Magyar zsarolóvírus szedi áldozatait

koronavírus
Egyre több álhír kering a közösségi média oldalakon a koronavírus-fertőzés kezelésével kapcsolatban
Vágólapra másolva!
A Locky nevű zsarolóvírus működését utánozza a Hucky nevű zsaroló, ami az Avast szerint magyar felhasználókat céloz, és nagy eséllyel magyar támadó készíthette. 
Vágólapra másolva!

Az Avast Threat Labs biztonsági szakemberei új zsarolóvírust azonosítottak, ami a jól ismert Lockyt próbálja imitálni. A kártevőt magyar támadó írhatta, erről kapta a nevét (Hungarian Locky).

A kártevő viselkedésének elemzése során kiderült, hogy titkosítja a felhasználó fájljait, és a .locky kiterjesztést fűzi hozzájuk. Ezért a Locky nevű zsarolóra gyanakodtak először a kutatók, de az már nem használja a .locky kiterjesztést, helyette a .shit, vagy .thor-t fűzi a fájlnevekhez. Emellett a Locky más azonosítóit sem fedezték fel a Hucky mintáján.

A Hucky ezt az üzenetet hagyja a felhasználónak Forrás: Avast

Az Avast biztonságos tesztkörnyezetben vizsgálta a kódot, ami a Lockyhoz hasonló jelenségeket produkál: a fertőzött gép hátterén a zsaroló utasításai láthatók, ugyanazzal a betűtípussal és színekkel, mint a Locky esetében is.

A titkosítási folyamat is hasonlít: egy véletlenszerűen generált AES titkosítási kulcsot használ a fájlok védésére, ezt tovább titkosítja egy nyilvános RSA kulccsal is. A Hucky viszont offline is képes titkosítani a fájlokat, míg a Lockey egy szerverről tölti le a nyilvános kulcsot.

Ám míg a Locky bitcoinban követeli a váltságdíjat egy Tor-hálózaton található oldalon keresztül, addig Hucky egy e-mailt kér a megadott felhasználói azonosítóval egy Mail2Tor címre.

Emellett a Hucky egy kis lakatot is elhelyez a jobb felső sarokban "Locky" felirattal, míg az eredeti zsaroló nem használja ezt a vizuális elemet.

Más fájlokban is használt magyar kifejezéseket a vírus készítője Forrás: Avast

Több magyar vonatkozást is találtak a vizsgálat közben, a rootban talált fájlok elnevezései is magyar anyanyelvű készítőről árulkodnak, például „semmi.exe", vagy „turul.exe". A készítő neve nagy valószínűséggel Dani lehet, a projektet pedig „titkoss" névre keresztelte.

Az eddigi áldozatok is magyarok,

ezért alacsony a zsaroló jelenléte.

Korábban már több nagy, ismertebb zsaroló viselkedését próbálták utánozni kisebb, új vírusok, mert így nagyobb az esély arra, hogy a felhasználók megijednek.

Mi is az a zsarolóvírus (ransomware)?

A kártevő lényege, hogy a fertőzött számítógépen tárolt fontos adatokat titkosítja, majd váltságdíjat követel azok feloldásáért. Mivel a kiberbűnözők folyamatosan változtatják a bevetett eszközeiket, beleértve a titkosítási sémákat, a futtatható fájlok formátumát és a fertőző vektorokat, ezért különleges figyelmet kapnak ezek a vírusok. Az értékes fájlokért nem ritkán több millió forintnak megfelelő összeget követelnek, a hackerek számára anonimitást biztosító bitcoin digitális valutában. Azonban az sem biztos, hogy ha fizetünk, valóban visszakapjuk a fájlokat. A biztonsági szakemberek szerint biztonsági mentéssel lehet megelőzni: érdemes a fontos fájlokról olyan másolatot készíteni, ami nem férhető hozzá a szerveren.

Védekezés

A zsarolóvírusok ellen a leghatékonyabb a megelőzés, az Avast az alábbiakat javasolja, és hangsúlyozza sokadjára is:

  • Ne nyissunk meg gyanús csatolmányokat!
  • Tiltsuk le a Microsoft Office alapértelmezett makróit, hogy azok ne nyissák meg a gyanús fájlokat!
  • Mindig készítsünk biztonsági mentést a fontos fájlokról!
  • Bizonyosodjunk meg arról, hogy naprakész a rendszerünk, és az általunk használt appok, röviden: mindig frissítsünk!
  • Mindenképp legyen telepítve antivírus-szoftver a számítógépre és a mobileszközeinkre.