Reyptson zsaroló program: az őrült spanyol

A Reyptson nevű zsaroló program először nem keltett nagy feltűnést, de most már aggasztó módon fejlődik. Vigyázzon a spanyol nyelvű e-mailekkel!
 

Néhány nappal ezelőtt az Emsisoft egyik biztonsági kutatója fedezete fel a Reyptson névre keresztelt zsaroló programot, amely spanyol felhasználóktól igyekezett váltságdíjat beszedni. Akkor úgy tűnt, hogy a fertőzési hullám megáll spanyol berkeken belül, de a károkozó legutóbbi variánsa már arra utal, hogy a terjesztői valami nagyobb dobásra készülnek. Könnyen lehet, hogy hamarosan már nem kizárólag a spanyolok fognak a szerzemény célközönségébe tartozni.
 
A Reyptson az alapvető funkcióit tekintve nagyon hasonlít az egyéb, korábbról már megismert ransomware programokra. Elektronikus levelekben terjed, és a csatolmányok megnyitását követően fertőzi meg a rendszereket. Ekkor egy kiterjesztéslista alapján felkutatja az értékes állományokat, amelyeket erős titkosítással lekódol. Ezt követően pedig közli a követeléseit, és jelen esetben 200 eurónyi Bitcoint követel a helyreállításhoz szükséges dekódoló kulcsért cserébe. Ez az összeg 72 órát követően 500 euróra nő. A károkozó így próbálja arra sarkallni az áldozatait, hogy minél előbb fizessenek. Eközben a biztonsági cégek nem javasolják a követelések teljesítését, hiszen most sincs garancia arra, hogy a fizetés után megérkeznek a várva várt információk.
 
A zsaroló program fontos jellemzője, hogy a saját állományait az %AppData%\Spotify\ mappába másolja be, vagyis a Spotify ismertségét használja ki ahhoz, hogy kerülje a feltűnést. Persze mindez csak addig számít, amíg a zsaroló üzenete fel nem bukkan, és a számítógépen sorban meg nem jelennek a tönkretett állományok. Ezek onnan ismerhetők fel, hogy a nevük .Reyptson kiterjesztéssel egészül ki. A kártevő kivételt azokkal az állományokkal tesz, amelyek a Windows valamely rendszerkönyvtárában találhatók. A ransomware ezzel biztosítja, hogy a Windows alkalmas maradjon az online fizetés lebonyolítására.
 
E-mailes trükközés
 
A Reyptson olyan e-mailekben terjed, amelyek első ránézésre egy spanyol cégtől érkeznek, és a csatolmányukban egy számlát tartalmaznak. A valóságban azonban ez egy megtévesztést szolgáló dokumentum, amelynek valódi célja a rendszer megfertőzése. Ez a trükk korántsem új keletű. Viszont a zsaroló programok körében az már sokkal egyedibb jellemzője a Reyptsonnak, hogy képes önálló terjedésre. Ezt akkor tudja megtenni, ha az áldozatául eső számítógépen megtalálható a Thunderbird levelezőkliens. Ebből ugyanis képes kigyűjteni az e-mail címeket, és ezekre továbbítja a saját állományát, azaz a hamis számlákat.
 
A Reyptson elleni védekezésben fontos a korszerű, többrétegű vírusvédelem alkalmazása, illetve a biztonsági mentések rendszeres készítése, és azok biztos helyen történő tárolása.