Hirtelen összeütve

2020.09.22. 18:00

Javításnak látszik, közben vírust telepít

Ez a zsarolóvírus szokatlan, szimmetrikus titkosítási módszert használ, míg csendben dolgozik a háttérben.

Forrás: Shutterstock

A Virustotal portálon először augusztus 25-én jelentették a szokatlan, Fernet titkosítást használó zsarolóvírust. (A mélyebb elemzés azt mutatja, hogy a vírust a Python 3,7-es programozási nyelvben írták, a PyInstaller segítségével konvertálták Windows PE fájllá.)

A G Data szakértőjéhez eljutott vírusminta nem tudott lefutni, hibás volt. A zsarolóvírusban az is érdekes, hogy DLL Fixer 2.5-ös alkalmazásnak álcázza magát. Amikor először futtatjuk az zsarolóvírust, akkor

azt jelzi ki, hogy egy véletlen számú DLL fájlt talált a rendszerben, melyet érdemes megjavítani.

Amiután a teljes rendszert titkosította a vírus, megjelenít egy üzenetet, hogy sikeresen megjavította a DLL fájlokat.

Igencsak szokatlan titkosítás

Tehát a Cyrat zsarolóvírus Fernet szimmetrikus titkosítási módszert használ a fájlok titkosítására. Ez a titkosítási módszer az olyan kis fájlok titkosítására alkalmas, melyek még a RAM-ban is beférnek. Azonban ez a zsarolóvírus minden fájlt titkosít, méretétől függetlenül, viszont a Fernet a nagy állományok RAM-ban történő titkosítására nem alkalmas – írja a G Data.

A titkosításhoz egy nyilvánosan elérhető RSA kulcsot használ a zsarolóvírus, melyet az internetről tölt le. A titkosított Fernet kulcsot a DesktopEMAIL_US.txt állományba menti el a vírus. A fertőzött rendszerek felhasználóitól azt kéri a vírus programozója, hogy ezt az állományt csatolmányban küldjék el neki.

A titkosítandó fájlokat a Desktop, Donwloads, Pictures, Music, Videos és Documents – illetve a megfelelő anyanyelvi – mappákban keresi.

A váltságdíjat kérő üzenetet minden célmappában elhelyezi a támadó.

A vírus továbbá egy stockfotót is letölt az internetről és a felhasználó aktuális háttérképét lecseréli. Ez a háttérkép nem tartalmaz egyetlen zsaroló üzenetet sem, célja a felhasználó figyelmét felhívni a fertőzésre.

Hogy ne lehessen könnyen megszabadulni tőle, a vírus az autostart mappában is bemásolja önmagát. (AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup)

Hirtelen összeütött kód

Érdekes, hogy ha a rendszert újraindítjuk, és a zsarolóvírus újból fut, akkor az nagy valószínűséggel a váltságdíjat kérő üzeneteket is titkosítja, hiszen a kódot elemző G Data-s szakértő a programozásban nem talált olyan kivételt, amely ezeket az üzeneteket kiveszi a titkosítandó fájlok közül. Ez arra utal, hogy

a kódot nem gondolta át alaposan a programozó, kidolgozatlan.

Az alex27 névre hallgató Twitteres felhasználó tesztelte a zsarolóvírus programozóját, felvette vele a kapcsolatot a megadott emailen. A támadó válaszolt, ami azt jelenti, hogy aktív vírusról van szó. A támadó 1000 dolláros váltságdíjat kért. Az angol nyelvű válasz hemzseg a helyesírási hibáktól, nagy valószínűséggel nem angol anyanyelvű támadó áll a háttérben.

A G Data szakértője által megvizsgált vírusminta hibás volt, nem tudta megfertőzni a rendszert, azonban támadóval folytatott levelezésből az derült ki, hogy a zsarolóvírusnak létezik stabil és működő variánsa. A Fernet titkosítási módszer a zsarolóvírus gyenge pontja, hiszen az óriási állományok RAM-ban történő titkosítása igencsak megterheli a teljes rendszert.

Viszont ha egyszer titkosította az adatokat, akkor kulcs nélkül nincs lehetőség azok visszaszerzésére.

Borítóképünk illusztráció

Hírlevél feliratkozás
Ne maradjon le a beol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!