A G Data szakemberei a napokban új veszélyre hívták fel a figyelmet: egyes weboldalakon fertőzött uTorrent telepítő tűnt fel, amelynek csomagja a kliensprogram mellett egy trójaiként viselkedő zsarolóvírust is tartalmaz, ez pedig túszul ejtheti, és többnyire túszul is ejti a gyanútlan felhasználó fájljait.
A Manamecrypt névre hallgató kártékony kód terjedése más, mint a klasszikus zsarolóvírusoké, hiszen nem e-mail csatolmányként, vagy éppen Exploit Kit formájában terjed, hanem sokak által ismert és használt alkalmazás, a µTorrent mellé „csomagolják” rosszindulatú készítői, akiket egyszerű cél hajt: minél több pénzt bevasalni a megzsarolt felhasználóktól. Fizetni a szakemberek szerint nem érdemes, hiszen nincs semmi garancia arra, hogy néhány nappal vagy néhány héttel később nem válunk ismét célponttá, mondjuk egy direkt nyitva felejtett hátsó ajtón keresztül történő támadás során. A fizetési hajlandóságot látva felbátorodhatnak a bűnőzök, no meg arra sincs garancia, hogy a fizetést követően tényleg sértetlenül visszakapjuk túszul ejtett fájljainkat.
Az új zsarolóvírus szokatlan módszereket alkalmaz
A Manamecrypt teljesen más módszerrel működik, mint a klasszikus zsarolóvírusok, például a Locky, a Petya vagy éppen a Teslacrypt, ugyanis a fájlokat úgy titkosítja, hogy egy .rar állományba emeli át őket, majd ezt a tömörített állományt levédi egy jelszóval, az eredeti fájlokat pedig azonnal törli.
Hogy mely fájlok vannak veszélyben? Az alábbiak:
*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf *.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip.
A zsarolóvírus a szokásosnál alattomosabb, ugyanis az adattitkosítás mellett bizonyos szolgáltatásokat is azonnal leállít, méghozzá azokat, amelyek nevében szerepel az alábbi szavak bármelyike.
ad-aware, facebook, registry editor,
amazon, game, rune,
anti virus, instagram, shop,
anti-virus, internet security, sophos,
antivirus, kaspersky, steam,
avg, lol system configuration,
avira, mcafee, system restore,
bitdefender, meetme, task manager,
bullguard, monitor, trend micro,
comodo, netflix, tumblr,
debugger, norton, twitter,
dr.web, obfuscator, vimeo,
ebay, origin, vipre,
eset, pinterest, youtube,
f-secure, registry.
A folyamatok újbóli elindításakor a zsarolóvírus egy hibaüzenetet küld, amelyben felhívja a felhasználó figyelmét arra, hogy amíg nem fizeti ki a váltságdíjat, az adott szolgáltatás nem fog elindulni.
A zsarolóvírus természetesen gondoskodik róla, hogy minden egyes rendszerindításkor automatikusan elindulhasson, így létrehoz egy „software” nevű bejegyzést a regisztrációs adatbázisban (HKCUSoftwareMicrosoftWindowsCurrentVersionRun). Majd ha ez kész, néhány egyéb fájlt is létrehoz, sőt, a regisztrációs adatbázisban azt is eltárolja, mennyi idő van még hátra a fizetési határidőig, illetve mekkora váltságdíj megfizetésére van szükség. Ezeket a részleteket itt tárolja a zsarolóvírus: HKCUSoftwareVB and VBA Program Settingssoftwaresetting.
A kártékony kód az alábbi fájlokat is létrehozza. :
%APPDATA%cryptohost.exe (The actual ransomware binary, a copy of the sample)
%APPDATA%processor.exe (WinRAR command line tools)
%APPDATA%files (a list of file names with encrypted files)
%APPDATA%[Encrpted_RAR_with_generic_name]
Szerencsére az aktuális verzió egyszerűen kitalálható jelszót használ
Jó hír, hogy a készítők nem voltak túl kreatívak, ugyanis a .rar állomány egyelőre könnyedén feltörhető, hisz ehhez csak a zsarolóvírus által létrehozott .rar fájl nevére, illetve az adott számítógépet használó felhasználói fiók nevére van szükség. Ezeket egymás után, szóköz nélkül kell beírni a jelszó mezőbe, majd megjelenik egy értesítő ablak, ami a váltságdíj megfizetéséről szól, valamint arról, hogy ezek után megtörténik a túszul ejtett fájlok kitömörítése – a Windows asztalra.
A G Data szoftvere már felismeri a fertőzött uTorrent telepítőt, amit Win32.Application.OpenCandy.G típusú kéretlen szoftverként azonosít. Utóbbit rendszerint az ingyenes PDF-olvasó, adattömörítő, illetve médialejátszó alkalmazások mellé szokták pakolni. A SweetLabs által gyártott app megváltoztatja a webböngésző alapértelmezett kezdőlapját, illetve az alapértelmezett keresőszolgáltatást is, majd a felhasználót különböző weboldalakra irányítja, amelyek tele vannak reklámokkal és felugró ablakokkal – ezekből szerzik a készítők a bevételt.
Az érintett szoftverek köre
A fertőzés egyébként nem minden µTorrent verziót érint, a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrent hálózatokon keresztül terjesztik a bűnözők.
Az érintett telepítőcsomagok hash értékei:
Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3
G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13
µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6
G Data vírusriasztás neve: Win32.Application.OpenCandy.G
Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9
G Data vírusriasztás neve: Trojan.GenericKD.3048538
Érdekesség, hogy ezekben az esetekben egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen.
Nagyon fontos a prevenció, azaz a megelőzés
Hogy miként lehet védekezni a hasonló támadásokkal szemben? Először is érdemes közvetlenül a gyártó weboldaláról beszerezni az adott szoftvert, vagy legalább egy olyan forrást választani, ami nagy és megbízható. Persze ez sem mindig garancia a biztonságra, de már így is jelentősen javíthatóak az esélyek.
Nagyon fontos, hogy a különböző alkalmazásokat mindig frissen, naprakészen tartsuk, valamint az is, hogy folyamatosan készüljön biztonsági mentés a fontos fájlokról – ha a teljes rendszerről nem is. Ez a biztonsági mentés legyen offline: lehetőség szerint USB-s adattárolón, külső merevlemezen vagy éppen SD kártyán tároljuk a kiemelten fontos fájlokat, ezek pedig alap esetben ne csatlakozzanak a rendszerhez, csak maximum a mentés idejéig. Jó választás lehet például egy újraírható CD vagy DVD is, hisz a lemezen tárolt adatokat a zsarolóvírus nem tudja közvetlenül fertőzni – csak a lemez írásakor.
Fontos az is, hogy egy-egy e-mail csatolmány megnyitása előtt ellenőrizzük a fájl nevét, illetve gondoljuk át, az adott feladótól várható-e ilyesmi. Ha van rá lehetőség, másodlagos csatornán érdemes rákérdezni, valóban nekünk szánt biztonságos állományról van-e szó. Ugyanígy érdemes a gyanús letöltő oldalakat is messze elkerülni, főleg, ha a letöltésnél szereplő fájlnév, illetve a végül letöltött fájl neve és kiterjesztése nem azonos. Továbbá érdemes még letiltani a makrók automatikus futtatását is a Microsoft Office alkalmazások esetében, ahogy azt a Microsoft is tanácsolja.
Ezzel együtt érdemes megfelelő vírusirtót is alkalmazni. Az ideális szoftver kiválasztásához például a független AV-Test.org ajánlásait is figyelembe vehetjük, de egyéb forrásokból is érdemes lehet tájékozódni.
