NotLockBit vírus: nem az aminek látszik, de veszélyes

A NotLockBit zsarolóvírus a macOS alapú számítógépeken tárolt fájlokat, adatokat sem kíméli.
 

A NotLockBit zsaroló program a nevét onnan kapta, hogy a fertőzése során azt a látszatot igyekszik kelteni, hogy a számítógépet a hírhedt LockBit zsarolóvírus fertőzte meg. Az idén februárban és szeptemberben is komoly hatósági razziával sújtott LockBit azonban most nem játszik szerepet a kibertámadásokban. Ez azonban az incidensek súlyosságát mit sem csökkenti, ugyanis a NoLockBit is nagyon komoly károkozásokat képes véghez vinni.
 
A NoLockBit - sok más ransomware-hez hasonlóan - dupla zsarolást tesz lehetővé a kiberbűnözők számára, vagyis fájlok titkosítása mellett adatokat is szivárogtat. A Go nyelven íródott kártékony program Windows és macOS operációs rendszer alatt egyaránt képes elvégezni a feladatait.
 
A SentinelOne elemzése szerint a NoLockBit minden rendszeren egy véletlenszerű mesterkulcsot generál, amit egy publikus kulccsal lekódol. A dekódolását pedig csak a csalóknál lévő privát kulccsal lehet elvégezni. Amint a titkosító kulcs legenerálása megtörténik, a vírus RSA-alapú fájltitkosítást végez. A vizsgált variáns a kompromittált állományok fájlnevét .abcd kiterjesztéssel egészíti ki, majd minden olyan mappába, amelybe fájlt titkosított, bemásol egy szöveges állományt a zsarolók üzenetével. Mindezek mellett az Asztal háttérképét lecseréli egy LockBit 2.0 bannerre.