Weboldalakra támadt egy zsaroló program

A B0r0nt0K névre keresztelt zsaroló program azzal hívta fel magára a figyelmet, hogy weboldalakat kezdett titkosítani, majd 75 ezer dolláros váltságdíjat követelt.
 

Michael Gillespie biztonsági kutató egy új zsaroló programot vizsgált. A károkozó sok más zsarolóvírustól eltérően nem kizárólag arra törekszik, hogy fájlokat kompromittáljon, hanem arra is, hogy mindezt látványosan tegye. Ezért aztán webszervereket kezdett ostromolni, és az azokról kiszolgált weblapok forrásállományait titkosítja. Ilyen módon képes komplett webhelyeket megbénítani. 

A B0r0nt0K első lépésként titkosítja a webes állományokat, majd a tönkretett fájlokat Base64 kódolással látja el. Eközben a fájlneveket is Base64 kódolással (majd URL encode-olással) cseréli le, míg a kiterjesztéseket a ".rontok" kifejezésre módosítja. Ez az egyik legkézzelfoghatóbb jele annak, ha egy rendszert megfertőz, persze amellett, hogy az érintett weboldalak leállnak. 

A zsaroló program egy weboldal meglátogatására szólítja fel az áldozatát, akinek a weblapon egy egyedi kódot kell megadni. Ha ez megtörténik, akkor a B0r0nt0K készítői a felhasználó, üzemeltető elé tárják a követelésüket, ami jelen esetben 75 ezer dollárnak megfelelő Bitcoint jelent. A zsarolók ráadásul azzal is fenyegetőznek, hogy ha 3 napon belül nem kapják meg a követelt összeget, akkor minden állományt végleg megsemmisítenek. Fontos hangsúlyozni, hogy nyilvánvalóan a követelések teljesítése után sincs semmiféle garancia arra, hogy a kompromittált állományok helyreállíthatóvá válnak, ezért a váltságdíj kifizetése ez esetben sem javasolt. 
A kártékony programot eddig egyes Ubuntu-alapú webszervereken sikerült kimutatni, de ez természetesen nem jelenti azt, hogy más disztribúciók esetében ne lenne működőképes a károkozó. Többek között ezért is nagyon fontos, hogy a Linux alapú szerverekről is rendszeres biztonsági mentések készüljenek, amik szükség esetén biztos helyről előhúzhatók, és gyorsan bevethetők a helyreállításhoz. 

Az eddigi vizsgálatai során Gillespie vietnámi, feketekalapos hackerekre utaló bejegyzéseket talált egyes fájlokban, ennek ellenére még nem bizonyított, hogy a szerzemény valóban Vietnámból indult útjára. Egyelőre a terjedéséről is keveset lehet tudni, így még nincsenek információk arról, hogy a károkozó milyen széles körben terjed, avagy még "csak" a szárnyait próbálgatja.