1. Főoldal
  2. Cikkek
  3. Biztonság
  4. Vigyázz, mert durva zsaroló vírus kering a hálón

Vigyázz, mert durva zsaroló vírus kering a hálón

Biztonság

A napokban egy új zsaroló vírus, azaz Ransomware, a CryptoJoker került elő, vélhetően orosz kéz alól. Ez a vírus AES-256 titkosítás alá teszi egyes fájljainkat és ezt követően megpróbál tőlünk váltságdíjat kérni. A zsaroló eszközt a MalwareHunterTeam fedezte fel. Állításuk szerint egyenlőre elég minimális körben elterjedt vírusról beszélünk, viszont annyira működőképesnek tűnik, hogy nem kizárt hamarosan nagyobb elterjedtségről beszélhetünk.

A vírus PDF-nek álcázza magát, mely azonban egy telepítőfájl. Vélhetően elektronikus levelezésen keresztül terjedhet.

Mit művel futtatást követően?

A telepítő a háttérben végzi a munkálatokat, nem fog nekünk megnyílni, legalábbis nem az amire számítottunk. A %TEMP% és %APPDATA% mappákban létrehoz számos fájlt, melyet azután megpróbál lefuttatni.

Ha ezek lefutnak, akkor a CryptoJoker titkosítja a legtöbb merevlemezen tárolt adatunkat, illetve képes még hálózati meghajtókon is keresni és titkosítani. A titkosított fájlok .crjoker kiterjesztéssel lesznek ezt követően ellátva. Ez nem minden, hisz letiltja recovery szolgáltatást is.

A következő kiterjesztéssel rendelkező fájlok lehetnek veszélyben:

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf

Amíg a vírus dolgozik a titkosításon és a keresésen, addig gépi információkat küld a következő szerverre:

server6.thcservers.com

Az adatok a következők:

  • Dátum
  • Hosztnév
  • Felhasználónév
  • Számítógépnév

Mindenkinek ajánljuk, hogy ha számunkra ismeretlen elektronikus levél jön és csatolva van valamiféle állomány, semmiképp ne nyissuk meg!

Források

MalwareHunterTeam

BleepingComputer

bykewix profilképe
Polgár Zoltán @bykewix +864 .NetDEV, PHP Engineer, Designer.
4 hozzászólás
Hozzászóláshoz jelentkezz be vagy Regisztrálj!
Kb. naponta jelenik meg egy ilyen új vírus... És még mindig beveszik az emberek... Mondjuk rásegít az Ms is a kiterjesztések elrejtésével, így nem látszik, hogy nem egy PDF-ról, Excel-ről, képről stb van szó, hanem exe-ről...
2016.01.04 18:30
Nem egészen. Ez elég sok kiterjesztést képes titkosítani, akár hálózati meghajtón is. Arról nem is beszélve, hogy a rendszervisszaállítást, recovery-t fogja és kikapcsolja. De figyelmetlenül, véletlenül rá lehet kattintani egy-egy ilyen fájlra, független, hogy mi a kiterjesztése. Ha meg is jelenik a kiterjesztése, akkor is egy hosszú című, nevű fájlnál ugyanúgy nem látod.
2016.01.04 18:37
Bármilyen hosszú egy fájl neve, Windows alatt reflex (kéne legyen) a megtekintése...
Én már töbször is kaptam letöltős oldalakon olyat hogy hosszabb fájlnév.jpg.exe, sőt volt már fájlnév.jpg.jpg.exe is :D Ha azokat letöltöttem volna, lehet nálam is lenne most egy ilyen szuper program...
2016.01.04 18:44
Oké, de nem mindenki ért ennyire hozzá. Én is szoktam mellé kattintani.
2016.01.04 18:49