Nem kér váltságdíjat egy túszejtő vírus
További Biztonság cikkek
Az úgynevezett ransomware nem újdonság a kártékony szoftverek palettáján: a „váltságdíjat” követelő férgek ugyan alacsony fertőzőképességűek, de annál kellemetlenebb meglepetést tudnak okozni áldozataiknak. A program ugyanis túszul ejti a számítógépet, pontosabban szólva bizonyos fájlokat, dokumentumokat titkosít a merevlemezen, amelyeket a fertőzést követően a felhasználó nem képes megnyitni, illetve futtatni.
Korábban biztonságtechnikai cégek is elismerték: a titkosított adatok visszafejtéséhez szükséges kulcs gyors megtalálása csak egy programozói hibának vagy a nem elég erős titkosítási algoritmusnak köszönhető. A fejlődés sajnos várható volt: a nagy múltú Gpcode nevű zsarolós trójai egyik változata már a 660 bites RSA kulcsot használta, amelynek feltörése egy dekódolásra tervezett szuperszámítógépnek is több hónapnyi feladatot jelenthet. Persze a ransomware-ek azonnal megoldást is kínálnak a problémára, hiszen váltságdíjat kérnek a titkosított állományokért cserébe: az ajánlat rendszerint az, hogy ha a károsult fizet, kap egy kódot, amely visszaállítja a fájlokat – garancia persze semmire sincs.
A Symantec által észlelt új ransomware trójai annyiban különleges, hogy gyakorlatilag nem is ransomware: azonnali váltságdíjat ugyanis nem kér, így neve értelmét veszti. A Trojan.Ramvicrype névre keresztelt féreg RC4-es algoritmussal dolgozik, Windows 9x, Windows ME, XP, Vista, NT, Windows Server 2000 és 2003 operációs rendszereket képes kompromittálni. Minden számítógép, amely .vicrypt kiterjesztéssel rendelkező állományokat hordoz, fertőzött – írta meg a Symantec a napokban. A szakemberek eleinte nem értették, miért ejt túszul fájlokat egy program, amely végül nem kér pénzt a titkosítás feloldásáért, aztán az interneten rákerestek a vicrypt kifejezésre – a találati lista élén pedig egy mauritiusi cég szerepelt Exquisys Software Technologies néven.
A vállalat korábban kibocsátott egy kártevő-eltávolító szoftvert, amely ugyan ingyenesen keresi meg a vicrypt-féle férget, de legfeljebb csak hét titkosított állományt állít vissza – ha több fájlt kívánunk visszakapni, fizetnünk kell a termékért. A Symantec úgy spekulált, a túszállományok .vicrpyt kiterjesztése és a találati lista szorosan összefügg, ezzel azt feltételezve, hogy a vállalat esetleg maga írta a trójait, hogy majd később pénzt szedjen az eltávolításért. Viszont mi értelme az egésznek, ha a felhasználó a fertőzést követően nem tud felcsatlakozni az internetre? Márpedig ez is könnyen előfordulhat, lévén a trójai hivatkozások, parancsikonok útján szemeli ki az áldozatokat, így akár a Windows gyökérkönyvtárában lévő állományokat is képes kompromittálni – ebben az esetben persze nem csupán az internetről zárjuk ki magunkat, hanem jó eséllyel a számítógépünkből is.
Az Exquisys Software Technologies – egy nappal azt követően, hogy a Symantec saját, ingyenes vicrypt-eltávolítót jelentetett meg – felhagyott a fizetős verzió kibocsátásával, a szoftver a továbbiakban költségvonzat nélkül minden állományt helyreállít.