A Kaspersky Lab kiadta a Polyglot zsarolóvírus dekódoló kulcsát

forrás: Prím Online, 2016. október 6. 15:24

A Polyglot zsarolóvírus áldozatai már visszaszerezhetik file-jaikat a Kaspersky Lab szakértői által fejlesztett dekódoló kulcsnak köszönhetően.

A Polyglot trójai zsarolóvírus spam emailek útján terjed, melyek egy RAR archívumba csomagolt rosszindulatú csatolmányt tartalmaznak. A titkosítási folyamat alatt a trójai nem változtatja meg a file-ok neveit a fertőzött gépen, csak megakadályozza a hozzájuk való hozzáférést. A titkosítás után az áldozat képernyőjén a háttérkép helyett egy váltságdíjat követelő üzenet jelenik meg. A csalók bitcoinban kérik a váltságdíjat, és amennyiben nem fizetik ki időben, a trójai törli magát a fertőzött gépről és titkosítva hagyja az összes file-t. 

 

 

A Polyglot látszólag megtévesztésig hasonlít a hírhedt CTB-Locker zsarolóvírusra, habár kellő elemzés után a Kaspersky Lab szakértői semmilyen hasonlóságot nem találtak a vírusok kódjai között. A Polyglot zsarolóvírus szinte minden értelemben utánozza a CTB-Lockert: majdnem azonos grafika, hasonló lépések szükségesek a dekódoló kulcs megszerzéséhez, a fizetési felület, a háttérkép mind ugyanúgy néznek ki. A Polyglot fejlesztői nyílván azt gondolták, hogy a CTB-Locker leutánzásával könnyebben becsaphatják a felhasználókat, elhitethetik velük azt, hogy komoly vírus áldozatai lettek, és hogy nincs más választásuk, mint hogy fizessenek a bűnözőknek. 

 

A Kaspersky Lab szakértői figyelmesen megvizsgálták a Polyglot titkosítási mechanizmusát és azt találták, hogy ellentétben a CTB-Lockerrel a Polyglot gyenge titkosítási kulcs generátort használ. Egy brute force keresés kevesebb, mint egy percen belül átnézi az összes lehetséges Polyglot dekódoló kulcs variánst egy átlagos PC-n. Miután felfedezték ezt a gyenge pontot, a Kaspersky Lab szakértői egy új eszközt fejlesztettek ki, amivel visszaszerezhetőek a felhasználó adatai. 

 

 

"Ez az eset arra tanít bennünket, hogy sose adjuk fel: a zsarolóvírusok komoly problémát jelentenek az összes felhasználó számára, de néha van megoldás. Ebben az esetben a vírusfejlesztők egy kivitelezési hibát ejtettek, ami lehetővé tette a titkosítás feltörését. Habár a felhasználók nem bízhatnak mindent a szerencsére. Ez az eset kivételesnek számít, ezért azt javasoljuk az összes felhasználónak, hogy előrelátóan védje meg készülékeit megbízható biztonsági megoldásokkal és bizonyosodjon meg róla, hogy az össze anti-titkosítási technológia be van kapcsolva az anti-vírusban" - mondja Anton Ivanov, a Kaspersky Lab senior víruselemzője. 

 

A Kaspersky Lab termékei a következő nevek alapján azonosítják a zsarolóvírust: Trojan-Ransom.Win32.Polyglot és PDM:Trojan.Win32.Generic. Nézze meg a trójai részletes technikai leírását a Securelist blogon. 

 

Még több dekódoló kulcsot találhat a No More Ransom oldalon. A No More Ransom projekt a Kaspersky Lab, a Holland Rendőrség, az Europol és az Intel Security közös kezdeményezése. A projekt fő célja segíteni a zsarolóvírusok áldozatainak visszaszerezni titkosított adataikat a váltságdíj kifizetése nélkül. 

Biztonság ROVAT TOVÁBBI HÍREI

Koronavírus, információbiztonság, GDPR!

A kialakult helyzetben sok szervezet otthoni munkavégzést javasol vagy ír elő a munkatársai számára. A vis major helyzet miatt a működés fenntarthatósága érdekében kénytelenek vagyunk a biztonsági elveinket félretéve megengedi az otthoni munkavégzést.

2020. április 7. 12:57

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Már elérhetők az államilag támogatott kurzusok a Codecoolnál

2020. április 7. 16:51

Több millióan kaphatnak ingyenes online védelmet áprilistól

2020. március 31. 12:57

Hogyan legyenek a gyerekek és a tanárok biztonságban a digitális oktatás ideje alatt is?

2020. március 25. 10:43

Hasznos tippek, hogy előnyünkre fordítsuk a bezártságot!

2020. március 24. 16:55
online sportfogadás