cover

Vigyázzatok a zsarolóvírusokkal!

#HÍREK
2017. 03. 07.

Az ESET hívta fel rá a figyelmünket, hogy új zsarolóvírus terjed a torrentoldalakon. Bár egyelőre nem okozott nagy károkat, de jobb, ha odafigyeltek. Kalózok, csak óvatosan!

A zsarolóvírusok (ransomware) nem új keletűek, az első ismert példány az AIDS (más néven PC Cyborg Trojan) már 1989-ben szívatta a felhasználókat. Szerencsére a Mac-esek nem igazán találkozhattak velük (ahogy más vírusokkal is csak ritkán), aminek okait mi is fejtegettük már. Azonban az ESET szakemberei most egy átfogó zsarolóvírus kampányt észleltek, amely kifejezetten a Mac gépeket támadja.

patcher

A Swift-ben íródott (az Apple saját fejlesztésű programozási nyelve) zsarolóvírus BitTorrenten keresztül terjedt, és egy ‘Patcher’ elnevezésű, népszerű szoftverek feltörésére szolgáló alkalmazásnak adta ki magát.

A torrent állomány egyetlen, ZIP-be tömörített alkalmazáscsomagot tartalmaz. Az ESET szakemberei kétféle hamis feltörő programot is észleltek: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörésével kecsegtet, azonban ezeken kívül akár több ilyen hamis trójai program is létezhet. – áll a közleményben.

A zsarolóvírusok lényege, hogy telepítésük után titkosítanak minden adatot a számítógépen. A fejlett titkosítási algoritmusoknak köszönhetően a kódolt fájlokat a legtöbb esetben lehetetlen visszafejteni, emiatt a legjobb módszer a prevenció. A zsarolók README!.txt fájlokat is felmásolnak a felhasználó könyvtáraiba, amelyben arra szólítják fel az áldozatokat, hogy a titkosítási kulcs megszerzése érdekében utaljanak pénzt egy megadott Bitcoin címre.

documentsA terroristákkal nem tárgyalunk mottó viszont ez esetben is érvényes.

A zsarolóvírus nem tartalmaz semmilyen kódot, ami C&C szerverrel (távoli vezérlőszerver) kommunikál, így a titkosításhoz használt kulcsot sem küldi el a kártevő üzemeltetőjéhez. Ez egyben azt is jelenti, hogy az áldozatok fájljainak feloldása sajnos egyáltalán nem lehetséges, tehát a zsarolás során kért összeg esetleges kifizetése után sem kapjuk vissza adatainkat. Többek között ezért ajánlja az ESET, hogy soha ne fizessünk, ha zsarolóvírus áldozataivá válunk.

torrent

Szerencsére elég kezdetleges kódolású vírusról van szó, amit könnyű felismerni – legalábbis jelen stádiumában. A trójai alkalmazás ablaka például szinte teljesen átlátszó, amin egyedül egy rövid felirat, és egy START gomb látható. Na, ez az a gomb, amit SOHA nem szabad megnyomnod, ugyanis ezzel kezdődik a titkosítási folyamat. Érdemes észben tartani azt is, hogy a program egy NULL.prova fejlesztői azonosítóval rendelkezik, amelyet nem az Apple bocsátott ki. Ha tehát ezzel az azonosítóval találkozol, akkor véletlenül se telepítsd az adott programot.

start

Valószínűleg az aránylag könnyű felismerhetőségnek köszönhetően egyelőre nem tudni áldozatokról. A megadott Bitcoin tárcában ugyanis egyelőre nem történt semmiféle tranzakció, ami azt jelenti, hogy a zsarolóvírus készítője még semmit sem keresett vele.

Figyelj a fentiekre, ne kalózkodj, és akkor biztosan nem te leszel az első fizető vendég!