MedusaLocker: a zsarolóvírusok legújabb fenevadja

​Egy újabb zsarolóprogram lendült támadásba. Alapvetően nem szolgál különösebben új technikákkal, de a fertőzéseket alaposan kidolgozott terv szerint hajtja végre. Ez pedig komoly károkat idézhet elő a számítógépeken.
 

A fájlokat titkosító és használhatatlanná tevő kártékony programok már eddig is népes tábora egy újabb taggal bővült. A MalwareHunterTeam által felfedezett szerzemény a MedusaLocker nevet kapta, és mint kiderült, október közepe óta fertőzi a számítógépeket. Egyelőre nem terjed széles körben, sőt a terjedési mechanizmusa sem ismert még pontosan, de a jelenléte már több országban kimutathatóvá vált. (Magyaroroszági fertőzésről egyelőre nincs hírünk.)
 
Az új zsarolóvírus egyik legfontosabb jellemzője, hogy a fájlok titkosítását megelőzően alaposan előkészíti magának az érintett rendszereket. Ennek során először a regisztrációs adatbázist (az EnableLinkedConnections értéket) módosítja annak érdekében, hogy a megosztott és betűjellel ellátott meghajtókhoz biztosítsa a zavartalan hozzáférését. Sőt még a Windows LanmanWorkstation szolgáltatását is újraindítja biztos, ami biztos alapon. Ezt követően minden számára nem tetsző folyamatot leállít, beleértve egyebek mellett a Microsoft SQL Server, a Tomcat és a Java kapcsán futó szolgáltatásokat is. Végül, de nem utolsó sorban letiltja az árnyékmásolatok és a Windows által készítendő biztonsági mentések létrehozását, majd az esetlegesen korábban létrehozott másolatokat törli.
 
Az előkészítő ténykedése után veszi kezdetét a tényleges károkozás, amelynek során a zsarolóvírus titkosítja a felhasználó dokumentumait, képeit, multimédiás állományait, adatbázisait. Tulajdonképpen csak a Windows rendszerkönyvtáraival és az .exe, .dll, .sys, .ini, .lnk, .rdp kiterjesztésű fájlokkal tesz kivételt. Az általa kompromittált fájlok nevét pedig az .encrypted, .bomber, .boroff, .breakingbad, .locker16, .newlock, .nlocker vagy .skynet kiterjesztések egyikével egészíti ki.

Titkosítás, titkosítás hátán

A MedusaLocker a fájltitkosításhoz AES-alapú eljárásokat használ. A titkosító kulcsot RSA-2048 bites nyilvános kulcssal kódolja (ez megtalálható a károkozó kódjában is), és elküldi azt a támadók szerverére. Ők a féltve őrzött magán kulcsukkal tudják visszafejteni a dekódoláshoz szükséges kulcsot. Ezzel azonban még nem ér véget a MedusaLocker tevékenysége, ugyanis egy perc elteltével máris elkezdi feltérképezni az újonnan létrejövő fájlokat, amelyeket szintén használhatatlanná tesz. Egy 30 percenként lefutó, ütemezett feladattal is biztosítja az állandó jelenlétét a számítógépen.
 
A károkozó jelenlegi variánsa a %UserProfile%\AppData\Roaming\svchostt.exe fájlban tanyázik, és minden olyan könyvtárba elhelyez egy HOW_TO_RECOVER_DATA.html nevű fájlt, amelyben legalább egy állományt titkosított. Ez a fájl tartalmazza a követeléseket.


Forrás: MalwareHunterTeam
 
A zsarolók két e-mail címet adtak meg a kapcsolatfelvételhez, és egy fájl helyreállítását ingyenesen "vállalják" azért, hogy bizonyítsák azt, hogy fizetés után mindent helyre tudnak állítani.
 
A biztonsági szakértők ezúttal is hangsúlyozták, hogy nem javasolt a csalók követeléseinek teljesítése.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség