Az egyik leghíresebb JS/TrojanDownloader.Nemucod trójai tömegesen szedte áldozatait, akik az ártalmatlannak tűnő levélcsatolmányok révén letöltötték és telepítették valamelyik olyan jól ismert zsarolóvírus család tagjait, mint a TeslaCrypt vagy a Locky. Úgy tűnik, hogy ezt a taktikát hatékonynak értékelték a támadók, mivel több hullámban is próbálkoztak vele. A kiberbűnözők emellett a zsarolóvírusok változatainak egy szélesebb palettáját is használták a támadások során, beleértve a CTBLocker vagy a Filecoder.DG kártevőket.

Egy kis bizakodásra adhat okot, hogy nem minden zsarolóvírus olyan veszélyes, mint a fentebb említett családok. A felhasználók szerencséjére ez volt a helyzet két újabb zsarolóvírus – a Petya és a Jigsaw – esetében is, mutatnak rá az ESET szakértői. Mindkettő tartalmazott olyan kivitelezési hibát, amely lehetővé tette az érintett áldozatoknak, hogy visszakapják a dokumentumaikat és az eszközeiket anélkül, hogy fizetniük kellett volna érte.

A Trend Micro által elsőként észlelt Petya “kék halált” okoz, miután sikeresen beszivárgott a Windowsba, és ezzel rákényszeríti az áldozatot, hogy újraindítsa a számítógépét. Ha a felhasználó ez megteszi, az operációs rendszer betöltése helyett egy felugró ablakkal találkozik, amelyen egy követelés jelenik meg 0.99 bitcoin értékű váltságdíj kifizetésére. Az ESET vizsgálata azonban kimutatta, hogy a Petya (a zsaroló üzenetben megjelenő információ ellenére) nem titkosítja magukat a fájlokat a számítógép lemezein, csak a fájlrendszert. Ezzel lehetővé teszi a felhasználóknak, hogy az elérhető eszközök segítségével visszaállítsák a fájlokat, amelyhez rendelkezésre áll egy ingyenes visszafejtő eszköz is: ez a struktúrában hagyott kiskapukon alapszik, és így lehetővé teszi a felhasználónak, hogy visszaállítsa a korábbi fájlrendszert.

A zsaroló, aki játszani szeretne

Egy másik zsarolóvírus család, amely az elmúlt időszakban az ESET kutatóinak látókörébe került, a Jigsaw volt. A Fűrész című népszerű horrorfilmre utalva megpróbál „játszani” az áldozataival azzal, hogy destruktív szabályokat állít fel. Ha a felhasználó nem fizet az első órában, a zsarolóvírus törölni fog egy fájlt. Ha nem fizet a második óra elteltével sem, a törölt fájlok száma kettőre növekszik. Minden további órával exponenciálisan nő a törölt fájlok száma, ami jelentős adatkárosodáshoz vezethet. A Jigsaw figyelmezteti is az áldozatot, hogy minden egyes, a számítógép újraindítására irányuló próbálkozást 1000 másik fájl törlésével bünteti. Azonban a zsarolóvírus kódját vizsgálva az ESET kutatói rájöttek, hogy a Jigsaw is rejt hibákat. A kártevő ugyanazt a statikus kulcsot használja minden titkosításhoz, így már létezik visszafejtőeszköz, amely nyilvánosan elérhető a felhasználók számára.

Egy másoló program, amelyet az ESET rendszere Win32/Filecoder.Autolocky.A vagy röviden Autolocky-ként észlelt, jó példája annak, ahogyan a zsarolóvírusok készítői próbálnak meg mások „hírnevéből” táplálkozni, de gyakran elbuknak a kivitelezési fázisban. A rossz kódolásnak köszönhetően a visszafejtő kulcsot kizárólag Internet Exploreren keresztül küldik és a fertőzött gépen könnyen lekövethető az előzményekben. Az Autolocky áldozatai szintén szerencsések, mivel létezik egy könnyen elérhető eszköz, amivel visszaszerezhetik a fájljaikat.

Ahogy ezek a közelmúltbeli példák is mutatják, a felhasználóknak nem kellene bedőlniük a zsarolóvírusok megfélemlítő taktikáinak, és meg kell tagadniuk a követelt váltságdíj kifizetését. Létezik megoldás vagy visszafejtő eszköz néhány zsarolóvírus család ellen, amelyek képesek biztonságosan és megbízhatóan visszaállítani a fájlokat, megkímélve ezzel a felhasználók pénzét és elvágva a jövőbeli kiberbűnözés finanszírozását. Ezek a megoldások elvileg képesek visszafejteni az éppen aktuális jelenlegi kartevő változatok titkosítását, ezért érdemes először az elhárítás eszközei után nézni. Na és persze biztonsági másolatokat készíteni, naprakészen tartani rendszereinket, és kritikusan szemlélni minden hivatkozást, levélmellékletet.