Veszélyes vírust terjeszt egy hamis PayPal oldal

Egy hamis PayPal weboldal terjeszt egy igen veszélyes zsarolóvírust. Érdemes nagyon figyelni arra, hogy tényleg a hivatalos PayPalt böngésszük.
 

A Nemty nevű zsaroló program nem ismeretlen a biztonsági szakemberek előtt, hiszen már régebb óta fertőzi a számítógépeket. Korábban különféle internetes fórumokon is elérhetővé vált, ami a terjedési ütemét csak fokozta. Azonban igazán csak augusztusban kapott nagyobb hírverést, amikor Vitali Kremez biztonsági kutató közzétette a károkozóval kapcsolatos, részletes vizsgálati eredményeit. Ezekből az derült ki, hogy ezúttal is egy olyan zsarolóvírusról van szó, amely fájlok titkosítását követően váltságdíjat követel a felhasználóktól.
 
A Nemty zsarolóvírus már eddig is képes volt különféle sebezhetőségek kihasználására (egyebek mellett a RIG exploit kit révén), és többféle módszerrel terjedt. A hozzá kapcsolódó legújabb trükk azonban talán mind közül a legmegtévesztőbb és legalattomosabb. A vírusterjesztők ugyanis egy hamis, az eredetihez nagyon hasonlító PayPal weboldalt hoztak létre, amelyre megpróbálják ráirányítani a felhasználókat.
 
A Nao_sec néven tevékenykedő biztonsági kutató által felfedezett weblap böngészésekor az első feltűnő elem, hogy 3-5 százalékos visszatérítést ígér annak, aki letölti a weblapról a "hivatalos" PayPal alkalmazást. A valóságban azonban éppen ez a program hordozza a zsarolóvírust, és az egésznek semmi köze sincs a népszerű fizetőszolgáltatáshoz.  
Érdemes megjegyezni, hogy a vírusterjesztők a weboldalt igyekeztek viszonylag gondosan felépíteni, még támogatásra, kapcsolatfelvételre és biztonsági tanácsok közzétételére szolgáló aloldalakat is szerkesztettek. Nyilván azért, hogy a felhasználókban minél kisebb valószínűséggel keltsenek gyanút.
 
A Nemty nem kegyelmez
 
Amennyiben a felhasználó letölti a hamis oldalról a hamis szoftvert, akkor a számítógépe - megfelelő vírusvédelem hiányában - azonnal megfertőződhet. Ezt követően kezdetét veszi az értékes felhasználói fájlok titkosítása, majd a zsarolás. Jelenleg általában 1000 dollárnak megfelelő Bitcoint követelnek a csalók, de a követeléseiket ezúttal sem javasolt teljesíteni.
 
Az eddigi vizsgálatok szerint a hamis PayPal oldal is a Nemty 1.4-es verzióját terjeszti. Ennek érdekessége, hogy nem fertőzi meg azokat a számítógépeket, amelyekről egy ellenőrzés során az derül ki, hogy Oroszországban, Belorussziában, Kazahsztánban, Tádzsikisztánban vagy Ukrajnában működnek.
 
Védekezési lehetőségek
 
A Nemty legújabb trükkje ellen leginkább a webböngészők címsorában megjelenő webcímek alapos ellenőrzésével lehet védekezni. Emellett a naprakész, korszerű víruskeresők is képesek felismerni, ezért célszerű ezek használatára is figyelmet fordítani. Nem utolsó sorban pedig a webböngészők is elkezdték blokkolni a problémás weboldalt, illetve az onnan elérhető, fertőzött (cashback.exe nevű) fájlt, így ezeket a riasztásokat is célszerű komolyan venni.