Trükkösen terjed a Paradise zsarolóvírus
A Paradise zsarolóvírus egy nem teljesen új, de ettől még nagyon trükkös megoldást használ arra, hogy megtévessze a vírusvédelmi eszközöket. Mutatjuk, hogy miként terjed a szerzemény.A Paradise zsarolóvírus első variánsa 2017 szeptemberében jelent meg, de azóta nem igazán hallatott magáról. Egészen mostanáig, ugyanis a kártékony program ismét színre lépett, és egy meglehetősen veszélyes trükköt alkalmaz annak érdekében, hogy átjusson a víruskeresőkön, illetve az egyéb biztonsági technológiákon.
A LastLine biztonsági cég szerint a zsarolóvírus elektronikus levelek segítségével terjed, amelyek kamu ajánlatokat, rendelés visszaigazolásokat stb. tartalmaznak. Ezen kívül a mellékletükben megtalálható egy Excelhez köthető állomány is. Ám azúttal nem .xls vagy .xlsx kiterjesztésű fájlok érkeznek, hanem .iqy formátumú dokumentumok kerülnek a problémás levelek mellékletébe. (Ezt a trükköt egyebek mellett már a Buran, a FlawedAmmy és a Necurs trójai programok is alkalmazták korábban.)
Egy IQY fájl
IQY fájlok segítségével az Excel válik - bizonyos szinten - vezérelhetővé, utasíthatóvá. Az egyszerű szöveges állományok segítségével például rávehető a táblázatkezelő, hogy külső forrásokból (külső szerverekről) letöltsön különféle tartalmakat. A Paradise pedig pontosan ezt használja ki. Amikor ugyanis a címzett megnyitja a csatolmányt, akkor azt az Excel feldolgozza, és a támadók szerveréről letölt egy néhány soros PowerShell scriptet. Valójában ez a kis kód gondoskodik arról, hogy a számítógépre felkerüljön, majd azon elinduljon egy key.exe nevű fájl, amely a vírust tartalmazza.
A Paradise a betöltődését követően rögtön nekilát a fájlok titkosításához, majd szöveges állományok létrehozásával tudatja a felhasználóval, hogy a számítógépen komoly károk keletkeztek, és egy weboldalon keresztül veheti fel a támadókkal a kapcsolatot annak érdekében, hogy a helyreállítási információkhoz hozzájusson. Természetesen ez esetben sem célszerű követni a zsarolók utasításait.
Noha a védekezés nem egyszerű, mivel az IQY nem éppen a legjobban monitorozott fájlformátum, azért megfelelő tartalomszűréssel elejét lehet venni, hogy az ilyen fájlok bekerüljenek a postafiókokba. Azon felhasználóknak, szervezeteknek, amelyek nem használnak IQY állományokat, azoknak javasolt egész egyszerűen ezeket kiszűrni, törölni. Egyéb esetben pedig a csak valóban megbízható forrásból származó fájlokat szabad megnyitni.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
-
A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.
-
A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.
-
A GitLab újabb biztonsági javításokat adott ki.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.