Európa a bitcoint követelő zsarolóprogram árnyékában

Az ESET kutatói elemezték a rosszindulatú programcsalád működését

forrás: Prím Online, 2014. december 17. 10:29

A vezető, proaktív védelmet kínáló biztonságtechnológiai vállalat, az ESET kanadai kutatói megvizsgálták az először az év elején megjelenő TorrentLocker nevű zsarolóprogram működését. A malware legutolsó változata legalább 40 000 rendszert fertőzött meg pár hónap alatt, leginkább európai országokban szedve áldozatait. Az ESET biztonsági kutatói most elkészítették a zsarolóprogramra vonatkozó kutatás háttéranyagát, amely a malware viselkedésének vizsgálatát és részletes elemzését tartalmazza.

Az ESET Win32/Filecoder.DI névvel illeti a TorrentLocker most elemzett verzióját. Az elnevezés a malware korai korszakából ered, hiszen a program ezt a “Bit Torrent Application” elnevezésű registry kulcs bejegyzést használta konfiguráció beállításainak tárolására.

Hogyan működik a zsarolóprogram?


Az ESET összefoglalója szerint a TorrentLocker hét különböző módon terjedt és a telemetriai mérésnek köszönhetően kiderült, hogy a malware első nyomai 2014 februárjában bukkantak fel. A rosszindulatú program folyamatosan fejlődik, legfejlettebb változata augusztustól szedte áldozatait.

A zsarolóprogramnak ez a változata dokumentumokat, képeket és egyéb fontos fájlokat titkosít a felhasználó eszközén és váltságdíj fejében engedélyezi a hozzáférést a fájlokhoz. Jellegzetessége, hogy a váltságdíjat kizárólag virtuális valutában lehet kifizetni és akár 4 bitcoint (ez nagyjából 1180 euró vagy 1500 dollár) is követelhet. Az utolsó kampányban a TorrentLocker 40 000 számítógépet fertőzött meg és több mint 280 millió dokumentumot titkosított. A célzott országok zöme európai volt, de a fertőzés Kanadában, Ausztráliában és Új-Zélandon is megjelent. Szerencsére „csak” 570 áldozat fizette ki a váltságdíjat, így összesen 585,401 bitcoin ütötte a TorrentLocker mögött álló emberek markát.

“Azt gondoljuk, hogy a TorrentLocker mögött álló személyek ugyanazok, akik a Hesperbot nevű banki trójai család mögött álltak. - mondta Marc-Etienne M. Léveillé, az ESET kanadai kutatója. „A TorrentLocker-ben a támadók reagáltak az online biztonságtechnikai jelentésekre, hiszen megkerülik az ilyen típusú kártevők felismerésére szolgáló eljárásokat és megváltoztatták az AES (Advanced Encryption Standards) titkosítási módszerüket CTR-ről (Counter mode) CBC típusúra (Cipher block chaining mode), annak hatására, hogy ismertté vált egy módszer a kulcsfolyamuk megszerzésére. Ennek következtében a TorrentLocker áldozatai már nem tudják visszaállítani a dokumentumaikat az elkódolt fájljaik és az egyszerű szöveges állományának kombinálásával megszerzett kulcsfolyam segítségével.”

 



Hogyan terjed a fertőzés?


A későbbi áldozat egy fertőzött dokumentumot tartalmazó kéretlen e-mailt kap. A mellékelt fájl megnyitása általában egy ki nem fizetett számlát, csomagok nyomon követését vagy kifizetetlen gyorshajtási büntetést tartalmaz. Az e-mail hitelességét erősíti, hogy az áldozat közvetlen környezetéből származó üzleti vagy kormányzati honlapokat utánoz. Ha olyan áldozat olvasta az emailt, aki nem a célországból kattintott a linkre és kezdeményezte az oldal letöltését, akkor automatikusan a Google search oldalra irányította a kártevő. „Az áldozatok becsapásának érdekében a támadók CAPTCHA képeket is illesztettek a levelekbe, így keltve hamis biztonságérzetet.“ – magyarázza Léveillé.
 

Kulcsszavak: hacker vírus security Eset

Biztonság ROVAT TOVÁBBI HÍREI

AI Tour Budapest: így alakítja át az üzletet a mesterséges intelligencia

A Microsoft ingyenesen elérhetővé tette a Copilot Chat-et, hogy ezzel is hozzájáruljon a mesterséges intelligenciára épülő megoldások elterjedéséhez. Azok az üzletemberek és informatikai szakértők, akik február 5-én részt vettek a Microsoft AI Tour budapesti eseményén, első kézből tájékozódhattak róla, hogyan formálja át az AI a munkahelyeket, a mindennapokat és a kiberbiztonság területét. Mint elhangzott, Magyarország ez utóbbi tekintetben kimondottan veszélyeztettnek minősül, mivel nálunk a kibertámadások okozta kárérték kétszer olyan ütemben növekszik, mint a világátlag.

2025. február 7. 17:37

Mit tehet az informatika az Uzsokiban felbukkant szuperbaktériumok ellen?

A szuperbaktérium-fertőzések megjelenése az egészségügyi intézményekben, mint például az Uzsoki Utcai Kórházban, komoly kihívást jelent a betegek és az egészségügyi személyzet számára. Az informatikai rendszerek és digitális megoldások kulcsszerepet játszanak a járványok megelőzésében, azonosításában és kezelésében.

2025. február 7. 15:48

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Szoboszlai Dominik és a Liverpool: Hogyan követhetjük nyomon a mérkőzéseiket?

2025. február 7. 15:20

IAB Hungary kihirdette az Év videós hirdetése 2024 versenyének győzteseit

2025. február 7. 09:54

Milyen nagy lesz a közelgő havazás? Előrejelzés a mesterséges intelligencia segítségével

2025. február 1. 13:44

Veszélyes hirdetések rejtőzhetnek a keresési eredményekben: hogyan ismerjük fel ezeket?

2025. január 30. 14:34