Állományainkat használhatatlanná tevő trójai

A hét elején számolt be a Symantec arról az új trójai programról, ami a támadásának áldozatul esett számítógépen titkosító-eljárással „levédi” az állományokat. Azzal ellentétben, ahogy a többi hasonló, úgynevezett ransomware fejlesztője pénzt kér a titkosítás feloldásáért, a Trojan.Ramvicrype névre keresztelt digitális kártevő nem él ezzel a lehetőséggel. Pontosabban már nem él vele: a megfertőződött PC-k rendberakására vállalkozó cég korábban anyagi ellenszolgáltatásért cserébe végezte tevékenységét.

RC4 algoritmust használ a trójai program, és a Windows 95/98/NT/ME/2000/XP/Server 2003/Vista operációs rendszereket támadja. Azok az állományok fertőzöttek, amelyek .vicrypt kiterjesztéssel bírnak. Ezekre egyébként úgy bukkan rá a trójai, hogy futtatható file-ok után kutat a My Documents, a Desktop és az Application Data/Identities mappákban. Ezt követően a Recent mappát vizsgálja át, ahol a nemrég megnyitott állományokra mutató linkek találhatók. Ezeket is felkeresi és titkosítja, így, ha a Windows rendszermappája a fertőzés előtt nem sokkal megnyitásra került, a Windows akár komolyabb sérüléseket is szenvedhet.

És hogy honnan ismerhető fel nagy biztonsággal a fertőzés? Nos, miután lefutott a trójai titkosító algoritmusa, „Vicrypt error! Please Restart Windows” fejléccel megjelenít egy ál-hibaablakot, melyben a számítógép újraindítására kéri a felhasználót.

A Symantec ingyenesen elérhető eszközt kínál a titkosított file-ok védelmének feloldására, ahogy – amint az némi webes keresés után kideríthető – a Mauritius-i Exquisys Software Technology Ltd is. Ez utóbbi Antivicrypt nevű szoftvere korábban fizetős alkalmazás volt; mindazonáltal érdemes inkább a Symantec eszközét használ, hiszen ez utóbbi biztosan nem hoz új kártevőket a rendszerbe.