Nándor
7 °C
23 °C

Magyar siker: már saját zsarolóvírusunk is van

2016.10.28. 11:27
Egy új, méghozzá magyar fejlesztésű zsarolóvírust fedezett fel a napokban az Avast Threat Labs, a népszerű antivírusgyártó kutatórészlege. A kártevő neve Hucky, ami arra utal, hogy a világszerte népszerű Locky inspirált. Az angol nevét is innen kapta: ez a magyar Locky.

A Hucky a szokott módon titkosítja a megfertőzött gépeken található fájlokat, hogy váltságdíjat kérhessen a feloldásukért. A titkosítás után .locky fájlkiterjesztést biggyeszt a nevük után, ami első ránézésre magára a Lockyra utalna, de az már nem ezt a kiterjesztést használja (hanem azokat, hogy .shit és .thor), ami szintén mutatja, hogy csak egy utánzatról lehet szó.

Mivel más jellemzőiben is eltér a jól ismert kártevőtől, a kutatók alaposabban is megpiszkálták. Az elfogott mintát virtuális gépen futtatták, hogy kedvére garázdálkodhasson a biztonságos környezetben, aztán megnézték, mire jutott. A kártevő erre a szöveges képre cseréli le a megfertőzött gép háttérképét:

A magyar szövegben ugyan sok hiba van, de ezek nem annyira automata fordításra utaló nyelvtani hibák, inkább hanyag megfogalmazásról árulkodó helyesírási hibák és egyszerű elírások. Ezen kívül magyar fejlesztőre utal még az is, hogy

  • Több fájlnév is magyar, mint például az utasításokat külön is tartalmazó _Adatok_visszaallitasahoz_utasitasok.txt, vagy maguk a kártevő kódot végrehajtó semmi.exe és turul.exe fájlok.
  • Magában a kódban is magyar kifejezések szerepelnek, egy helyen például az a bűnöző erkölcsi tépelődéséről megkapóan valló félmondat, hogy "nem szívesen teszem, de a mohóságom nagyobb az ellenőrzésemnél".
  • A fejlesztő hagyott nem szándékolt nyomokat is, például a kártevő összerakásához használt számítógépen lévő felhasználói nevét. Eszerint Daninak hívják (disclaimer: nem én voltam), bár ezt a kód egy későbbi verziójában már el is rejtette. A projekt neve pedig a szintén árulkodó "titkoss".

Nem ritka, hogy a kispályás fejlesztők sikeres zsarolóvírusokat utánoznak, mert hasonlóan ahhoz, ahogy egy márkás termék másolatánál az eredeti brand értékéből akarnak hasznot húzni, itt is növelheti a fizetési hajlandóságot egy ismert kártevő megidézése.

Maga a titkosítás módja is hasonló a Lockyéhoz, a fájlokat duplán kódolják, először egy véletlenszerűen generált AES-kulccsal, majd ezt egy RSA-kulcspár nyilvános felével. A különbség, hogy a Hucky offline is működik, mert a Lockyval ellentétben nem neten keresztül, egy központi szerverről szerzi be a nyilvános kulcsot, hanem bele van kódolva.

A Hucky nem közveltenül Bitcoinban kéri a váltságdíjat a fájlok visszaállításához, ehelyett az áldozatnak egy Mail2Tor-emailcímre kell elküldeni egy kódot a további teendőkhöz. A magyar kártevő a szokásos fájltípusokon túl videojátékok mentéseit is titkosítja, ami egyébként okos ötlet, hiszen a tulajdonosának általában ez is nagyon fontos adatnak számít.

Zsarolnak orrba-szájba

Ahogy a zsarolóvírusok kapcsán már sokszor írtuk, a legjobb védekezés a megelőzés és az odafigyelés:

  • Ha kap egy emailt ismeretlen feladótól, ne nyissa meg benne a csatolmányt, még ha a címe alapján érdekesnek is tűnik. Pláne ne nyisson meg bizonytalan forrásból származó Office-fájlokat, mert leggyakrabban az ezekbe ágyazott makrók húzzák le a gépekre magát a kártevőt, ha nincs letiltva az automatikus lejátszásuk.
  • A fontos fájljairól készítsen másolatot, amit valahol máshol tart, például külső merevlemezre másol, vagy legalább a felhőbe szinkronizál.
  • Bár tudjuk, hogy bosszantó a frissítésekkel szöszmötölni, ne sajnálja azt a pár percet, frissítsen, ha egy program ezt felajánlja.
  • Egy antivírus program sose árt, ha van a gépén.

Ha mégis áldozatul esne egy zsarolóvírusnak, inkább rögtön kérje szakértő segítségét. Fordulhat a No More Ransom! nevű kezdeményezéshez is, amelyben nemzeti hatóságok és biztonsági cégek karöltve küzdenek a zsarolóvírusok ellen, és igyekeznek segíteni az áldozatokat. A projekthez nemrég csatkakozott Magyarország is.

Van is mi ellen védekezni, a szakemberek szerint továbbra is messze ez a legnagyobb fenyegetés jelenleg, és még mindig növekvőben van a zsarolóvírusos esetek száma, sőt már mobilra, és hamarosan az otthoni, hálózatra kötött okoskütyüinkre is egyre inkább leselkedik ez a fajta fenyegetés. Magyarországon se számít a dolog újdonságnak, arról például mi is írtunk korábban, hogy kórházak és más közintézmények is szedtek már be ilyen kártevőt.