Új vírusfajta tűnt fel az interneten az elmúlt napokban. A Panda és a Kaspersky online biztonságtechnikai cégek kedden jelezték először a Sinowal.FY és a Gpcode.ai trójai programok felbukkanását. A kártevők régebbi, jól ismert programok mutációi (A Gpcode első verzióját 2005 nyarán, az első Sinowalt 2005 decemberében észlelték), és mindkettő azonos elven működik: titkosítja a megfertőzött gépen levő fájlokat, amikhez így a felhasználó nem férhet hozzá.
Pénzt vagy a fájlokat!
A két új generációs trójai annyit tesz hozzá a megszokott működéshez, hogy szabályos zsaroló levelet hagy maga után, amiben közli, hogy a pórul járt júzer 300 dollárért megvásárolhatja a titkosítást feloldó kódot, ellenkező esetben örökre búcsút mondhat az adatainak.
Mint Alex Gostev, a Kaspersky szakértője a Viruslist blogjában kifejti, a zsarolás szerencsére többszörösen is blöff. Egyrészt a fájlok nem a zsaroló levélben említett, és gyakorlatilag valóban szinte feltörhetetlen 4096 bites, nyílt kulcsú algoritmussal vannak kódolva, másrészt a megszabott határidő letelte után a fenyegetéssel ellentétben nem törli a vírus a fájlokat. Az egyelőre nem derült ki, mi történik, ha az ember jelentkezik a megadott email-címen és kifizeti a váltságdíjat, de az antivírus-szakemberek egyöntetűen óvnak attól, hogy erre vetemedjünk.
Túszejtő technikák
A zsaroló vírus nem új találmány (még saját családnevet is kaptak a vírusirtó zsargonban: ransomware), de az eddigi példányok nem voltak túl elterjedtek. A tavaly áprilisban feltűnt Ransom. A például klasszikus terrorista technikát alkalmazva félóránként kivégzett egy-egy túszt, vagyis törölt egy-egy fájlt, míg ki nem fizettük a mostaniaknál jóval alacsonyabb, 10,99 dolláros váltságdíjat.
A zsaroló trójaiak többsége ugyan egyelőre nem váltja be a fenyegetéseket, és a népszerű antivírus szoftverek legfrissebb verziói már képesek felismerni és kiirtani őket, jobb az elővigyázatosság: a két új kártevő ugyanis a titkosítás mellett ellopja a jelszavainkat és hitelkártya-információinkat is. Az egészséges paranoia jegyében az Infected or Not oldal segítségével rögtön ellenőrizhetjük is, hogy tiszta-e a gépünk.