Számítástechnika
Sulaki - 2016-09-14
Az RAA zsarolóvírus 2016 júniusában tűnt fel
A Kaspersky Lab szakértői az RAA zsarolóvírus új verzióját fedezték fel. Az új trójai, amelyet teljes mértékben JScript programozási nyelven írtak, egy zip archívumot küld az áldozatnak, amiben egy rosszindulatú .js
Az RAA zsarolóvírus 2016 júniusában tűnt fel, ez az első ismert zsarolóvírus, amit teljes mértékben JScript programozási nyelven írtak. Augusztusban a Kaspersky Lab szakértői egy új verziót találtak. Az előzőhöz hasonlóan a vírus email útján terjed, de most a rosszindulatú kód egy csatolt, jelszóval védett zip archívumba van rejtve. Ezt az újítást főleg azért vezették be a bűnözők, hogy becsapják a vírusirtó programokat, mivel így a védett archívum tartalma nehezebben hozzáférhető.
Az emailek vizsgálata során a Kaspersky Lab szakértői arra a következtetésre jutottak, hogy a csalók vállalatokat szándékoznak megtámadni: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza. Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van. Ez a kijelentés nevetségesen hangzik a hozzáértő felhasználók számára, de teljesen megbízhatónak tűnhet a becsapható áldozatoknak.
Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérban az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap.
Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen. Ahelyett, hogy mester kulcsot kér a vezérlő szervertől, a trójai maga generálja, titkosítja és menti el a kulcsot a fertőzött gépen. A kiberbűnözőknél van egy privát kulcs, ami dekódolja az egyedi titkosított kulcsot.Miután a váltságdíjat kifizették, a bűnözők megkérik a felhasználót, hogy küldje el a titkosított mester kulcsot, amit dekódolva küldenek vissza az áldozatnak egy dekódoló szoftverrel együtt. Ezt nyilvánvalóan azért gondolták ki így, hogy a vírus offline és online gépeket is titkosítani tudjon.
Sőt mi több az RAA zsarolóvírussal együtt az áldozat a Pony trójai vírust is megkapja. A Pony minden levelező programból képes jelszavakat lopni, amiket elküld a támadónak. A jelszavak segítségével a csalók a fertőzött felhasználók nevében terjeszthetik a vírust, így könnyebben meggyőzhető az áldozat, hogy az email valós. Az áldozat céges email címéről a vírus az összes üzleti partnert megfertőzheti. Azután a csalók kiválaszthatják és megtámadhatják a célszemélyeket.
"Úgy hisszük, hogy az RAA trójait azért fejlesztették ki, hogy vállalatokat célzó támadásokat hajtsanak végre. A zsarolóvírus és jelszólopó együttes használata veszélyes fegyver a kiberbűnözők kezében, mert fokozza a pénzhez jutás esélyét. Egyrészt a vállalat kifizeti a váltságdíjat, másrészt új áldozatokat lehet megtámadni a Pony trójai vírus által gyűjtött azonosítókat felhasználva. Továbbá az offline titkosítás növeli az RAA új verziójának hatékonyságát" - mondja Fedor Sinitsyn, a Kaspersky Lab senior vírus elemzője.
A fertőzés veszélyének csökkentése érdekében a vállalatok vezetői vegyék fontolóra a következő tanácsokat:
Jelenleg az RAA zsarolóvírus oroszul tudó felhasználók körében terjed, mivel a váltságdíjat követelő üzenet oroszul van.
A Kaspersky Lab termékei az RAA zsarolóvírus és a jelszólopó Pony minden ismert verzióját felismerik a következő nevek alapján: Trojan-Ransom.JS.RaaCrypt, Trojan-PSW.Win32.Tepfer.
file
van. A frissített verzió offline is tud titkosítani anélkül, hogy kapcsolatot létesítene a vezérszerverrel. A Kaspersky Lab szakértői úgy vélik, hogy ezzel a verzióval a csalók inkább vállalatokat fognak célba venni.
Az RAA zsarolóvírus 2016 júniusában tűnt fel, ez az első ismert zsarolóvírus, amit teljes mértékben JScript programozási nyelven írtak. Augusztusban a Kaspersky Lab szakértői egy új verziót találtak. Az előzőhöz hasonlóan a vírus email útján terjed, de most a rosszindulatú kód egy csatolt, jelszóval védett zip archívumba van rejtve. Ezt az újítást főleg azért vezették be a bűnözők, hogy becsapják a vírusirtó programokat, mivel így a védett archívum tartalma nehezebben hozzáférhető.
Az emailek vizsgálata során a Kaspersky Lab szakértői arra a következtetésre jutottak, hogy a csalók vállalatokat szándékoznak megtámadni: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza. Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van. Ez a kijelentés nevetségesen hangzik a hozzáértő felhasználók számára, de teljesen megbízhatónak tűnhet a becsapható áldozatoknak.
Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérban az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap.
Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen. Ahelyett, hogy mester kulcsot kér a vezérlő szervertől, a trójai maga generálja, titkosítja és menti el a kulcsot a fertőzött gépen. A kiberbűnözőknél van egy privát kulcs, ami dekódolja az egyedi titkosított kulcsot.Miután a váltságdíjat kifizették, a bűnözők megkérik a felhasználót, hogy küldje el a titkosított mester kulcsot, amit dekódolva küldenek vissza az áldozatnak egy dekódoló szoftverrel együtt. Ezt nyilvánvalóan azért gondolták ki így, hogy a vírus offline és online gépeket is titkosítani tudjon.
Sőt mi több az RAA zsarolóvírussal együtt az áldozat a Pony trójai vírust is megkapja. A Pony minden levelező programból képes jelszavakat lopni, amiket elküld a támadónak. A jelszavak segítségével a csalók a fertőzött felhasználók nevében terjeszthetik a vírust, így könnyebben meggyőzhető az áldozat, hogy az email valós. Az áldozat céges email címéről a vírus az összes üzleti partnert megfertőzheti. Azután a csalók kiválaszthatják és megtámadhatják a célszemélyeket.
"Úgy hisszük, hogy az RAA trójait azért fejlesztették ki, hogy vállalatokat célzó támadásokat hajtsanak végre. A zsarolóvírus és jelszólopó együttes használata veszélyes fegyver a kiberbűnözők kezében, mert fokozza a pénzhez jutás esélyét. Egyrészt a vállalat kifizeti a váltságdíjat, másrészt új áldozatokat lehet megtámadni a Pony trójai vírus által gyűjtött azonosítókat felhasználva. Továbbá az offline titkosítás növeli az RAA új verziójának hatékonyságát" - mondja Fedor Sinitsyn, a Kaspersky Lab senior vírus elemzője.
A fertőzés veszélyének csökkentése érdekében a vállalatok vezetői vegyék fontolóra a következő tanácsokat:
- Használjon erős biztonsági technológiákat és vírusirtókat.
- Tanítsa meg alkalmazottainak a hozzáértő számítógép-használatot.
- Rendszeresen frissítse a szoftvereket a céges gépeken.
- Végezzen biztonsági ellenőrzéseket.
- Nézze meg a file-ok kiterjesztéseit, mielőtt megnyitná őket. A következő kiterjesztések lehetnek veszélyesek: .exe, .hta, .wsf, .js.
- Használja józan eszét és az ismeretlen feladók emailjeit kezelje fenntartással.
Jelenleg az RAA zsarolóvírus oroszul tudó felhasználók körében terjed, mivel a váltságdíjat követelő üzenet oroszul van.
A Kaspersky Lab termékei az RAA zsarolóvírus és a jelszólopó Pony minden ismert verzióját felismerik a következő nevek alapján: Trojan-Ransom.JS.RaaCrypt, Trojan-PSW.Win32.Tepfer.