Megint támadnak a zsarolóvírusok

Újabb zsaroló trójaiak terjedésére figyelmeztetnek az IT-biztonsági cégek. Ezek a rosszindulatú programok a számítógép merevlemezén megkeresik a felhasználó számára potenciálisan értékes adatokat (például Acrobat- és Word-dokumentumok, Excel-táblázatok, szövegfájlok, képek, videók), majd titkosítják azokat. A terjesztők ezt követően úgy remélnek pénzhez jutni, hogy megzsarolják a fertőzött gépek tulajdonosait: vagy fizetnek, vagy soha többé nem férnek hozzá a fájljaikhoz. A zsarolóvírusok közül a legelterjedtebb a Gpcode család volt, amely először 2004-ben bukkant fel, és azóta időről időre új mutációkban előkerül.

Hirdetés

Korábban a vírusirtókat fejlesztő cégeknek sikerült olyan hibákat találni a titkosító algoritmusokban, amely alapján vissza tudták fejteni a kulcsokat, de az újabb zsarolóvírus esetében egyelőre nincs meg az ellenszer. A Kaspersky előzetes elemzése szerint az új Gpcode-variáns nem törli az eredeti fájlokat a titkosítás után, hanem felülírja azok adatainak egy részét, ezért a korábban bevált adat-visszaállító szoftverek itt nem segítenek. A zsaroló program egyébként RSA-1024 és AES-256 titkosítást használ, és csak az állományok elejét titkosítja.

A fertőzött windowsos gépeken – a trójai csak a Microsoft rendszerét használó PC-ken terjed – a háttérkép helyén a zsaroló üzenete jelenik meg, melyben leírja: ne is próbálkozzon a felhasználó más módszerrel, úgyis hiába, az adatok csak úgy nyerhetők vissza, ha 120 dollárt fizetnek a kártevő készítőének, akivel e-mailben léphetnek kapcsolatba.

A Sophos úgy tudja: a kórokozó fertőzött PDF-ekben terjed, és weboldalakról szerezhető be. A cégek azt javasolják, hogy az érintett számítógépeket a felhasználók kapcsolják ki, lehetőleg a tápkábel kihúzásával. A lényeg, hogy a rendszer minél kevesebb lemezműveletet végezzen, mert ez csökkenti a fájlok későbbi visszaállításának esélyeit. Általános jó tanács: rendszeresen végezzünk biztonsági mentéseket!

A CA tegnap egy másik ransomware megjelenésére figyelmeztetett. Ez a kórokozó a merevlemez master boot recordját (MBR) írja felül, és szintén váltságdíjat kér az eredeti állapot visszaállításáért. A Kaspersky szakemberei azonban hamar megfejtették az ehhez szükséges jelszót, így fertőzés esetén itt nincs ok pánikra. A visszaállítás menetéről itt olvasható a cég tájékoztatója.

Azóta történt

Előzmények