Offline számítógépekre utazik a Ramsay vírus

Egy olyan számítógépes vírus kezdett terjedni, amely elsősorban azokat a számítógépeket fertőzi, amik nem rendelkeznek internetkapcsolattal.
 

A kártékony programok zöme akkor érzi elemében magát, ha az általuk megfertőzött számítógépekről elérhető az internet. Ennek oka, hogy így tudnak leggyorsabban fertőzni, így képesek tartani a kapcsolatot a vezérlőszervereikkel, és amennyiben adatlopási céllal terjednek, akkor az adatokat is a neten keresztül tudják kiszivárogtatni. Nyilván ekkor is több védelmi vonal állhatja útjukat (víruskeresők, tartalomszűrők, tűzfalak stb.), de mégis nagyobb az esélyük az adatszivárogtatásra, mintha offline rendszerrel lenne dolguk.
 
Az új, Ramsay nevű trójai program azonban nem követi a "hagyományokat", hiszen a készítői pontosan azokra a helyzetekre készítették fel, amikor nem áll rendelkezésre internethozzáférés az adatok eltulajdonításához. Az ESET kutatói által vizsgált szerzeménynek eddig három verziójáról hullt le a lepel. Az első tavaly szeptemberben már fertőzhetett, míg az utóbbi két variáns idén márciusban ütötte fel a fejét. Ezek már több funkcióval rendelkeztek, mint az első kiadás. Mindkettőbe került rejtőzködést szolgáló rootkit komponens, sőt a második variánsban egy önálló terjedést elősegítő, exe fájlok megfertőzésére alkalmas modul is helyet kapott. (Azt egyelőre nem lehet tudni, hogy ez végül miért került ki a harmadik verzióból, de vélhetőleg a vírusterjesztők nem akartak kontrollálatlanul hálózatokat elárasztani, és ezáltal gyorsan leleplezni a károkozójukat.)
 
Így működik
 
A Ramsay jelenleg fertőzött, RTF-formátumú állományok révén terjed, szerencsére nem széles körben. A biztonsági cég szerint még fejlesztési fázisban van, ennek ellenére a feladatát képes ellátni. Amikor ugyanis megnyitja a felhasználó ezeket a káros dokumentumokat, akkor két (CVE-2017-0199 CVE-2017-11882) sebezhetőség kihasználásával a trójai megfertőzi a számítógépet, legalábbis, ha nincsenek telepítve a megfelelő biztonsági frissítések. Ezt követően elkezdi felkutatni a hely számítógépen, az ahhoz csatlakoztatott cserélhető meghajtókon, illetve a helyi hálózatban esetlegesen elérhető megosztásokon lévő Word, PDF és ZIP fájlokat. Ezeket összegyűjti, lementi, majd RC4 titkosítással kódolja azokat. Emellett WinRAR segítségével betömöríti az állományokat. (A WinRAR a trójai fertőzésekor kerül fel a rendszerre.)
 
A víruskutatók egyelőre nem tudják biztosan, hogy az összegyűjtött dokumentumok miként kerülhetnek a támadók kezébe. Vagy olyan módon, hogy felhasználók megtévesztésével "elkérik" azokat, vagy akár úgy is, hogy egy támadó fizikai hozzáférést szerez a fájlgyűjtögető PC-hez, és arról lemásolja magának a trójai által bezsebelt dokumentumokat.