Európa a bitcoint követelő zsarolóprogram árnyékában

Az ESET kutatói elemezték a rosszindulatú programcsalád működését

forrás: Prím Online, 2014. december 17. 10:29

A vezető, proaktív védelmet kínáló biztonságtechnológiai vállalat, az ESET kanadai kutatói megvizsgálták az először az év elején megjelenő TorrentLocker nevű zsarolóprogram működését. A malware legutolsó változata legalább 40 000 rendszert fertőzött meg pár hónap alatt, leginkább európai országokban szedve áldozatait. Az ESET biztonsági kutatói most elkészítették a zsarolóprogramra vonatkozó kutatás háttéranyagát, amely a malware viselkedésének vizsgálatát és részletes elemzését tartalmazza.

Az ESET Win32/Filecoder.DI névvel illeti a TorrentLocker most elemzett verzióját. Az elnevezés a malware korai korszakából ered, hiszen a program ezt a “Bit Torrent Application” elnevezésű registry kulcs bejegyzést használta konfiguráció beállításainak tárolására.

Hogyan működik a zsarolóprogram?


Az ESET összefoglalója szerint a TorrentLocker hét különböző módon terjedt és a telemetriai mérésnek köszönhetően kiderült, hogy a malware első nyomai 2014 februárjában bukkantak fel. A rosszindulatú program folyamatosan fejlődik, legfejlettebb változata augusztustól szedte áldozatait.

A zsarolóprogramnak ez a változata dokumentumokat, képeket és egyéb fontos fájlokat titkosít a felhasználó eszközén és váltságdíj fejében engedélyezi a hozzáférést a fájlokhoz. Jellegzetessége, hogy a váltságdíjat kizárólag virtuális valutában lehet kifizetni és akár 4 bitcoint (ez nagyjából 1180 euró vagy 1500 dollár) is követelhet. Az utolsó kampányban a TorrentLocker 40 000 számítógépet fertőzött meg és több mint 280 millió dokumentumot titkosított. A célzott országok zöme európai volt, de a fertőzés Kanadában, Ausztráliában és Új-Zélandon is megjelent. Szerencsére „csak” 570 áldozat fizette ki a váltságdíjat, így összesen 585,401 bitcoin ütötte a TorrentLocker mögött álló emberek markát.

“Azt gondoljuk, hogy a TorrentLocker mögött álló személyek ugyanazok, akik a Hesperbot nevű banki trójai család mögött álltak. - mondta Marc-Etienne M. Léveillé, az ESET kanadai kutatója. „A TorrentLocker-ben a támadók reagáltak az online biztonságtechnikai jelentésekre, hiszen megkerülik az ilyen típusú kártevők felismerésére szolgáló eljárásokat és megváltoztatták az AES (Advanced Encryption Standards) titkosítási módszerüket CTR-ről (Counter mode) CBC típusúra (Cipher block chaining mode), annak hatására, hogy ismertté vált egy módszer a kulcsfolyamuk megszerzésére. Ennek következtében a TorrentLocker áldozatai már nem tudják visszaállítani a dokumentumaikat az elkódolt fájljaik és az egyszerű szöveges állományának kombinálásával megszerzett kulcsfolyam segítségével.”

 



Hogyan terjed a fertőzés?


A későbbi áldozat egy fertőzött dokumentumot tartalmazó kéretlen e-mailt kap. A mellékelt fájl megnyitása általában egy ki nem fizetett számlát, csomagok nyomon követését vagy kifizetetlen gyorshajtási büntetést tartalmaz. Az e-mail hitelességét erősíti, hogy az áldozat közvetlen környezetéből származó üzleti vagy kormányzati honlapokat utánoz. Ha olyan áldozat olvasta az emailt, aki nem a célországból kattintott a linkre és kezdeményezte az oldal letöltését, akkor automatikusan a Google search oldalra irányította a kártevő. „Az áldozatok becsapásának érdekében a támadók CAPTCHA képeket is illesztettek a levelekbe, így keltve hamis biztonságérzetet.“ – magyarázza Léveillé.
 

Kulcsszavak: hacker vírus security Eset

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Utazási konferencia az Angyalok városában

XX. E-KERESKEDELMI KONFERENCIA BY SAMEDAY

2024. május 17. 14:47

Az IKEA Kreativ megérkezett Magyarországra

2024. május 15. 17:52

Továbbra is Christian Klein az SAP első embere

2024. május 7. 13:17

Magyar siker: Nemzetközi díjat nyert a TIME magazintól a nyelvtanuló-applikáció

2024. május 3. 19:59