Komoly pusztítást végez a RobbinHood vírus

A RobbinHood zsaroló program komoly károkat képes okozni a fertőzött számítógépeken, majd habozás nélkül elkezd követelőzni.
 

A zsaroló programok tábora sajnos még mindig gyarapodik. Az egyik legújabb példánynak a RobbinHood névre keresztelt szerzemény számít, amely onnan kapta a nevét, hogy az általa tönkretett állományok kiterjesztését a ".enc_robbinhood" kifejezéssel egészíti ki.
 
Az új kártékony program alapvetően nagyon hasonlít azokra a károkozókra, amelyek fájlok titkosításával, illetve felhasználók zsarolásával igyekeznek pénzhez juttatni a kiberbűnözőket. Azonban a RobbinHoodról elmondható, hogy elsősorban vállalatok, intézmények számára képes jelentős károkat előidézni. A kártevő ugyanis nem elektronikus levelekben terjed, hanem célzott támadásokban jut szerephez. Az eddigi vizsgálatok szerint leginkább nem megfelelően védett, távoli asztali kapcsolatokon keresztül jut be a vállalati hálózatokba.
 
Egyedi titkosítás
 
Amikor felkerül egy PC-re, akkor feltérképezi a futó szolgáltatásokat, alkalmazásokat. Vitali Kremez biztonsági szakértő szerint a kártevő egy olyan listával rendelkezik, amelyen 181 különféle szolgáltatásnév szerepel. Ezek alapján végzi el azon szoftverek, szolgáltatások leállítását, amelyek fájlokat zárolhatnak, és ezáltal nem lehet a titkosítást elvégezni. Ezen a listán biztonsági szoftverek, adatbáziskiszolgáló megoldások, levelezőszervereken használatos folyamatok is szerepelnek. Ebből az is következik, hogy a zsaroló program szerveralkalmazásokat sem kímél.
 
Amint a kártevő végez az előkészítő tevékenységeivel, akkor rögtön nekilát a fájlok titkosításához. Minden egyes állomány esetében más-más titkosító kulcsot használ, és első körben AES-alapú megközelítést alkalmaz. Majd, ha az adott fájlt sikeresen kódolta, akkor az AES-kulcsot, valamint a titkosított fájlt összecsomagolja, és egy publikus RSA-kulccsal még egyszer titkosítja. Eközben minden érintett mappába bemásolja a követeléseit tartalmazó (HTML) fájlját.  
A zsarolók ezúttal minden egyes fertőzött számítógép helyreállításáért 3 Bitcoint követelnek, de lehetőséget adnak a szervezetek számára, hogy 13 Bitcoin fejében az összes kompromittált rendszert, illetve fájlt megmentsék. Nyilván ez esetben sem javasolt a követelések teljesítése.
 
Érdekes zárkózottság
 
Miközben sok zsaroló program arra törekszik, hogy a helyi hálózatokban minél nagyobb pusztítást tudjon végezni fájlmegosztásokon keresztül, addig a RobbinHood éppen ellenkezőleg cselekszik. Az általa megfertőzött rendszereken törli az összes megosztást. Ez azonban nem jelenti azt, hogy kizárólag egy számítógép térdre kényszerítésére törekedne. A terjesztői úgy döntöttek, hogy a rendszereket vagy domain vezérlőkön keresztül fertőzik meg, vagy a PSExec segítségével.
 
Védekezés
 
A RobbinHood elleni védekezésben is fontos szerepet kell kapniuk a korszerű víruskeresőknek és a biztonsági mentéseknek. Emellett azonban az is lényeges, hogy a távoli asztali kapcsolatokat kellően szigorú kontrollok vegyék körül.