Szilárda
-4 °C
3 °C

Nem kér váltságdíjat egy túszejtő vírus

2009.11.04. 16:50
Egy trójai féreg hozzáférhetetlenné tette a fájlokat, de a titkosítás feloldásához semmit sem kért cserébe. Legalábbis eleinte úgy tűnt.

Az úgynevezett ransomware nem újdonság a kártékony szoftverek palettáján: a „váltságdíjat” követelő férgek ugyan alacsony fertőzőképességűek, de annál kellemetlenebb meglepetést tudnak okozni áldozataiknak. A program ugyanis túszul ejti a számítógépet, pontosabban szólva bizonyos fájlokat, dokumentumokat titkosít a merevlemezen, amelyeket a fertőzést követően a felhasználó nem képes megnyitni, illetve futtatni.

Korábban biztonságtechnikai cégek is elismerték: a titkosított adatok visszafejtéséhez szükséges kulcs gyors megtalálása csak egy programozói hibának vagy a nem elég erős titkosítási algoritmusnak köszönhető. A fejlődés sajnos várható volt: a nagy múltú Gpcode nevű zsarolós trójai egyik változata már a 660 bites RSA kulcsot használta, amelynek feltörése egy dekódolásra tervezett szuperszámítógépnek is több hónapnyi feladatot jelenthet. Persze a ransomware-ek azonnal megoldást is kínálnak a problémára, hiszen váltságdíjat kérnek a titkosított állományokért cserébe: az ajánlat rendszerint az, hogy ha a károsult fizet, kap egy kódot, amely visszaállítja a fájlokat – garancia persze semmire sincs.

A Symantec által észlelt új ransomware trójai annyiban különleges, hogy gyakorlatilag nem is ransomware: azonnali váltságdíjat ugyanis nem kér, így neve értelmét veszti. A Trojan.Ramvicrype névre keresztelt féreg RC4-es algoritmussal dolgozik, Windows 9x, Windows ME, XP, Vista, NT, Windows Server 2000 és 2003 operációs rendszereket képes kompromittálni. Minden számítógép, amely .vicrypt kiterjesztéssel rendelkező állományokat hordoz, fertőzött – írta meg a Symantec a napokban. A szakemberek eleinte nem értették, miért ejt túszul fájlokat egy program, amely végül nem kér pénzt a titkosítás feloldásáért, aztán az interneten rákerestek a vicrypt kifejezésre – a találati lista élén pedig egy mauritiusi cég szerepelt Exquisys Software Technologies néven.

A vállalat korábban kibocsátott egy kártevő-eltávolító szoftvert, amely ugyan ingyenesen keresi meg a vicrypt-féle férget, de legfeljebb csak hét titkosított állományt állít vissza – ha több fájlt kívánunk visszakapni, fizetnünk kell a termékért. A Symantec úgy spekulált, a túszállományok .vicrpyt kiterjesztése és a találati lista szorosan összefügg, ezzel azt feltételezve, hogy a vállalat esetleg maga írta a trójait, hogy majd később pénzt szedjen az eltávolításért. Viszont mi értelme az egésznek, ha a felhasználó a fertőzést követően nem tud felcsatlakozni az internetre? Márpedig ez is könnyen előfordulhat, lévén a trójai hivatkozások, parancsikonok útján szemeli ki az áldozatokat, így akár a Windows gyökérkönyvtárában lévő állományokat is képes kompromittálni – ebben az esetben persze nem csupán az internetről zárjuk ki magunkat, hanem jó eséllyel a számítógépünkből is.

Az Exquisys Software Technologies – egy nappal azt követően, hogy a Symantec saját, ingyenes vicrypt-eltávolítót jelentetett meg – felhagyott a fizetős verzió kibocsátásával, a szoftver a továbbiakban költségvonzat nélkül minden állományt helyreállít.

Köszönjük, hogy olvasol minket!

Ha fontos számodra a független sajtó fennmaradása, támogasd az Indexet!