Vállalatok támadására született az új vírus

A Kaspersky Lab szakértői az RAA zsarolóvírus új verzióját fedezték fel. Az új trójai, amelyet teljes mértékben JScript programozási nyelven írtak, egy zip archívumot küld az áldozatnak, amiben egy rosszindulatú .js file van. A frissített verzió offline is tud titkosítani anélkül, hogy kapcsolatot létesítene a vezérszerverrel. A Kaspersky Lab szakértői úgy vélik, hogy ezzel a verzióval a csalók inkább vállalatokat fognak célba venni.

Mi a legnagyobb probléma a hazai felsőoktatásban?
És a gazdaságban? Mennyit ér egy magyar egyetemi diploma?
Online Klasszis Klub élőben Ádám Zoltánnal, a Corvinusról elbocsátott egyetemi oktatóval

Vegyen részt és kérdezzen Ön is a közgazdásztól!

2024. október 9. 15:30

A részvétel ingyenes, regisztráljon itt!

Az RAA zsarolóvírus 2016 júniusában tűnt fel, ez az első ismert zsarolóvírus, amit teljes mértékben JScript programozási nyelven írtak. Augusztusban a Kaspersky Lab szakértői egy új verziót találtak. Az előzőhöz hasonlóan a vírus email útján terjed, de most a rosszindulatú kód egy csatolt, jelszóval védett zip archívumba van rejtve. Ezt az újítást főleg azért vezették be a bűnözők, hogy becsapják a vírusirtó programokat, mivel így a védett archívum tartalma nehezebben hozzáférhető.

Céges számítógépek: így védekezzünk a vírusok ellen!
Itt egy vírus, ott egy féreg, de könnyen lehet, hogy mindkettő egyszerre támadja meg cégünk számítógépeit. A jelenleg alkalmazott számos vírusirtó mellett van néhány alapelv, amit célszerű szigorúan betartanunk, ha nem szeretnénk, hogy vállalkozásunk informatikai rendszere megfertőződjön.
Az emailek vizsgálata során a Kaspersky Lab szakértői arra a következtetésre jutottak, hogy a csalók vállalatokat szándékoznak megtámadni: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza. Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van. Ez a kijelentés nevetségesen hangzik a hozzáértő felhasználók számára, de teljesen megbízhatónak tűnhet a becsapható áldozatoknak.

Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérban az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap.

Kép:Pixabay

Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen. Ahelyett, hogy mester kulcsot kér a vezérlő szervertől, a trójai maga generálja, titkosítja és menti el a kulcsot a fertőzött gépen. A kiberbűnözőknél van egy privát kulcs, ami dekódolja az egyedi titkosított kulcsot.Miután a váltságdíjat kifizették, a bűnözők megkérik a felhasználót, hogy küldje el a titkosított mester kulcsot, amit dekódolva küldenek vissza az áldozatnak egy dekódoló szoftverrel együtt. Ezt nyilvánvalóan azért gondolták ki így, hogy a vírus offline és online gépeket is titkosítani tudjon.

Már bérelni is lehet zsarolóvírust
A nyár elején olyan gyanúsítottakat tartóztattak le, akik a Lurk csoport tagjai voltak. A csoport több mint 45 millió dollárt lopott számos orosz cégtől és banktól. A vírus IT infrastruktúrájának vizsgálata szerint a hackerek más kiberbűnözőknek is bérbe adták exploit-csomagjukat.
Sőt mi több az RAA zsarolóvírussal együtt az áldozat a Pony trójai vírust is megkapja. A Pony minden levelező programból képes jelszavakat lopni, amiket elküld a támadónak. A jelszavak segítségével a csalók a fertőzött felhasználók nevében terjeszthetik a vírust, így könnyebben meggyőzhető az áldozat, hogy az email valós. Az áldozat céges email címéről a vírus az összes üzleti partnert megfertőzheti. Azután a csalók kiválaszthatják és megtámadhatják a célszemélyeket.

"Úgy hisszük, hogy az RAA trójait azért fejlesztették ki, hogy vállalatokat célzó támadásokat hajtsanak végre. A zsarolóvírus és jelszólopó együttes használata veszélyes fegyver a kiberbűnözők kezében, mert fokozza a pénzhez jutás esélyét. Egyrészt a vállalat kifizeti a váltságdíjat, másrészt új áldozatokat lehet megtámadni a Pony trójai vírus által gyűjtött azonosítókat felhasználva. Továbbá az offline titkosítás növeli az RAA új verziójának hatékonyságát" - mondja Fedor Sinitsyn, a Kaspersky Lab senior vírus elemzője.

A fertőzés veszélyének csökkentése érdekében a vállalatok vezetői vegyék fontolóra a következő tanácsokat:

  • Használjon erős biztonsági technológiákat és vírusirtókat.
  • Tanítsa meg alkalmazottainak a hozzáértő számítógép-használatot.
  • Rendszeresen frissítse a szoftvereket a céges gépeken.
  • Végezzen biztonsági ellenőrzéseket.
  • Nézze meg a file-ok kiterjesztéseit, mielőtt megnyitná őket. A következő kiterjesztések lehetnek veszélyesek: .exe, .hta, .wsf, .js.
  • Használja józan eszét és az ismeretlen feladók emailjeit kezelje fenntartással.
A 2016 Corporate IT Security Risks Survey kutatás szerint a magyarországi vállalatok 23,5%-a vált zsarolóvírus támadás áldozatává az elmúlt évben. A zsarolóvírus fertőzés veszélyének hatékonyabb csökkentése érdekében a Kaspersky Lab közzétette ingyenes Anti-Ransomware Tool for Business programját.

Jelenleg az RAA zsarolóvírus oroszul tudó felhasználók körében terjed, mivel a váltságdíjat követelő üzenet oroszul van.

Véleményvezér

Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el

Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el 

A logisztikai költségek tovább nőnek.
Úgy vernek minket a lengyelek, mint szódás a lovát

Úgy vernek minket a lengyelek, mint szódás a lovát 

A folyamatos kormányzati sikerpropaganda mellett csak a számok ne lennének.
Vádat emeltek a new yorki polgármester ellen

Vádat emeltek a new yorki polgármester ellen 

Ingyen utazásokat és hotelszámlákat vizsgálnak.
Az izraeli titkosszolgálat professzionálisan működik Iránban, mind a 180 ballisztikus rakétát leszedték

Az izraeli titkosszolgálat professzionálisan működik Iránban, mind a 180 ballisztikus rakétát leszedték 

Az izraeli miniszterelnök megígérte az irániaknak, hogy hamarosan megszabadítják elnyomóitoktól.
Az Orbán-család egy újabb „sasfészkét” fedezte fel Hadházy Ákos

Az Orbán-család egy újabb „sasfészkét” fedezte fel Hadházy Ákos 

Reméljük nem Bese Gergő szenteli fel, mint a Karmelitát.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo