Új zsaroló program lendült támadásba

Az Erebus zsaroló program felhasználói közreműködés nélkül is emelt szintű jogosultságokat szerez ahhoz, hogy fájlokat tegyen tönkre, majd váltságdíjat követeljen.
 

Az Erebus zsaroló program legutóbb felfedezett változata két szempontból tűnik ki a hasonló célokat dédelgető károkozók sorából. Egyrészt egy trükközés után emelt szintű jogosultságokat szerez magának, másrészt 90 dollárral (illetve annak megfelelő értékű bitcoinnal) beéri, amikor a felhasználót megzsarolja. A ransomware-ek általában ennél magasabb összegeket igyekeznek bezsebelni, legtöbbször minimum 300 dollárt vagy 300 eurót. Az is gyakorta előfordul, hogy a váltságdíj mértéke a fizetés időpontjától, illetve a célpont nagyságától (vagy a titkosított fájlok számától) függően változik. Az Erebus egyelőre nem bonyolódott bele ennyire a pénzügyekbe.
 
Megkerült védelem
 
Az Erebus nem bíz semmit a véletlenre, és nem akar a felhasználóra hagyatkozni, ha már egyszer felkerül egy PC-re. Ekkor ugyanis megpróbálja megkerülni az UAC-védelmet, azaz elérni, hogy a Windows ne jelenítse meg a biztonsági figyelmeztetését. Mindezt úgy teszi, hogy a regisztrációs adatbázisban megváltoztatja az .msc kiterjesztéshez tartozó alapértelmezett alkalmazást. Ezt követően pedig elindítja a Windows Eseménynaplóját (eventvwr.exe), amely megnyitja az eventvwr.msc fájlt. Csakhogy a MalwareHunterTeam biztonsági kutatói szerint ekkor az előzőleg elvégzett manipulációk miatt nem az Eseménynapló (és az mmc.exe) fog elindul, hanem a károkozó, immár emelt szintű jogosultságok birtokában.
 
Amint sikeresen betöltődik a károkozó, akkor elkezdi feltérképezni a számítógépet és az ahhoz csatlakoztatott meghajtókat. Egy viszonylag hosszú kiterjesztéslista alapján állományokat kutat fel, amelyeket letitkosít. Ekkor egyebek mellett dokumentumok, képek, multimédiás állományok, CAD-rajzok, adatbázisok is az áldozatává válhatnak. A kompromittált fájlok kiterjesztését pedig (ROT-23 kódolással) megváltoztatja. Az állományok tartalmának titkosításához erős, AES-eljárásokat használ.
 
A fájlok használhatatlanná tételét követően törli a Windows árnyékmásolatait, hogy ezzel is megnehezítse a helyreállítást. Majd egy webes fájlt helyez el az Asztalon, és egy dialógusablak segítségével közli a felhasználóval, hogy mi is történt a számítógépén. Amikor az áldozat megnyitja az Asztalon lévő HTML-fájlt, akkor egy útmutató jelenik meg az alapértelmezett webböngészőben a helyreállítási lehetőségekről és a fizetés módjáról.
 
A biztonsági szakemberek a kártékony program követeléseinek teljesítését ezúttal sem javasolják, még annak ellenére sem, hogy jelenleg nincs ellenszer. Így leginkább a biztonsági mentések segíthetnek az épp állományok visszanyerésében.