Válogatós lett a Ryuk zsaroló program, de nem eléggé

A Ryuk zsaroló program legújabb variánsa érdekes funkcióval jelent meg: bizonyos nevű és IP-című számítógépeken nem rombol.
 

A zsaroló programok napról napra szolgáltatnak újdonságokat, miközben az eredeti céljuk mit sem változik. A sokszor helyreállíthatatlan rombolás, valamint a felhasználóktól történő váltságdíj követelés nem kopik ki a repertoárjukból. Így van ezzel a Ryuk víruscsalád is, amelynek rendszeresen jelennek meg az új tagjai.
 
Kicsit finnyás
 
A Ryuk legújabb változatát Vitali Kremez biztonsági szakértő fedezte fel, és vizsgálta. Amikor tüzetesen szemügyre vette a szerzeményt, akkor hamar feltűnt számára, hogy az érdeklődést mutat IP-címek, valamint a számítógép neve iránt. Ezen a nyomon elindulva arra jött rá, hogy a zsaroló program különféle feketelistákat tartalmaz, vagyis nem minden számítógépen titkosítja a fájlokat.
 
A kártékony program első körben az "arp -a" parancs segítségével IP-címeket kérdez le. Amennyiben azt észleli, hogy az arp parancs kimenete tartalmaz 10.30.4.x, 10.30.5.x, 10.30.6.x vagy 10.31.32.x tartományhoz tartozó címeket, akkor a titkosítást hanyagolja. Ugyancsak ezt teszi akkor is, ha a fertőzött PC nevében megtalálhatók a következő karaktersorozatok: "SPB", "Spb", "spb", "MSK", "Msk", "msk".  
Kremez szerint a fenti feketelistázás azt a célt szolgálja, hogy a legújabb Ryuk ne okozzon károkat egyes orosz számítógépeken. (Az MSK Moszkva rövidítése, míg az SPB Szentpéterváré.)
 
Minden más változatlan
 
Amennyiben a Ryuk olyan számítógépre kerül fel, amely nem felel meg az említett feltételeknek, akkor a kártevő rögtön nekilát az állományok titkosításának. A kompromittált fájlokat .RYK kiterjesztéssel egészíti ki, majd minden olyan mappába, amelyben legalább egy állományt lekódolt, bemásol egy RyukReadMe.html nevű fájlt. Ez tartalmazza az elkövetők üzenetét, és azt, hogy miként lehet felvenni a kapcsolatot a zsarolókkal.
 
A biztonsági szakértők ez esetben sem javasolják, hogy bárki kifizesse a váltságdíjat, mivel nincs garancia arra, hogy ezt követően a helyreállítás elvégezhető lesz. A védekezés, megelőzés szempontjából a korszerű vírusvédelemre és a rendszeres biztonsági mentésekre kell helyezni a hangsúlyt.