szerző:
hvg.hu
Tetszett a cikk?

Az Avast Threat Labs egyik kutatója felfedezett egy új Locky-klónt, és valószínűsíti, hogy magyar fejlesztő (vagy fejlesztők) műve. Az viszont biztos, hogy a célkeresztben a magyar felhasználók vannak.

Az Avast Threat Labs szakembere, Jakub Kroustek úgy véli, hogy a magát egy igen veszélyes Lockynak beállító zsarolóvírus magyar eredetű, és valójában csak egy olcsó utánzat. El is nevezte Huckynak, a Hungarian Locky után.

Több észrevétel is utal a megállapítás jogosságára. Például a képen, amelyet a ransomware kitesz a felhasználó háttérképe helyett, egy lakat ikon látható a jobb felső sarokba, ám az eredeti Locky vírus nem mutat ilyet. Abból is klónra lehetett következtetni, hogy a Hucky arra kéri a felhasználót, e-mailben vegye fel vele a kapcsolatot, az igazi Locky viszont sohasem lép közvetlen kapcsolatba az áldozataival, egy, a sötét weben hostolt webhelyet használ.

A szakember azt is megállapította, hogy míg a Lockyt Microsoft Visual C++-ban programozták, addig a Hucky fejlesztője Visual Basicet használt. Lényeges különbség az is, hogy a Hucky, miután titkosította a fájlokat, erőszakkal újraindítja a gépet, ilyet a Locky sosem tesz.

Avast Threat Labs

A fenti képen is jól láthatók a magyar nyelvű szövegek, és azt a biztonsági kutató is jól állapította meg, hogy semmi sem utal gépi fordításra. A Locky utasításai angol nyelvűek és HTML fájlban érhetők el (jelenleg), a Huckyé viszont magyar nyelvűek és text fájlok. A Hucky forráskódját elemezve is rengetet magyar szót talált a szakember. Érdekes az is, hogy a ransomware-t terjesztő fájlok: semmi.exe és turul-exe – ehhez valószínűleg nem kell részletesebb magyarázat.

Nem árt azonban résen lenni, Kroustek szerint ugyanis a Hucky a magyar felhasználókat célozza. Valószínűleg ez az oka annak, jegyzi meg, hogy egyelőre csekély az előfordulási gyakorisága (prevalenciája).

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!