás nyílt Rotterdamban

Ha az elkövetkező időszakban Hollandiában, közelebbről Rotterdamban jártok, akkor feltétlenül keressétek fel a nem túl szokványos művészeti kiállítást, ahol a legrégebbi vírusok ihlette művészeti alkotásokban gyönyörködhetünk.

Windows sérülékenységet kihasználó kártevő a láthatáron

​Az ESET szakemberei nemrégiben fedeztek fel és elemeztek egy új 0-day sebezhetőséget kihasználó programot (exploit), amely kelet-európai célpontok ellen irányult.

hirdetés
Közösség
1