Vilmos
24 °C
35 °C

Befutott az új év első online zsarolólevele

2016.01.04. 11:29

Egy biztonságtechnikai kutató felfedezett egy komoly sebezhetőséget a JavaScriptben, amit Ransom32-nek hívnak. A kiberbiztonsággal foglalkozók a névből kitalálhatták, hogy egy ransomware-ről, a zsarolóprogramok egy fajtájáról lehet szó: ezek megbénítják a számítógép működését, illetve felajánlják, hogy a felhasználó folytathatja a munkát, ha befizet a megadott bankszámlára egy csinos összeget.

Fabian Wosar, az Emsisoft kutatója azt írja, a vírus elsősorban a Windows-felhasználókat támadja. A vírus egy önkicsomagoló tömörített fájlban érkezik, ami egy NW.js állományt tartalmaz. Az NW.js egy Javascript alapú alkalmazásfejlesztő keretrendszer, a segítségével egy webes alkalmazást hagyományos szoftverként is lehet futtatni. Ezzel Javascriptben is meg lehet csinálni mindent, amit a hagyományos programnyelvekkel, például a C++-szal vagy a Delphivel.

Na, akkor most összefoglaljuk, érthetően.

  1. A gép letölt egy WinRAR fájlt, ami kicsomagolódik.
  2. Van benne egy NW.js állomány, ami kicsomagolás után elvégzi a munka oroszlánrészét.
  3. A támadók ezután át is vehetik az irányítást a gép fölött: zsaroló levelet küldhetnek, megszerezhetik a merevlemez tartalmát, vagy amihez épp kedvük van.

A vírusvédő szoftverek és tűzfalak általában a digitális aláírás megléte alapján ellenőrzik, hogy egy állomány veszélyes-e a számítógépre. Mivel az NW.js egy legitim keretrendszer, van digitális aláírása is. Emiatt a vírusvédők általában nem észlelik a veszélyt.

Ezután a ransomware simán feltelepülhet a számítógépünkre, és közli velünk, hogy az összes fájlunkat titkosította, de ha befizetünk 350 dollárt Bitcoinban egy megadott számlára a lenyomozhatatlan Tor böngészővel, visszakaphatjuk őket.