Több száz szoftvert bénít meg a Clop zsarolóvírus

A Clop zsarolóvírus tovább fejlődött. A legújabb variánsa több mint 600 alkalmazás megbénítására alkalmas.
 

A Clop zsarolóprogram már régebb óta ismert a víruskutatók előtt. A károkozó először 2019 februárjában kezdett szélesebb körben terjedni, amikor egy teljesen átlagos funkciókkal rendelkező, fájltitkosító ransomware formájában ütötte fel a fejét. Aztán egy hónappal később már olyan változata jelent meg, amely képes volt egyebek mellett a Microsoft Exchange, a Microsoft SQL Server, a MySQL és a BackupExec szoftverek leállítására, és így az azokkal kezelt fájlok, adatbázis-állományok titkosítására. Ebből láthatóvá vált, hogy a Clop a vállalati felhasználókat vette célba. Mindezt az is megerősítette, hogy néhány héten belül olyan összetevőkkel gyarapodott, amelyek alkalmassá tették a helyi hálózatokban történő terjedésre. Vagyis már nem csak egy-egy PC vagy szerver ostromlása volt a céljuk a vírusíróknak, hanem teljes IT-infrastruktúrák térdre kényszerítése.  

Mint látható az elmúlt egy év során a Clop gyorsan fejlődött, és rendszeresen hívta fel magára a figyelmet. Novemberben például azzal, hogy elkezdte leállítani a Windows Defendert a célkeresztbe állított rendszereken. Aztán decemberben azzal került be a hírekbe, hogy a holland Maastricht University (UM) egyetem informatikai rendszerében okozott komoly pusztítást. 

Megérkezett a legújabb variáns

A Clop fejlesztői az ünnepek alatt sem pihentek, aminek eredményeként a napokban egy új változat kezdett terjedni. Ez ismét szolgált újdonsággal. Egy olyan komponens kapott benne helyet, amely jelenleg 663 különféle alkalmazás, illetve Windows-os folyamat leállítására képes. Ezzel megint csak az a céljuk a vírusíróknak, hogy azon fájlokat is használhatatlanná tudják tenni, amelyeket valamilyen szoftver éppen használ, és ezáltal nem írhatók felül. 

A zsarolóvírus a szövegszerkesztőktől kezdve, a fejlesztői környezeteken át az azonnali üzenetküldőkig bezárólag képes alkalmazások megbénítására. Így például a fertőzött rendszereken leállítja az esetlegesen futó ADB (Android Debug Bridge), Notepad++, Tomcat, SnagIt, Bash, Visual Studio, Microsoft Office, Python és Ruby folyamatokat. A lista szemrevételezése azt sugallja, hogy a legtöbb kárt fejlesztői számítógépeken tudja okozni, de egyéb környezetekben sem szabad lebecsülni a képességeit. Igaz arra még nem derült fény, hogy például a Számológép alkalmazást miért állítja le, de megteszi. 

Vitali Kremez, a MalwareHunterTeam szakértője szerint ezúttal is egy jelentős változás figyelhető meg a Clop esetében (amely a titkosított fájlokat legújabban .Cl0p kiterjesztéssel látja el.) A legaggasztóbb, hogy egyre inkább arra lehet következtetni, hogy a zsarolóprogram egy univerzális eszközévé válik a bűnözőknek, és olyan környezetek támadására is alkalmas lesz, ahol a zsarolók nagy összegű váltságdíjban reménykedhetnek. 

A Clop ellen naprakészen tartott víruskeresőkkel és rendszeres biztonsági mentésekkel lehet a leghatékonyabban felvenni a küzdelmet. Emellett fontos a szigorú hozzáférésszabályozás megvalósítása, és a távoli asztali kapcsolatok kellő szintű kontrollja.