Önfordító zsarolóvírus

Egy olyan veszélyes zsaroló program kezdett terjedni, amely legalább akkora figyelmet szentel a biztonsági szoftverek átejtésére, mint a fájlok használhatatlanná tételére.
 

Az utóbbi évek zsaroló program inváziójára reagálva a biztonsági cégek számos olyan eljárást dolgoztak ki, amelyek segítségével csökkenthetővé vált a károk bekövetkezésének valószínűsége. Ezt pedig a vírusírók nem hagyták szó nélkül. Folyamatosan fejlesztik azokat a technikáikat, amelyek révén a károkozók kijátszhatják a védelmi technológiákat. Erre szolgál példával az a zsaroló program is, amelyet a MalwareHunterTeam szakemberei vettek górcső alá.
 
A zsaroló program legfontosabb újdonsága, hogy a terjedése során egy meglehetősen speciális fájl formájában kerül fel a számítógépekre. Ez az állomány közvetlenül még nem alkalmas a károkozásra, ehelyett egy titkosított kódot tartalmaz. Amikor elindul, akkor első lépésként ennek a kódnak a dekódolása történik meg, majd ezt követően kerül sor - a C# alapokon nyugvó - kártékony program lefordítására. Ehhez a vírusírók a CSharpCodeProvider osztály adta lehetőségeket használják ki. Amennyiben a zsaroló program a kompromittálandó rendszeren sikeresen lefordul, akkor a memóriából kezd futni, vagyis a fájlrendszerre nem kerül fel a kódja.
 
Minden a régiben
 
A zsaroló program ettől kezdve már a szokásosnak mondható folyamatot követi. A rendszeren felkutatja a számára kijelölt állományokat, majd azokat letitkosítja. Ekkor az áldozatául eső állományok nevét, illetve kiterjesztését is módosítja: egy e-mail címmel és egy véletlenszerű karaktersorozattal egészíti ki azokat. Minden olyan mappába, amelyben legalább egy fájlt tönkretett, bemásol egy .hta kiterjesztésű állományt, aminek segítségével tájékoztatja a felhasználót a történtekről, és egyúttal 0,14 Bitcoin megfizetésére utasítja a számítógép tulajdonosát.
 
A MalwareHunterTeam szerint az új zsaroló program jelenleg még fejlesztési fázisban van, de már most jól mutatja, hogy a vírusírók miként próbálják leplezni a károkozóikat az antivírus programok előtt. Ezért is fontos, hogy mindig a lehető legkorszerűbb vírusvédelmet használjuk, azt tartsuk naprakészen, és persze a biztonsági mentések rendszeres készítéséről se feledkezzünk meg.