2020.09.22. 18:00
Javításnak látszik, közben vírust telepít
Ez a zsarolóvírus szokatlan, szimmetrikus titkosítási módszert használ, míg csendben dolgozik a háttérben.
Forrás: Shutterstock
A Virustotal portálon először augusztus 25-én jelentették a szokatlan, Fernet titkosítást használó zsarolóvírust. (A mélyebb elemzés azt mutatja, hogy a vírust a Python 3,7-es programozási nyelvben írták, a PyInstaller segítségével konvertálták Windows PE fájllá.)
A G Data szakértőjéhez eljutott vírusminta nem tudott lefutni, hibás volt. A zsarolóvírusban az is érdekes, hogy DLL Fixer 2.5-ös alkalmazásnak álcázza magát. Amikor először futtatjuk az zsarolóvírust, akkor
azt jelzi ki, hogy egy véletlen számú DLL fájlt talált a rendszerben, melyet érdemes megjavítani.
Amiután a teljes rendszert titkosította a vírus, megjelenít egy üzenetet, hogy sikeresen megjavította a DLL fájlokat.
Igencsak szokatlan titkosítás
Tehát a Cyrat zsarolóvírus Fernet szimmetrikus titkosítási módszert használ a fájlok titkosítására. Ez a titkosítási módszer az olyan kis fájlok titkosítására alkalmas, melyek még a RAM-ban is beférnek. Azonban ez a zsarolóvírus minden fájlt titkosít, méretétől függetlenül, viszont a Fernet a nagy állományok RAM-ban történő titkosítására nem alkalmas – írja a G Data.
A titkosításhoz egy nyilvánosan elérhető RSA kulcsot használ a zsarolóvírus, melyet az internetről tölt le. A titkosított Fernet kulcsot a DesktopEMAIL_US.txt állományba menti el a vírus. A fertőzött rendszerek felhasználóitól azt kéri a vírus programozója, hogy ezt az állományt csatolmányban küldjék el neki.
A titkosítandó fájlokat a Desktop, Donwloads, Pictures, Music, Videos és Documents – illetve a megfelelő anyanyelvi – mappákban keresi.
A váltságdíjat kérő üzenetet minden célmappában elhelyezi a támadó.
A vírus továbbá egy stockfotót is letölt az internetről és a felhasználó aktuális háttérképét lecseréli. Ez a háttérkép nem tartalmaz egyetlen zsaroló üzenetet sem, célja a felhasználó figyelmét felhívni a fertőzésre.
Hogy ne lehessen könnyen megszabadulni tőle, a vírus az autostart mappában is bemásolja önmagát. (AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup)
Hirtelen összeütött kód
Érdekes, hogy ha a rendszert újraindítjuk, és a zsarolóvírus újból fut, akkor az nagy valószínűséggel a váltságdíjat kérő üzeneteket is titkosítja, hiszen a kódot elemző G Data-s szakértő a programozásban nem talált olyan kivételt, amely ezeket az üzeneteket kiveszi a titkosítandó fájlok közül. Ez arra utal, hogy
a kódot nem gondolta át alaposan a programozó, kidolgozatlan.
Az alex27 névre hallgató Twitteres felhasználó tesztelte a zsarolóvírus programozóját, felvette vele a kapcsolatot a megadott emailen. A támadó válaszolt, ami azt jelenti, hogy aktív vírusról van szó. A támadó 1000 dolláros váltságdíjat kért. Az angol nyelvű válasz hemzseg a helyesírási hibáktól, nagy valószínűséggel nem angol anyanyelvű támadó áll a háttérben.
A G Data szakértője által megvizsgált vírusminta hibás volt, nem tudta megfertőzni a rendszert, azonban támadóval folytatott levelezésből az derült ki, hogy a zsarolóvírusnak létezik stabil és működő variánsa. A Fernet titkosítási módszer a zsarolóvírus gyenge pontja, hiszen az óriási állományok RAM-ban történő titkosítása igencsak megterheli a teljes rendszert.
Viszont ha egyszer titkosította az adatokat, akkor kulcs nélkül nincs lehetőség azok visszaszerzésére.
Borítóképünk illusztráció