Office365 a zsarolóvírusok célkeresztjében

2016. július 05. 13:13 - Csizmazia Darab István [Rambo]

Újabb állomásához érkeztek a zsaroló programok, ezúttal a Microsoft Office 365 felhasználók kerülhettek bajba, ha bedőltek az újabb spamben érkező átverésnek.

A Cerber nevű zsaroló vírus bizonyára sokaknak nem ismeretlen. Ugyanis a támadói oldalon gőzerővel folyó fejlesztéseknek egyik igen érdekes terméke volt a Cerber, amely idén márciusban bukkant fel.

Az AES titkosítást használó zsaroló program úgy kódolta el az állományokat, hogy a "cerber" nevet fűzte a titkosított állományok végéhez például "Zu0ITC4HoQ.cerber". 1.24 BTC (500 USD, 140 ezer HUF) volt a váltságdíj összege, de ez 7 nap után duplázódott.

Ám a legérdekesebb az volt, hogy audió állományban 12 nyelven hallgathatjuk meg a fizetésre felszólító hangüzenetet: angol, francia, portugál, török, német, kínai, lengyel, spanyol, japán, olasz, arab (az Arab Emírségek lobogója szerint) és holland.

A robotszerű géphang arról tájékoztat, hogy a dokumentumainknak annyi, és készíthetjük a pénztárcánkat.

És ezzel még nem is volt vége az izgalmaknak, mert a kártevő ellenőrizte, hogy a számítógép nem az alábbi országokhoz tartozik-e: Örményország, Azerbajdzsán, Fehéroroszország, Grúzia, Kirgizisztán, Kazahsztán, Moldova, Oroszország, Türkmenisztán, Tádzsikisztán, Ukrajna, Üzbegisztán.

És az eredmény függvényében az ottani gépek esetén nem intézett támadást, azaz nem lett se titkosítás, se váltságdíj szedés.

Nos ebből a Cerberből jelent meg most júniusban egy újabb variáns, amely zeroday sebezhetőséget használt, és kifejezetten a vállalati Office 365 felhasználókra fókuszált. A spamekben terjedő kampánynál különféle megtévesztő szövegű üzenetek mellett egy preparált Word állomány szerepelt a mellékletben, amely arra kérte a felhasználót, engedélyezze a makrók működését.

Azonban ha valaki óvatlanul ezt megtette, akkor megtörtént a fertőzés és vele a dokumentumok titkosítása, majd érkezett a hangalapú figyelmeztetés: "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!". Amely után sajnos itt is a szokásos végkifejlet következik, vagyis túszul ejtett adatainkért cserébe 1.24 Bitcoin váltságdíjat követelnek.

A védekezéshez érdemes óvatosan kezelni a kéretlen leveleket, különösen ha .EXE, .ZIP vagy Office állományt tartalmaz a csatolmány.

Legyen mindig gyanús, ha a makrókat állítólag engedélyezni kellene egy dokumentumban, és persze a megfelelően beállított vírusvédelem, valamint a hibajavító foltokkal naprakész operációs rendszer, illetve az alkalmazói programok mellett a külső adathordozóra történő rendszeres mentés is legyen kulcsfontosságú elem a repertoárunkban.

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Dzsontra Volta 2016.07.06. 22:50:39

Albán vírus 2.0 beta. Aki ész nélkül engedélyez bármilyen makrót egy ismeretlen dokumentumból, az meg is érdemli, normálisabb helyeken, ahol rendesen összerakott policy van, ez az opció nem is jöhet szóba.
Alapvetően fel sem merült bennem, hogy ma magyarországon azon a pár regisztrált fejlesztőn kívül, bárki is használna magánszemélyként o365-öt, céges szinten is csak a nagyobb multik használják, akiknél a produktivitás haszna nagyságrendileg nagyobb, mint az infrastruktúra költsége.

IamTwo 2016.07.07. 11:41:45

@Dzsontra Volta: Nem értem, miért lenne olyan hihetetlen, hogy valaki otthon O365-öt használjon? Az 5 személyes verzióval havi 600 forintot fizetek a komplett csomagért. Nekem ez bőven megéri (és másnak is, ugyebár, ha van 4 társam). De az egyszemélyes verziót is meg lehet úszni havi 1750 forintból. És ugye ez csak a desktop verzió ára, ha valaki csak a webes outlookot, naptárat, excelt, wordöt, onedrive-ot használja, az meg ingyenes ügyebár.

gereblak 2016.07.12. 04:26:25

Mondjuk én alapból Linux szerű rendszert használok, és azzal letudva minden. Ja, ESET? Az egyik kedvencemmel, Metasploit Framework -el meg kitartó munkával agyon lehet verni a profinak mondott ESET Smart Security -t. Nem ér semmit!
süti beállítások módosítása