Pénzt vagy életet? Szól az örökbecsű kérdés a Megkerült cirkálóban, de ha "Pénzt vagy a számítógépen tárolt dokumentumokat" lenne a felvetés, akkor már sokan nem mosolyognának ennyire Wagner úri derűvel. A hamis antivírusok után, pontosabban mellett itt a fájltitkosító és váltságdíj szedő kártevő.
A hamis antivírusokról sokszor és sokat beszéltünk, a lényeg, hogy böngészés közben egyszer csak felbukkan egy ablak, ami nem létező fertőzésre figyelmeztet minket, és ha valaki telepíti, akkor magát a kártevőt telepíti. Ez pedig egyrészt 50 dollárt kér, hogy nekilásson az "irtásnak", amit a pénz kifizetése után sem tesz meg, másrészt a megadott bankkártya adatokkal még újabb összegekkel is megpróbálják lehúzni a szerencsétlen áldozatot. Ha akad valaki, aki erről még egyáltalán nem hallott, az vagy remete egy erdő közepén, vagy a Holdról jött.
Azonban eljött az idő reformokat bevezetni a bűnözők szerint is ;-), hadd növekedjenek még tovább a bevételek, és ez pedig egy új típusú "biztonsági" programmal lehetséges, amit eddig FileFix Pro 2009 néven ismertünk, de ide a rozsdás bökőt, hogy pár hónapon belül ebből is lesz egy tucatnyi különböző nevű változat. A lényeg, hogy telepítéskor a kuncsaft .DOC és .PDF állományait elkódolja, amit aztán az 50 USD összegért hajlandó csak visszaállítani.
Egyetlen kiválasztott állományt mutatóba helyreállít, hogy megmutassa, képes rá (naná, ő cseszerintte el). Fizetni azonban nem érdemes, ne hizlaljuk a bünözők pénztárcáját. Annál inkább sem, mivel már létezik több ingyenesen letölthető segédprogram, amivel visszanyerhetjük dokumentumainkat.
Ahogy a botneteknél is a számítástechnikai analfabéták járnak a legrosszabbul, várhatóan pontosan azok fognak ennek is áldozatul esni, akik sajnos nem olvasnak ilyesfajta blogokat. Kár.
zsu.zsi 2009.03.27. 02:55:01
számítástechnikai analfabéta vagyok. Ha tegnap megkérdezte volna valaki, hogy ugyan mondjam már, mi az a "ransomware", csak furcsán néztem volna rá, hogy mi a baj. A fenti írás miatt utánaolvastam kicsit, úgyhogy ma már azt mondom, hogy a kriptovirológia érdekes dolog. Jó a blogod, nagyon tetszik, írj még sokat :-)
Az RSA eljárásnál viszont jól elakadtam. Az addig oké, hogy a titkosításhoz egy nyílt és egy titkos kulcs tartozik, a nyílt kulccsal kódolt üzenetet kell a titkossal megfejteni, de hogy ehhez az RSA eljáráshoz hogyan kell kulcsot generálni, azt sajnos hosszas vívódás után sem sikerült lekövetni, elég bonyolult a cucc. Aki ilyet tud írni, az zseni, igazán használhatná jó dolgokra is a képességeit...
Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.03.27. 09:25:48
Itt találsz okosságokat RSA-ról:
www.irt.vein.hu/~vassanyi/info/rsa/rsaleir.html
hg8lhs.ham.hu/tdk/tdk_prez.pdf
Ha csak használni akarod, elég egyszerűen lehet a Thunderbird levelezőben felvenni az Enigmail plugint, és akkor tudsz alárírt levelet, vagy kódolt üzenetet is küldeni.
Kártevő ügyben pedig ennél sokkal kifinomultabb dolgok vannak-voltak, például annak idején a OneHalf a merevlemez vége felöl el kezdte elkódolni a lemezt, és ha ezekután csak leirtottad, agyő adatok. Leitold Feri írta meg azt a OneHalf Killert, ami visszahozta az adatokat is. De mostanában is volt ilyesmi a Kaspersky toborzott kódfejtőket a GPCode-hoz. Ezekhez képest ez a FileFix csak ipari tanuló ;-)
A VVV 16-os epizódjában részletesebben is olvashatsz ilyenekről, a PCW Cikkek dobozban vannak a PDF linkek.
Egyébként aki érdeklődik, olvasgat, keresgél, az már m is analfabéta :-D Az a legszörnyűbb, ha valaki minden ilyenre csak annyit mond "nem érdekel, nem is akarom hallani". Ott aztán tényleg nehéz eredményt elérni. Marad a "saját kárán" való tanulás, a harmadik kifosztott bankkártya, a negyedik nevében felvett bannkölcsön, és 78 darab az ő nevére kikölcsönzött padlócsiszológép után talán elindul az úton ;-)
zsu.zsi 2009.04.02. 13:13:42
Az RSA algoritmusával sajnos kellett foglalkoznom jó pár napig mire leesett a lényeg, mert korábban nem annyira izgatott a kis Fermat-tétel (sem) :-) Igaz így most sokáig tartott, de hát jobb később mint soha :-D
Régebben azt hittem, hogy egy kódolt üzenet visszafejtése mindig inverz művelettel történik, ha kódolni akartam volna valamit, eszembe nem jutott volna matematikai azonosságot használni... ügyesek voltak a kitalálói. Azt sem tudtam, hogy a https-nél is nyílt kulcsú titkosítást használnak... :-(
A VVV 16-ban írtál a Furkó AV weboldalának meta részéről. Utánanéztem, hogy mi az a meta. Azt szeretném kérdezni, hogy egy gyanús oldal HTML kódjában mit érdemes megnézni? Pl. ilyenekre gondolok:
- a metát a kulcsszavak miatt,
- Csali link szöveg
-
-
A scriptet szerencsére ki lehet kapcsolni... Ha az
zsu.zsi 2009.04.02. 13:22:59
-a metát a kulcsszavak miatt
- kisebb mint jel a href="www.adathalasz.com" nagyobb mint jel Csali link szöveg kisebb mint jel /a nagyobb mint jel
- kisebb mint jel img src="url" /nagyobb mint jel
- kisebb mint jel script nagyobb mint jel
Azt akartam még írni, hogy a scriptet szerencsére ki lehet kapcsolni, így avval nincs nagy gond. Ha az img src=" után pedig futtatható file pl. .exe van, akkor mondjuk vili, hogy gáz van az oldallal. Melyik tag vagy attribute után írt szöveg lehet még necces?
A cikkben azt írtad, hogy ez a Furkó az MBR-ből indul. Amikor scannel az ESS4 akkor ugye a partíciós táblában is megnézi, hogy mi van ott?