Mac számítógépeket támadnak, hangüzenettel érkeznek a zsarolóvírusok

A bűnözők ismét bebizonyították, hogy mennyire kreatívak. A legegyszerűbb védekezés az offline, azaz például DVD-re történő mentés.

A váltságdíj követelő programok (ransomware) ellen a mai napig nincs tökéletes védelem. Magyarországon is tömegesen terjednek a legújabb, a felhasználók adatait titkosítással hozzáférhetetlenné tevő zsarolóvírusok, melyek egyik leggyakoribb képviselője a CTB-Locker.

A zsaroló vírus működésének első lépéseként felugrik a számítógép képernyőjén egy látszólag ártalmatlannak tűnő ablak, és figyelmeztet, hogy számítógépünk veszélyben van, ezért erősen ajánlott egy vírusellenőrzés futtatása. Mivel az ablakot bezárni nem lehet, és nincs lehetőség arra, hogy ezt a műveletet mellőzzük, gyanútlanul engedelmeskedünk, és ezzel lefuttatjuk a vírust. Ezt követően kapunk egy újabb üzenetet, miszerint adatainkat titkosították, de megfelelő összeg ellenében visszakaphatjuk őket. A váltságdíjak eltérőek, és akár százezres nagyságrendűek is lehetnek. A legelkeserítőbb, hogy a fizetés sem garancia arra, hogy valóban viszontlátjuk hozzáférhetetlenné tett adatainkat.


A Nielsen piackutató adatai szerint a kártékony kódok 39%-ban nem biztonságos weboldalakról, 23%-ban valamilyen letöltés, 19%-ban pedig emailben kapott Malware formájában érkeznek. Iparági szakértők egyetértenek abban, hogy a titkosítás közel feltörhetetlen, valamint abban is, hogy a fizetés egyáltalán nem garantálja azt, hogy minden adatot maradéktalanul visszakapunk. Előfordulhat ugyanis, hogy a hackerek szervereit a hatóságok a folyamat közben felszámolják, esetleg a zsarolók rossz kulcsot küldenek a feloldáshoz, de az is, hogy a fizetség tényén felbátorodva, néhány nap múlva ismét titkosítják fájljainkat.

A Mac számítógépeket használókat is érinti a téma, ők most először konfrontálódtak egy nagyszabású zsarolóvírus-támadással. A KeRanger nevű kártevőt a Transmission nevű BitTorrent-kliens módosított telepítőfájlján keresztül terjesztik - mindezt a Palo Alto Networks biztonsági kutatói derítették ki.


A KeRanger ticketrendszere
A KeRanger veszélyessége pont abban rejlik, hogy a fertőzött DMG fájlokat probléma nélkül telepíteni lehet, hiszen az alkalmazás rendelkezik érvényes tanúsítvánnyal. Szintén gondot jelent, hogy ha a program feltelepült, mert három napig vár és csak azután kezdi el titkosítani a fájlokat. A KeRanger 1 bitcoint kér a titkosítás feloldásáért; ez jelenleg kb. 115 ezer forint. A fertőzött telepítőfájlok a Transmission hivatalos honlapján keresztül is terjednek. A fertőzés egyelőre a kliens 2.90-es verzióját érinti, ezért mindenkinek ajánlott a Transmission 2.91-es változatára frissiteni vagy törölni az alkalmazást.

A Trend Micro szakértői pedig egy olyan zsarolóvírust fedeztek fel, amely audiofájlban tartalmazza a követeléseket. A Ransom_Cerber.A tájékoztatja az érintetteket arról, hogy minden dokumentumuk, digitális fényképük, adatbázisuk és más fontos adatuk titkosítva lett. Rhena Inocencio, a Trend Micro munkatársa blogbejegyzése szerint az audiofájl egyelőre kizárólag angol nyelvű. a bűnözők 1,24 bitcoint kifizetését követelik. Hét nap után az összeg a kétszeresére nő.


A szakemberek a kártevő elemezésekor egy json fájlt találtak, amelyből kiderült, hogy a zsarolóvírus nagyon könnyen konfigurálható. Lehetővé válik például a követelések vagy a titkosítandó fájltípusok módosítása, de akár annak meghatározása is, hogy a kártevő mely országokban pusztítson. A Cerber és különböző változatai jelenleg manipulált hirdetések segítségével terjednek.

A zsarolóvírusok ellen a megelőzés a legfontosabb: folyamatosan frissített operációs rendszer és biztonsági szoftver, továbbá tűzfal használata, ami megakadályozza a kártékony szoftvert abban, hogy az úgynevezett Command and Control (C&C) szerveréhez kapcsolódva utasításokat fogadjon el a fájlok kódolásához.