MedusaLocker: a zsarolóvírusok legújabb fenevadja

​Egy újabb zsarolóprogram lendült támadásba. Alapvetően nem szolgál különösebben új technikákkal, de a fertőzéseket alaposan kidolgozott terv szerint hajtja végre. Ez pedig komoly károkat idézhet elő a számítógépeken.
 

A fájlokat titkosító és használhatatlanná tevő kártékony programok már eddig is népes tábora egy újabb taggal bővült. A MalwareHunterTeam által felfedezett szerzemény a MedusaLocker nevet kapta, és mint kiderült, október közepe óta fertőzi a számítógépeket. Egyelőre nem terjed széles körben, sőt a terjedési mechanizmusa sem ismert még pontosan, de a jelenléte már több országban kimutathatóvá vált. (Magyaroroszági fertőzésről egyelőre nincs hírünk.)
 
Az új zsarolóvírus egyik legfontosabb jellemzője, hogy a fájlok titkosítását megelőzően alaposan előkészíti magának az érintett rendszereket. Ennek során először a regisztrációs adatbázist (az EnableLinkedConnections értéket) módosítja annak érdekében, hogy a megosztott és betűjellel ellátott meghajtókhoz biztosítsa a zavartalan hozzáférését. Sőt még a Windows LanmanWorkstation szolgáltatását is újraindítja biztos, ami biztos alapon. Ezt követően minden számára nem tetsző folyamatot leállít, beleértve egyebek mellett a Microsoft SQL Server, a Tomcat és a Java kapcsán futó szolgáltatásokat is. Végül, de nem utolsó sorban letiltja az árnyékmásolatok és a Windows által készítendő biztonsági mentések létrehozását, majd az esetlegesen korábban létrehozott másolatokat törli.
 
Az előkészítő ténykedése után veszi kezdetét a tényleges károkozás, amelynek során a zsarolóvírus titkosítja a felhasználó dokumentumait, képeit, multimédiás állományait, adatbázisait. Tulajdonképpen csak a Windows rendszerkönyvtáraival és az .exe, .dll, .sys, .ini, .lnk, .rdp kiterjesztésű fájlokkal tesz kivételt. Az általa kompromittált fájlok nevét pedig az .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker vagy .skynet kiterjesztések egyikével egészíti ki.

Titkosítás, titkosítás hátán

A MedusaLocker a fájltitkosításhoz AES-alapú eljárásokat használ. A titkosító kulcsot RSA-2048 bites nyilvános kulcssal kódolja (ez megtalálható a károkozó kódjában is), és elküldi azt a támadók szerverére. Ők a féltve őrzött magán kulcsukkal tudják visszafejteni a dekódoláshoz szükséges kulcsot. Ezzel azonban még nem ér véget a MedusaLocker tevékenysége, ugyanis egy perc elteltével máris elkezdi feltérképezni az újonnan létrejövő fájlokat, amelyeket szintén használhatatlanná tesz. Egy 30 percenként lefutó, ütemezett feladattal is biztosítja az állandó jelenlétét a számítógépen.
 
A károkozó jelenlegi variánsa a %UserProfile%\AppData\Roaming\svchostt.exe fájlban tanyázik, és minden olyan könyvtárba elhelyez egy HOW_TO_RECOVER_DATA.html nevű fájlt, amelyben legalább egy állományt titkosított. Ez a fájl tartalmazza a követeléseket.


Forrás: MalwareHunterTeam
 
A zsarolók két e-mail címet adtak meg a kapcsolatfelvételhez, és egy fájl helyreállítását ingyenesen "vállalják" azért, hogy bizonyítsák azt, hogy fizetés után mindent helyre tudnak állítani.
 
A biztonsági szakértők ezúttal is hangsúlyozták, hogy nem javasolt a csalók követeléseinek teljesítése.
Vélemények
 
  1. 4

    Az Adobe egy biztonsági hibajavítást is belecsempészett az Animate CC legújabb verziójába.

  2. 3

    Az Adobe három biztonsági rést foltozott be az Illustrator alkalmazásán.

  3. 2

    A Buran zsaroló program nem használ igazán új technikákat, mégis komoly károkat képes okozni a számítógépeken.

 
Partnerhírek
Frissítsük a Chrome böngészőt!

Ha Windows, Mac vagy Linux operációs rendszeren használjuk a Chrome böngészőt, akkor azonnal frissítsük a böngészőt a legfrissebb verzióra, mivel a régi változat két sebből is vérzik.

Visszatér az ingyenes Open Academy

November 22-én a megszokott értékekkel és koncepcióval tér vissza az Open Academy.

hirdetés
Közösség
1