Magyar zsarolóvírus szedi áldozatait

Vágólapra másolva!

A Locky nevű zsarolóvírus működését utánozza a Hucky nevű zsaroló, ami az Avast szerint magyar felhasználókat céloz, és nagy eséllyel magyar támadó készíthette.

Dömös Zsuzsanna

Vágólapra másolva!

vírus zsarolóvírus zsaroló Avast

Az Avast Threat Labs biztonsági szakemberei új zsarolóvírust azonosítottak, ami a jól ismert Lockyt próbálja imitálni. A kártevőt magyar támadó írhatta, erről kapta a nevét (Hungarian Locky).

A kártevő viselkedésének elemzése során kiderült, hogy titkosítja a felhasználó fájljait, és a .locky kiterjesztést fűzi hozzájuk. Ezért a Locky nevű zsarolóra gyanakodtak először a kutatók, de az már nem használja a .locky kiterjesztést, helyette a .shit, vagy .thor-t fűzi a fájlnevekhez. Emellett a Locky más azonosítóit sem fedezték fel a Hucky mintáján.

A Hucky ezt az üzenetet hagyja a felhasználónak Forrás: Avast

Az Avast biztonságos tesztkörnyezetben vizsgálta a kódot, ami a Lockyhoz hasonló jelenségeket produkál: a fertőzött gép hátterén a zsaroló utasításai láthatók, ugyanazzal a betűtípussal és színekkel, mint a Locky esetében is.

A titkosítási folyamat is hasonlít: egy véletlenszerűen generált AES titkosítási kulcsot használ a fájlok védésére, ezt tovább titkosítja egy nyilvános RSA kulccsal is. A Hucky viszont offline is képes titkosítani a fájlokat, míg a Lockey egy szerverről tölti le a nyilvános kulcsot.

Ám míg a Locky bitcoinban követeli a váltságdíjat egy Tor-hálózaton található oldalon keresztül, addig Hucky egy e-mailt kér a megadott felhasználói azonosítóval egy Mail2Tor címre.

Emellett a Hucky egy kis lakatot is elhelyez a jobb felső sarokban "Locky" felirattal, míg az eredeti zsaroló nem használja ezt a vizuális elemet.

Más fájlokban is használt magyar kifejezéseket a vírus készítője Forrás: Avast

Több magyar vonatkozást is találtak a vizsgálat közben, a rootban talált fájlok elnevezései is magyar anyanyelvű készítőről árulkodnak, például „semmi.exe", vagy „turul.exe". A készítő neve nagy valószínűséggel Dani lehet, a projektet pedig „titkoss" névre keresztelte.

Az eddigi áldozatok is magyarok,

ezért alacsony a zsaroló jelenléte.

Korábban már több nagy, ismertebb zsaroló viselkedését próbálták utánozni kisebb, új vírusok, mert így nagyobb az esély arra, hogy a felhasználók megijednek.

Mi is az a zsarolóvírus (ransomware)?

A kártevő lényege, hogy a fertőzött számítógépen tárolt fontos adatokat titkosítja, majd váltságdíjat követel azok feloldásáért. Mivel a kiberbűnözők folyamatosan változtatják a bevetett eszközeiket, beleértve a titkosítási sémákat, a futtatható fájlok formátumát és a fertőző vektorokat, ezért különleges figyelmet kapnak ezek a vírusok. Az értékes fájlokért nem ritkán több millió forintnak megfelelő összeget követelnek, a hackerek számára anonimitást biztosító bitcoin digitális valutában. Azonban az sem biztos, hogy ha fizetünk, valóban visszakapjuk a fájlokat. A biztonsági szakemberek szerint biztonsági mentéssel lehet megelőzni: érdemes a fontos fájlokról olyan másolatot készíteni, ami nem férhető hozzá a szerveren.

Védekezés

A zsarolóvírusok ellen a leghatékonyabb a megelőzés, az Avast az alábbiakat javasolja, és hangsúlyozza sokadjára is:

Ne nyissunk meg gyanús csatolmányokat!
Tiltsuk le a Microsoft Office alapértelmezett makróit, hogy azok ne nyissák meg a gyanús fájlokat!
Mindig készítsünk biztonsági mentést a fontos fájlokról!
Bizonyosodjunk meg arról, hogy naprakész a rendszerünk, és az általunk használt appok, röviden: mindig frissítsünk!
Mindenképp legyen telepítve antivírus-szoftver a számítógépre és a mobileszközeinkre.