Zsaroló trójai terjed – saját állományainkért követel pénzt

„Ransomware” besorolással (az angol ransom szó váltságdíjat jelent) ismertette a Lurhq Threat Intelligence Group a Cryzip nevű trójai programot. A digitális kártevőt felfedező szervezet szerint ez már a második trójai a sorban, amelyik a felhasználó saját adatait teszi titkossá, és így hozzáférhetetlenné – egészen addig, amíg a pórul járt internetező nem fizet.

Mindeddig három ilyen trójai program született – az első még 1989-ben bukkant fel. Az, hogy most egy éven belül kettő is megjelent (a 10 hónappal korábbi a PGPcoder volt), annak a jele lehet, hogy a jövőben egyre több hasonló fenyegetéssel kell majd szembenéznie az óvatlak internetezőknek, vélekedett Joe Stewart, a Lurhq vezető biztonsági kutatója.

Mit is csinál pontosan a Cryzip? Olyan állományok után kutat, amelyek fontos adatokat tartalmazhatnak; például forráskódokat vagy adatbázis file-okat keres. Ezt követően semmilyen extra ördöngösséget nem vet be, pusztán a kereskedelmi forgalomban bárki által elérhető ZIP-tömörítő algoritmust használja fel arra, hogy titkosítsa a file-okat – a tömörítvényeket jelszóvédelemmel látja el. Biztos, ami biztos, az eredeti állományt szöveges tartalommal felülírja, majd letörli, így esélyt sem hagy a visszaállításra a kód ismeretének hiányában. Persze nyers erőn alapuló jelszófeltöréssel meg lehet próbálkozni, de ez mindenképpen sok időbe telik. A fertőzési folyamat végeredményeként egy olyan állomány jön létre, mely tartalmazza a kiindulási file nevét, illetve a _CRYPT_.ZIP sztringet.

Pénzt az adatokért
A digitális kártevő alkotója – aki egy E-Gold számlát tart fent a „vérdíjak” befizetésének fogadására – a következő üzenetben tájékoztatja az áldozatul esett rendszer felhasználóját: „Your computer catched our software while browsing illegal porn pages, all your documents, text files, databases was archived with long enough password. You cannot guess the password for your archived files–password length is more than 10 symbols that makes all password recovery programs fail to bruteforce it.”

Magyarul: „Illegális pornóoldalak böngészése közben jutott számítógépére a szoftverünk, mely minden dokumentumát, szöveges állományát és adatbázisát learchiválta egy elegendően hosszú jelszóval. A jelszóhoz találgatással nem juthat hozzá – a több mint 10 szimbólum hosszú kód az összes, nyers erőre alapuló jelszótörő programon kifog.” Ezen túl azt is közli a pórul járt internetezővel, hogy 300 dollár kifizetésével juthat hozzá a jelszóhoz, melyet egy E-Gold számlára „kell” utalni.

Mentsünk gyakra(bba)n!
Egyelőre nem tisztázott, hogy honnan érkezik a fenyegetés a számítógépekre, a kutatók szerint website-ok vagy korábban már megfertőzött számítógépeken nyitott hátsó kapuk révén szaporodhat. Eddig ugyanis (szerencsére) nem terjedt el széles körben a fenyegetés, a Lurhq ismeretei szerint alig két-három tucatnyi esetről kaptak tájékoztatást. Védekezésképp azt ajánlják a szakértők, hogy készítsünk gyakrabban biztonsági másolatot a fontosabb állományainkról, amivel nemcsak az ilyen helyzetek veszélyességét minimalizálhatjuk, hanem a rendszerösszeomlásból adódó adatvesztés mértéke is lecsökkenthető.