Windows frissítés vagy mégsem?

2023. július 10. 10:21 - Csizmazia Darab István [Rambo]

A szokványos kérdésre a szokványos válasz százból százszor a nem szokott lenni, és ez most sincsen másképp. Ebben az esetben a Windows rendszer hibajavító frissülése helyett egy nagyfejűnek nevezett idén tavasszal megjelent új zsarolóvírus próbálkozik alaposan kiütni a rendszerünket.

Biztonsági kutatók szerint hamis Windows frissítés és Microsoft Word telepítőként is felbukkanhat az a Big Head elnevezésű ransomware, amely egy .NET alapú program. A zsarolóvírus eltitkosítja a fájlokat, és üzenete szerint 1 BTC váltságdíj ellenében kerülhető el mind a fájlok végleges elvesztése, mind pedig bizalmas adataink nyilvánosságra kerülése, vagyis a doxing.

Az elemzések arra utalnak, hogy a különféle változatok egyetlen elkövetőtől származhatnak, aki látszólag még kísérletezget a terjesztéssel, de látva frissítési képernyőképet egyértelműen a hétköznapi átlagfelhasználókat vette ezzel célba, és nem a vállalatokat. Mivel egy Bitcoin mai áron hozzávetőleg 10 és fél millió forintnyi összeg, emiatt a magánszemélyek közül valószínűleg csak kevesen akarnak és tudnak majd erre ennyit invesztálni.

A kártevő technikailag igyekszik alapos munkát végezni, hozza a kötelezőt: automatikus indítását bedrótozza a Rendszerleíró adatbázisba (Registry), törli a megtámadott gépről a helyreállításhoz használható árnyékmásolatokat (Shadow Copy), emellett azt is vizsgálja, virtuális gépen fut-e vagyis tesztkörnyezetnek látszik-e a rendszer vagy igazi munkavégző gépnek.

Ami a ransomware eredetéről még bővebb információt fedhet fel számunkra, az pedig az a tény, hogy megkeresi a rendszer nyelvi beállítását is, és ha az a volt szovjet államok (FÁK, Független Államok Közössége) közé tartozik, abban az esetben nem történik meg a fertőzés. Ilyet pedig korábban már több orosz eredetű kártevőnél is láthattunk, például ilyen volt a Cerber (Kerberosz) is.

Egyes változatok a fenti adatlopás és elkódolás mellett érzékeny információkat is gyűjtenek, többek közt a böngészési előzmények, a könyvtáraink listája, a telepített illesztőprogramok, a futó folyamatok listája, az operációs rendszer termékkulcsa illetve a használt aktív hálózatok adatai is kikémlelésre kerülhetnek, valamint a kártevő képes menet közben képernyőképeket (screenshot) is készíteni és elküldeni.

Ezek a funkciók, illetve az eddigi variánsok közti eltérések is arra utalnak, hogy kísérleti fázisban van a rosszindulatú program, melynek készítői igyekeznek minél több tapasztalatot szerezni és erre építve még hatékonyabb módon kárt okozni.

Szórványos fertőzéseket eddig elsősorban Németországban, az Egyesült Államokban, Olaszország, Franciaországban, Belgiumban, Spanyolországban, Svédország és Törökországban észleltek, széles körű elterjedés egyelőre még nem jelentkezett.

A vírusvédelmi programok többsége képes detektálni és blokkolni a kártevőt.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása