Magyar zsarolóvírus teszi tönkre a magyarok fájljait

Számos jel arra utal, hogy egy olyan zsarolóvírus terjed, amely egy magyar fejlesztésű szerzemény. Jelenleg elsősorban a hazai felhasználók fájljait rombolja.
 

Az Avast kutatóinak hálóján egy első ránézésre teljesen szokványosnak nevezhető zsaroló program akadt fent, amelynek alaposabb szemügyre vételekor kiderült, hogy a látszat csal, legalábbis magyar szempontból biztosan. 

A kártékony szerzeményre a vírusok felismerésére és vizsgálatára használt egyik sandbox környezetben derült fény. Ekkor annyi látszott, hogy egyes állományok egyszer csak .locky kiterjesztést kaptak, és használhatatlanná váltak. A szakértők először arra gyanakodtak, hogy a hírhedt Locky zsaroló program állhat a háttérben, de aztán hamar világossá vált, hogy ez nem így van. Már csak azért sem, mert a Locky egy ideje már nem ezt a kiterjesztést használja, hanem olyan kifejezéseket vet be a kompromittált állományok megjelölésére, mint például a shit vagy a thor.  

Miután a begyűjtött vírusjellemzők sem igazán passzoltak a Locky-éval, azért a kutatók úgy határoztak, hogy mélyreható vizsgálatnak vetik alá a károkozót. Amikor egy erre a célra létrehozott virtuális gépen lefuttatták a zsaroló programot, akkor egyszer csak az alábbi kép jelent meg előttük:
A Locky-hasonmás - amelyet ettől kezdve már Hucky (Hungarian Locky) névvel illettek a szakemberek - magyar nyelven adott tájékoztatást a gépen történtekről és a helyreállítási lehetőségekről. Az üzenet tartalmi szempontból egyébként nagyon hasonlít más ransomware programok esetében felbukkanó tájékoztatókhoz, de a magyar nyelv szokatlannak nevezhető. A vizsgálatok során a kutatók további, magyar vonatkozású szálakat is felgöngyölítettek. Így például a debugolási célokat szolgáló PDB fájlok elemzésekor megállapították, hogy a Hocky első variánsának szerzőjeként egy bizonyos "Dani" volt megadva, míg a projekt neve mezőben a "titkoss" szó szerepelt. Nem utolsó sorban pedig a Hocky eddig egy semmi.exe, illetve egy turul.exe nevű fájl formájában ütötte fel a fejét.

A károkozás folyamata

Amikor a Hocky felkerül egy számítógépre, és azon valamilyen módon (akár Office makrók segítségével) elindul, akkor egy körülbelül 200 elemű kiterjesztéslista alapján elkezdi titkosítani a fájlokat AES és RSA algoritmusok felhasználásával. A kiterjesztéslistája körülbelül fele a Locky-énak, ugyanakkor olyan állományokat is célkeresztbe állít, amelyek egyes játékokhoz (StarCraft2, World of Tanks, Minecraft) tartoznak. A fájlok kódolását követően a károkozó esetenként újraindítja a számítógépet, majd eltávolítja azokat az állományokat, amelyek révén eredetileg betöltődött a rendszeren.

Míg a Locky C++ nyelven íródott, addig a Hocky Visual Basic segítségével készült. További különbség a két károkozó között, hogy amíg a Locky egy vezérlőszerverről tölti le a titkosításhoz szükséges nyilvános kulcsot, addig ez a kulcs a Hocky kódjában található meg "beégetett" módon. 

Az Avast kockázatcsökkentő tanácsai:

• Ne nyisson meg gyanús e-mailekben található mellékleteket!
• Lehetőleg ne engedélyezze az Office makrók futtatását!
• Rendszeresen készítsen biztonsági mentéseket, és azokat tárolja biztonságos helyen!
• Győződjön meg róla, hogy az operációs rendszere és a szoftverei naprakészek!
• Ellenőrizze az antivírus szoftver állapotát. Használjon víruskeresőt a PC-jén és a mobil eszközein is.