Beszél és oroszokat nem fertőz, mi az?

2016. március 10. 11:54 - Csizmazia Darab István [Rambo]

Érdekes újabb verzió jelent meg a zsaroló programok eddig sem kifejezetten szegényes kínálatában. Amellett, hogy Mikrobis géphangon beszél is hozzánk, talán az egyik legérdekesebb tulajdonság benne az, hogy ellenőrzi, hogy a számítógép nem az alábbi országokhoz tartozik: Örményország, Azerbajdzsán, Fehéroroszország, Grúzia, Kirgizisztán, Kazahsztán, Moldova, Oroszország, Türkmenisztán, Tádzsikisztán, Ukrajna, Üzbegisztán. Ugyanis az itteni gépek esetén nincs támadás, nem lesz se titkosítás, se váltságdíj szedés.

Nem kell az összeesküvés-elméletek révült megszállottjának lenni ahhoz, hogy ebből azért kispekulálható legyen, vajon kik is készíthették a Cerber nevű programot.

Ami talán sokkal inkább már bérelhető szolgáltatás, Ransomware-as-a-Sercice (RaaS).
Ha nem a volt Szovjetunió tagköztársaságában van a gép (vajon miért :-), akkor jön az AES titkosítás és az 1.24 Bitcoin (körülbelül 500 USD, 140 ezer HUF) összegű váltságdíj követelése.

A Cerber név onnan jön, hogy ezt fűzi hozzá fájlkiterjesztésként a titkosított állományok nevének végére, ahol a végére maga az értelmes fájlnév is valamilyen zagyva karaktersorozat lesz pl. "Zu0ITC4HoQ.cerber".

Kerberosz a görög mitológiában az a háromfejű kutya, amely az alvilág kapuját őrizte. Kerberosz beengedett bárkit, azonban onnan ki már senkit nem eresztett (a belépés díjtalan, a kilépés bizonytalan - Rejtővel fogalmazva). A Kerberosz, vagy cerberus görögül azt jelenti, hogy a mélység démona - és mit mondjunk, elég találó.

A megcélzott és elkódolt fájlkiterjesztések is elképesztően bőségesek, szinte mindent visz, amit csak talál. Van itt minden, mint Karácsonykor: kép, hang, rajz, dokumentum, mentés, e-könyv, satöbbi.
.contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv|

A tapasztalatok szerint titkosítás közben viszont kihagyja az alábbi mappákat:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

A váltságdíj beszedése TOR hálózaton keresztül történik, és 12 nyelven hallgathatjuk meg a hangüzenetet: angol, francia, portugál, török, német, kínai, lengyel, ..., spanyol, japán, olasz, arab (az Arab Emírségek lobogója szerint) és holland. A robotszerű géphang beszélni is képes hozzánk - amely a Commodore64-es Sam & Reciter hangulatát idézi arról tájékoztat, hogy a dokumentumainknak annyi, és készíthetjük a pénztárcánkat.
Erre 7 azaz hét napot kapunk, utána duplázódik a váltságdíj.

Egyelőre sajnos semmilyen módot nem ismerünk az ingyenes visszafejtésre, így azokat csakis a korábbi tiszta mentésekből tudjuk visszaállítani.

11 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr428459932

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

gigabursch 2016.03.11. 14:46:25

Linux vagy iOS alatt is műxik?

Windows, ill mely víruskeresők képesek ezt felszámolni?

Erről is illett volna írni.

qwertzu 2016.03.11. 15:58:36

@gigabursch:
"Egyelőre sajnos semmilyen módot nem ismerünk az ingyenes visszafejtésre, így azokat csakis a korábbi tiszta mentésekből tudjuk visszaállítani."

Ha titkosították akkor bukó. format c: és rakhatod újra a géped.

Behajtó70 2016.03.11. 16:15:03

Most rögtön másold ki pendrive-ra a fontos dolgokat. Osztjónapot. Mi olyan nehéz ezen? 32/64 GB pen már ezerért kapható. Vagy írd ki egy DVD-re. Bonyolult, mi?

drbubo2 2016.03.11. 16:36:25

@gigabursch: Linuxot nem tud megfertőzni

gombakomba 2016.03.11. 17:08:14

Hogyan terjed? Email? Fertőzött weboldal? Hirdetési rendszerek? A nagyobb vírusirtó szoftverek ismerik már, tudnak tenni ellene valamit, pl. nem engednek fellépni a fertőzött weboldalra?

xm95 2016.03.11. 18:22:36

@Behajtó70: a fontos dolgaim kb 3.5 terabyte helyet foglalnak. Nem csak a te egyszerű felfogásod szerint létezik élet.

Kedélyes Paraszt 2016.03.11. 18:35:38

@gombakomba: emailben jon jellemzoen egy doc, docm, zip(amiben szinten doc van) csatolmany. ez meg csak a letolto virust tartalmazza. mostanaban w97.downloaderkent azonositjak a virusirtok. ha elinditod a doksit, az abbban levo makro tolti majd le a tenyeles kartevot. amit talal elkodol, hagy egy halom file-t, hogyan tudod kifizetni a valtsagdijat, majd torli magat.
rendkivul virulekony naponja ujabb valtozat jon ezerszamra, igy a virusirtok, egyeb mas hatarvedelmi rendszerek nem birnak vele.
a lenyeg, fel kell hivni a felhasznalok figyelmet, hogy idegen cimrol jovo levelek csatolmanyait semmifelekepp sem szabad megnyitni!

Firestarter.18 · http://firestarter-18.blog.hu/ 2016.03.11. 18:55:59

@Kedélyes Paraszt: "a lenyeg, fel kell hivni a felhasznalok figyelmet, hogy idegen cimrol jovo levelek csatolmanyait semmifelekepp sem szabad megnyitni!"

Akinek erre fel kell hívni a figyelmét 2016-ban, az megérdemli a sorsát.

BéLóg 2016.03.11. 19:32:00

@Firestarter.18: Ha ha. A vírusok jórésze ISMERT felhasználók fertőzött gépeiről jön, így aztán te is "megérdemled" a sorsodat :-(

gigabursch 2016.03.11. 20:05:36

@drbubo2:
Köszönöm.

@qwertzu:
Na azért nem nagy vasziszdasz úgy 2-3 hetente netkapcsolat mentesen a háttérben lévő mobilvinyó(k egyiké)t frissíteni.
Vagy bérelni egy felhő tárhelyet sem egy ördöngős költség...

Szóval kicsit is értelmesebb ember munkáit ez nem veszélyezteti. Érdemben...
Szerintem...

Firestarter.18 · http://firestarter-18.blog.hu/ 2016.03.11. 22:43:25

@BéLóg: meg kell valogatni az ismerosoket es vegigkellgondolni az adott ismerostol johetett-e olyan nevu fajl csatolva. De egy normalis licencelt vedelmi program alap es akkor nincs mirol beszelni.