Német cégeknél pusztított a GermanWiper zsarolóvírus

Eddig német cégeknél okozott fennakadásokat az a zsarolóprogram, amely teljes mértékben képes megsemmisíteni fontos állományokat.
 

A GermanWiper károkozó neve két alapvető tulajdonságáról is árulkodik. Egyrészt, hogy elsősorban Németországban működő számítógépeket vett célba. Másrészt pedig az is kiderül belőle, hogy fájlok „kitakarítására” alkalmas, ami egyben azt is érzékelteti, hogy egy romboló szerzeményről van szó.
 
Támadás több lépésben
 
A MalwareHunterTeam és Michael Gillespie biztonsági kutató által vizsgált kártékony programról hamar kiderült, hogy valójában egy alattomos zsarolóvírus. Fertőzött elektronikus levelekben terjed, amelyek egyebek mellett egy tömörített, ZIP-fájlt is tartalmaznak. Amikor ezt a felhasználó megnyitja, akkor abból egy PDF-fájl is előkerül. Ez azonban nem egy dokumentum, hanem egy álcázott parancsikon, amelyre kattintva egy PowerShell script fut le, ami letölt egy HTA-kiterjesztésű fájlt a helyi számítógépre. A HTA állomány pedig interneten keresztül beszerzi a GermanWiper futtatható állományát, ami aztán a károkozásokat elvégzi.
 
A kártékony program a "C:\Users\Public" mappából kezdi meg a működését. Először feltérképezi a telepített szolgáltatásokat, és az adatbáziskiszolgálók folyamatait leállítja. Egyebek mellett a következőket is:
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe
       
Ezzel feloldja az adatfájlok zárolását, és képes lesz manipulálni azokat, csakúgy mint a felhasználói állományokat. A károkozó leginkább azokat a fájlokat hagyja érintetlenül, amelyek a Windows operációs rendszer és az alkalmazások működéséhez feltétlenül szükségesek. Ezzel biztosítja, hogy a felhasználó értesüljön a váltságdíjról, és teljesíthesse a követeléseket. A zsarolók 1500 dollárnak megfelelő Bitcoin megfizetését várják.
 
Semmi értelme fizetni
 
A biztonsági kutatók sokszor hangsúlyozzák, hogy nem célszerű teljesíteni a zsarolók követeléseit. Most azonban egészen biztosan értelmetlen, mivel a GermanWiper nem titkosítja, hanem felülírja az állományokat. Minden kiszemelt fájlt nullákkal ír tele, majd véletlenszerű kiterjesztésekkel látja el azokat. Mivel a kinullázott fájlok önmagukban nem helyreállíthatók, ezért teljesen haszontalan a követelések teljesítése. Egy fertőzést követően leginkább a biztonsági mentésekre lehet hagyatkozni, legalábbis, ha vannak. Sajnos a Windows által készített árnyékmásolatok nem vethetők be, mivel azokat a zsarolóvírus törli.
Vélemények
 
  1. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

  2. 4

    A Microsoft egy nulladik napi sérülékenységről számolt be az Internet Explorer kapcsán.

  3. 1

    A Coonrac trójai kizárólag addig van jelen egy fertőzött számítógépen, amíg arról a terjesztői számára fontos adatokat ki nem szivárogtatja.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1