Német cégeknél pusztított a GermanWiper zsarolóvírus

Eddig német cégeknél okozott fennakadásokat az a zsarolóprogram, amely teljes mértékben képes megsemmisíteni fontos állományokat.
 

A GermanWiper károkozó neve két alapvető tulajdonságáról is árulkodik. Egyrészt, hogy elsősorban Németországban működő számítógépeket vett célba. Másrészt pedig az is kiderül belőle, hogy fájlok „kitakarítására” alkalmas, ami egyben azt is érzékelteti, hogy egy romboló szerzeményről van szó.
 
Támadás több lépésben
 
A MalwareHunterTeam és Michael Gillespie biztonsági kutató által vizsgált kártékony programról hamar kiderült, hogy valójában egy alattomos zsarolóvírus. Fertőzött elektronikus levelekben terjed, amelyek egyebek mellett egy tömörített, ZIP-fájlt is tartalmaznak. Amikor ezt a felhasználó megnyitja, akkor abból egy PDF-fájl is előkerül. Ez azonban nem egy dokumentum, hanem egy álcázott parancsikon, amelyre kattintva egy PowerShell script fut le, ami letölt egy HTA-kiterjesztésű fájlt a helyi számítógépre. A HTA állomány pedig interneten keresztül beszerzi a GermanWiper futtatható állományát, ami aztán a károkozásokat elvégzi.
 
A kártékony program a "C:\Users\Public" mappából kezdi meg a működését. Először feltérképezi a telepített szolgáltatásokat, és az adatbáziskiszolgálók folyamatait leállítja. Egyebek mellett a következőket is:
sql.exe
sqld.exe
mysql.exe
mysqld.exe
oracle.exe
       
Ezzel feloldja az adatfájlok zárolását, és képes lesz manipulálni azokat, csakúgy mint a felhasználói állományokat. A károkozó leginkább azokat a fájlokat hagyja érintetlenül, amelyek a Windows operációs rendszer és az alkalmazások működéséhez feltétlenül szükségesek. Ezzel biztosítja, hogy a felhasználó értesüljön a váltságdíjról, és teljesíthesse a követeléseket. A zsarolók 1500 dollárnak megfelelő Bitcoin megfizetését várják.
 
Semmi értelme fizetni
 
A biztonsági kutatók sokszor hangsúlyozzák, hogy nem célszerű teljesíteni a zsarolók követeléseit. Most azonban egészen biztosan értelmetlen, mivel a GermanWiper nem titkosítja, hanem felülírja az állományokat. Minden kiszemelt fájlt nullákkal ír tele, majd véletlenszerű kiterjesztésekkel látja el azokat. Mivel a kinullázott fájlok önmagukban nem helyreállíthatók, ezért teljesen haszontalan a követelések teljesítése. Egy fertőzést követően leginkább a biztonsági mentésekre lehet hagyatkozni, legalábbis, ha vannak. Sajnos a Windows által készített árnyékmásolatok nem vethetők be, mivel azokat a zsarolóvírus törli.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség