MedusaLocker: a zsarolóvírusok legújabb fenevadja

​Egy újabb zsarolóprogram lendült támadásba. Alapvetően nem szolgál különösebben új technikákkal, de a fertőzéseket alaposan kidolgozott terv szerint hajtja végre. Ez pedig komoly károkat idézhet elő a számítógépeken.
 

A fájlokat titkosító és használhatatlanná tevő kártékony programok már eddig is népes tábora egy újabb taggal bővült. A MalwareHunterTeam által felfedezett szerzemény a MedusaLocker nevet kapta, és mint kiderült, október közepe óta fertőzi a számítógépeket. Egyelőre nem terjed széles körben, sőt a terjedési mechanizmusa sem ismert még pontosan, de a jelenléte már több országban kimutathatóvá vált. (Magyaroroszági fertőzésről egyelőre nincs hírünk.)
 
Az új zsarolóvírus egyik legfontosabb jellemzője, hogy a fájlok titkosítását megelőzően alaposan előkészíti magának az érintett rendszereket. Ennek során először a regisztrációs adatbázist (az EnableLinkedConnections értéket) módosítja annak érdekében, hogy a megosztott és betűjellel ellátott meghajtókhoz biztosítsa a zavartalan hozzáférését. Sőt még a Windows LanmanWorkstation szolgáltatását is újraindítja biztos, ami biztos alapon. Ezt követően minden számára nem tetsző folyamatot leállít, beleértve egyebek mellett a Microsoft SQL Server, a Tomcat és a Java kapcsán futó szolgáltatásokat is. Végül, de nem utolsó sorban letiltja az árnyékmásolatok és a Windows által készítendő biztonsági mentések létrehozását, majd az esetlegesen korábban létrehozott másolatokat törli.
 
Az előkészítő ténykedése után veszi kezdetét a tényleges károkozás, amelynek során a zsarolóvírus titkosítja a felhasználó dokumentumait, képeit, multimédiás állományait, adatbázisait. Tulajdonképpen csak a Windows rendszerkönyvtáraival és az .exe, .dll, .sys, .ini, .lnk, .rdp kiterjesztésű fájlokkal tesz kivételt. Az általa kompromittált fájlok nevét pedig az .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker vagy .skynet kiterjesztések egyikével egészíti ki.

Titkosítás, titkosítás hátán

A MedusaLocker a fájltitkosításhoz AES-alapú eljárásokat használ. A titkosító kulcsot RSA-2048 bites nyilvános kulcssal kódolja (ez megtalálható a károkozó kódjában is), és elküldi azt a támadók szerverére. Ők a féltve őrzött magán kulcsukkal tudják visszafejteni a dekódoláshoz szükséges kulcsot. Ezzel azonban még nem ér véget a MedusaLocker tevékenysége, ugyanis egy perc elteltével máris elkezdi feltérképezni az újonnan létrejövő fájlokat, amelyeket szintén használhatatlanná tesz. Egy 30 percenként lefutó, ütemezett feladattal is biztosítja az állandó jelenlétét a számítógépen.
 
A károkozó jelenlegi variánsa a %UserProfile%\AppData\Roaming\svchostt.exe fájlban tanyázik, és minden olyan könyvtárba elhelyez egy HOW_TO_RECOVER_DATA.html nevű fájlt, amelyben legalább egy állományt titkosított. Ez a fájl tartalmazza a követeléseket.


Forrás: MalwareHunterTeam
 
A zsarolók két e-mail címet adtak meg a kapcsolatfelvételhez, és egy fájl helyreállítását ingyenesen "vállalják" azért, hogy bizonyítsák azt, hogy fizetés után mindent helyre tudnak állítani.
 
A biztonsági szakértők ezúttal is hangsúlyozták, hogy nem javasolt a csalók követeléseinek teljesítése.
Vélemények
 
  1. 3

    A FortiOS kapcsán egy biztonsági résre derült fény.

  2. 3

    A Drupalhoz tartozó egyik modul egy biztonsági frissítést kapott.

  3. 1

    Az Anchor.A trójai elsősorban azzal tud problémákat okozni, hogy egyéb károkozókat juttat fel a számítógépekre.

 
Partnerhírek
A fertőzést is visszafordítja

A G DATA vírusirtója mostantól egy saját fejlesztésű gráfadatbázis segítségével is feldolgozza, hogy a kártevők hogyan viselkednek a számítógépeken, és képes visszafordítani a kártékony változtatásokat.

​A koronavírussal kapcsolatos félelmeket használják számítógépes kártevők terjesztésére

A G DATA arra figyelmeztet, hogy a kiberbűnözők a koronavírus kapcsán kialakult helyzetet kihasználva terjesztenek számítógépes kártevőket.

hirdetés
Közösség
1