A zsarolóvírusok receptje nem változott érdemben az elmúlt években. Valamilyen biztonsági résen keresztül behatolnak a támadók egy szervezet informatikai rendszereibe, majd az összes elérhető adatot lezárják – hozzáférhetetlenné teszik – egy olyan erős titkosítás segítségével, amit gyakorlatilag lehetetlen visszafejteni. Legalábbis a jelenlegi technológiával.
A kulcs a támadók kezében van, akik pénzért – rendszerint nagyon-nagyon sok pénzért – kínálják fel azt a megtámadott szervezetnek, melynek két választása marad: vagy fizet, és bízik abban, hogy tényleg rendelkezésére bocsátják a szükséges kulcsokat, vagy megpróbálkozik alternatív módszerekkel. Például bevon kiberbiztonsági vállalatokat, hátha ők helyre tudják állítani a rendszereket. (Bonyolítja a dolgot, hogy a támadók olykor a lopott információk nyilvánosságra hozatalával is fenyegetőznek.)
Nos, a biztonsági kutatók által felfedezett, Mamona nevű zsarolóvírus más, mint az eddigiek. Ez igyekszik nem felhívni magára a figyelmet, csak csendben teszi a dolgát. A Wazuh fenyegetéselemző csoport szakemberei kiemelik: ez a vírus elkerüli a jellemző, parancs- és vezérlőszerverekre támaszkodást, így a támadó állandó instrukcióit sem várja: önálló. És így a hálózati forgalmat felügyelő védelmi megoldásokat is ki tudja kerülni.
Mint a TechRadar kifejti, a kártevő helyileg, a Windows operációs rendszeren egy önálló bináris fájlként hajtja végre a feladatait, és a már említett, teljesen offline működés arra kényszerítheti a védelmi megoldások fejlesztőit, hogy gondolják újra az észlelésért felelős rendszereiket. Ráadásul még törli is önmagát, így ügyesen kámforrá tud válni, megnehezítve a követését vagy az elemzését. Nem is beszélve – ismételten – az észlelésről.
Egyetlen dolgot hagy csak hátra, de azt okkal teszi: a README.HAes.txt nevű szöveges fájlban a váltságdíj megfizetésével kapcsolatos részleteket taglalja, a titkosított fájlokat pedig egy .HAes kiterjesztéssel átnevezi, jelezve a titkosítás sikerességét.
A Wazuh szakemberei figyelmeztetnek: a kártevő, jellegéből fakadóan hozzájárulhat az ilyen zsarolóvírusok szélesebb körű elterjedéséhez. Ehhez pedig szükséges a védelmi megoldások továbbfejlesztése.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
