Magyaroroszágon is terjed a Play zsarolóvírus

A 4iG SOC figyelmeztetést adott ki, miszerint egy gyorsan terjedő zsarolóvírus jelent meg egyes magyar vállalatok rendszereiben.
 

Az új zsarolóvírus pár nappal ezelőtt jelent meg Magyarországon, de a világon elsőként Németországban detektálták. A titkosított fájlokhoz az „.play” kiterjesztést fűzi hozzá. A váltságdíjat nem a megszokott módon, kriptovalutában követeli, hanem egy (.txt) szöveges fájlt helyez ki az asztalra, amelyben csupán egy e-mail cím található. A titkosított fájlok visszafejtésére egyelőre még nincs jól működő lehetőség, a zsarolók által megadott e-mail címről pedig sok áldozat választ sem kapott eddig.

Egyelőre nem ismert, hogyan jut be a kiszemelt végpontra a Play zsarolóvírus, azonban az már kiderült, hogy képes oldalirányú mozgásra a rendszerekben, vagyis a belső hálózaton belüli terjedésre. Könnyedén terjedhet a számítógépek és a szerverek között, amelyeken letitkosít minden fontos adatot, köztük a helyi mentéseket is.

Az alábbi módokon fertőzhet a Play Ransomware:

Internet felől nyitott, gyenge jelszóval védett SSH, RDP, FTP szolgáltatásokon keresztül
Internet felől elérhető sérülékeny szolgáltatásokon (webszerver, OWA, Exchange stb.) keresztül
Kártékony weboldalakról letöltött, ártalmas programok révén
Elektronikus levelekben

Fontos, hogy fertőzés esetén minél gyorsabban le kell választani a hálózatról azt a végpontot, ahol elindult a titkosítási folyamat. A kompromittált állományokat érdemes megőrizni arra az esetre, ha a későbbiekben elérhetővé válik a Play ellenszere. A legfontosabb azonban a megelőzés, vagyis többek között a naprakészen tartott vírusvédelem, biztonsági frissítések telepítése, a rendszeres biztonsági mentés és a biztonságtudatósság.