Újabb zsarolóvírus kezdett terjedni a neten

​A Rook nevű zsarolóvírus még sok fejtörést okozhat a közeljövőben. Már egy bankot és egy légiközlekedési céget térdre kényszerített.
 

A hírhedt Babuk nevű zsarolóvírus forráskódja szeptemberben szivárgott ki. Már akkor sejteni lehetett, hogy a vírusírók figyelmét mindez nem fogja elkerülni, és rövid időn belül elkezdik felhasználni a ransomware kódját. Az elmúlt években több hasonló eset is történt, és akkor sem kellett sokat várni arra, hogy a kiberbűnözők a forráskódokat a saját javukra fordítsák. A Babuk esetében az első komolyabb fenyegetést jelentő "másolat" a Rook nevet kapta. 

A Rook zsarolóvírust a SentinelLabs kutatói vették alaposan górcső alá. Az elemzéseik során arra a következtetésre jutottak, hogy a Rook hasonló API-kal operál, mint a Babuk. Az új szerzemény felépítése azonos vonásokat mutat, és ugyanazon folyamatokat, szolgáltatásokat támadja, mint az elődje. 

Így fertőz a Rook 

A zsarolóprogram elsősorban kéretlen elektronikus levelek, adathalász küldemények és torrentes letöltések révén kerül fel a számítógépekre. Amikor elindul, akkor először feltérképezi azokat a folyamatokat, amelyek a működésére nézve hátrányosak lehetnek, illetve hozzájárulhatnak a detektálásához. Akár biztonsági alkalmazásokat is képes hatástalanítani. Különösen allergiás azokra a szoftverekre, amelyek zsarolóprogramok elleni védelmet biztosítanak. 

A Rook a fájlok titkosítása előtt a Windows vssadmin.exe eszközével törli az árnyékmásolatokat, hogy ezzel is megnehezítse a helyreállítást. Ezt követően nekilát az állományok lekódolásának. A kompromittált fájlok nevét .Rook kiterjesztéssel egészíti ki. 

A zsarolóprogram nem törekszik arra, hogy hosszabb távon is jelen legyen a fertőzött számítógépeken. Sőt a titkosítást követően automatikusan eltávolítja a saját állományait a rendszerekről. Amit viszont maga mögött hagy, az nem más, mint rengeteg használhatatlan fájl. 

A biztonsági szakértők egyelőre nem tudják, hogy a Rook képes lesz-e olyan széles körű károkozások végrehajtására, mint amire a Babuk alkalmas volt. Mindenesetre a funkcionalitása adott ahhoz, hogy a közeljövőben komolyabb problémákat idézzen elő. 
Vélemények
 
  1. 3

    Az Apache Tomcat egy közepes veszélyességű hiba miatt kapott frissítést.

  2. 4

    Az Edge webböngésző megkapta az újabb biztonsági frissítését.

  3. 1

    ​A Hermwiz féreg meglehetősen gyorsan képes terjedni a helyi hálózatokban.

 
Partnerhírek
Új, hálózati szintű megoldás a távközlési és internetszolgáltatók számára

Az új ESET NetProtect védi az ügyfelek Telco- és ISP-hálózatokhoz csatlakoztatott eszközeit a rosszindulatú webtartományoktól, a rosszindulatú szoftverektől, adathalászoktól és nem kívánt tartalmaktól.

​Zero Trust egyszerűen a Balasys és a One Identity megoldásaival

A Balasys, a közép-európai régió egyik legjelentősebb kiberbiztonsági szoftvergyártója saját fejlesztésű és disztributált termékekből álló Zero Trust portfolióját a One Identity legújabb megoldásaival egészíti ki.

hirdetés
Közösség