Dotkom
Közösen visszacsaphatunk a vírusíró(k)nak!
Már világméretű összefogásra van szükség. Így viszont ugyanazt a fegyvert fordíthatjuk a digitális kártevőket terjesztők ellen, amit ők vetnek be ellenünk.
Minden eddiginél veszélyesebb formában tért vissza a netre a Gpcode kártevőcsalád. Ez a trójai és vírus tulajdonságokkal is rendelkező fertőzés a számítógép lemezén megkeresi a felhasználó számára potenciálisan értékes adatokat (például Acrobat és Word dokumentumok, Excel táblázatok, szövegfájlok, digitális fotók, C++ programozási nyelvű forráskódok), majd titkosítja azokat. A vírus ezt a tevékenységét természetesen nem önzetlenül, a netezők privát szférájának védelmében végzi – a Gpcode készítője úgy kíván profitot szerezni, hogy megzsarolja (ransomware) a fertőzésnek áldozatul esett felhasználókat, akiktől a fájlok ismételt olvashatóvá tételért cserébe váltságdíjat követel. A módszert, amellyel már három évvel ezelőtt is próbálkozott az egyelőre ismeretlen hacker vagy online bűnöző csoport, az antivírus cégek eddig még mindig sikeresen meghiúsították.
A vírus hiába alkalmazott egyre erősebb titkosítást, a Kaspersky Labs kódelemzői a kriptográfiai algoritmus megvalósításának gyengeségeit kihasználva még a 660 bites RSA kulcsot tartalmazó Gpcode.AG fertőzést is napokon belül sikeresen visszafejtették és a fájlhelyreállítás képességét beépítették a víruskereső termékbe – pedig ilyen erős titkosítás végigszámolással történő feltörésére egy modern 2,2 GHz-es számítógépnek 30 évre lenne szüksége!
Sajnos a most felfedezett Gpcode.AK elnevezésű példány a korábbi változatoknál lényegesen ellenállóbbnak tűnik a visszafejtéssel szemben. A vírusíró két év alatt befoltozta a kártevő kódjában található réseket, amelyek eddig lehetővé tették a biztonsági kutatók számára a fájlokat túszul ejtő funkció hatástalanítását – a zsaroláshoz használt titkosító algoritmus bonyolultsága is 660 bitről 1024 bitre növekedett. Az antivírus cégek ezért jelenleg nem képesek a titkosító kártevő által már túszul ejtett, ._CRYPT kiterjesztéssel átnevezett fájlok visszaállítására, erre csak a privát kódkulccsal rendelkező félnek – vagyis a vírus készítőjének – van lehetősége. A Kaspersky Lab szakértői mégsem javasolják, hogy a károsultak behódoljanak a zsaroló követelésének, hiszen azzal csak az online bűnözői tevékenység további elterjedését segítenék elő.
Az is gyanúra adhat okot, hogy a most felfedezett kártevő-változat nem közli nyíltan követeléseit – ellentétben a korábbi Gpcode példányokkal, amelyek a titkosított fájlok felnyitásáért cserében 200 dolláros váltságdíjra tartottak igényt. Nem lehet tudni, hogy mibe próbálják belerángatni azt a netezőt, aki felveszi a kapcsolatot a Yahoo! webmail címet használó zsarolóval.
