Trükkösen terjed a Paradise zsarolóvírus
A Paradise zsarolóvírus egy nem teljesen új, de ettől még nagyon trükkös megoldást használ arra, hogy megtévessze a vírusvédelmi eszközöket. Mutatjuk, hogy miként terjed a szerzemény.
A Paradise zsarolóvírus első variánsa 2017 szeptemberében jelent meg, de azóta nem igazán hallatott magáról. Egészen mostanáig, ugyanis a kártékony program ismét színre lépett, és egy meglehetősen veszélyes trükköt alkalmaz annak érdekében, hogy átjusson a víruskeresőkön, illetve az egyéb biztonsági technológiákon.
A LastLine biztonsági cég szerint a zsarolóvírus elektronikus levelek segítségével terjed, amelyek kamu ajánlatokat, rendelés visszaigazolásokat stb. tartalmaznak. Ezen kívül a mellékletükben megtalálható egy Excelhez köthető állomány is. Ám azúttal nem .xls vagy .xlsx kiterjesztésű fájlok érkeznek, hanem .iqy formátumú dokumentumok kerülnek a problémás levelek mellékletébe. (Ezt a trükköt egyebek mellett már a Buran, a FlawedAmmy és a Necurs trójai programok is alkalmazták korábban.)

Egy IQY fájl
IQY fájlok segítségével az Excel válik - bizonyos szinten - vezérelhetővé, utasíthatóvá. Az egyszerű szöveges állományok segítségével például rávehető a táblázatkezelő, hogy külső forrásokból (külső szerverekről) letöltsön különféle tartalmakat. A Paradise pedig pontosan ezt használja ki. Amikor ugyanis a címzett megnyitja a csatolmányt, akkor azt az Excel feldolgozza, és a támadók szerveréről letölt egy néhány soros PowerShell scriptet. Valójában ez a kis kód gondoskodik arról, hogy a számítógépre felkerüljön, majd azon elinduljon egy key.exe nevű fájl, amely a vírust tartalmazza.
A Paradise a betöltődését követően rögtön nekilát a fájlok titkosításához, majd szöveges állományok létrehozásával tudatja a felhasználóval, hogy a számítógépen komoly károk keletkeztek, és egy weboldalon keresztül veheti fel a támadókkal a kapcsolatot annak érdekében, hogy a helyreállítási információkhoz hozzájusson. Természetesen ez esetben sem célszerű követni a zsarolók utasításait.
Noha a védekezés nem egyszerű, mivel az IQY nem éppen a legjobban monitorozott fájlformátum, azért megfelelő tartalomszűréssel elejét lehet venni, hogy az ilyen fájlok bekerüljenek a postafiókokba. Azon felhasználóknak, szervezeteknek, amelyek nem használnak IQY állományokat, azoknak javasolt egész egyszerűen ezeket kiszűrni, törölni. Egyéb esetben pedig a csak valóban megbízható forrásból származó fájlokat szabad megnyitni.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
-
Az Adobe hat sebezhetőséget orvosolt az InDesignban.
-
15 biztonsági javítással gyarapodott az Adobe FrameMaker.
-
Az SAP kiadta a júliusi biztonsági frissítéseit.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat