Kémprogram-eltávolítónak álcázza magát a zsarolóvírus

Posted on 4 May, 2019 by Kőszegi Mátyás - Titkár Mentor IT Lovag

Kémprogram-eltávolítónak álcázza magát a zsarolóvírus

Jól hangzik, hogy egy teljes értékű kémprogram-eltávolítót letölthetsz egy torrent oldalról ingyen? Most mutatunk egy példát arra, hogy ez veszélyes is lehet. A G DATA szakértői egy új zsarolóvírus változatot elemeztek, mely az Enigma SpyHunter 5 kémprogram-eltávolító megoldásnak álcázza magát.

Eddig is megszokott volt, hogy egy kártevő valami más programnak álcázza magát. Ez a zsarolóvírus azonban egy lépéssel tovább megy. Egy valóban létező kémprogram-eltávolító logóját használja, a fájl neve is SpyHunter5.exe, de a fájl tulajdonságaival is arra céloz, hogy ő tulajdonképpen a SpyHunter megoldás.

Mindeközben a zsarolóvírus üzenete vicces marketingszövegnek van beállítva: úgy tesz, mintha a SpyHunter titkosította volna a fájlokat, és a titkosítás megszüntetését garantálja. Egész konkrétan azt írja, hogy „hivatásunk a vírusok készítése és eltávolítása”.

Kamu hivatás ide vagy oda, ez a zsarolóvírus azonban a GarrantyDecrypt családhoz tartozik, melynek első változatait még 2018 októberében észlelték a szabadban. Az szokatlan, hogy a GarrantyDecrypt válogatás nélkül, az összes talált fájlt titkosítja, nemcsak a szokásos fotókat és dokumentumokat. A titkosított fájlok végére a .spyhunter végződést biggyeszti, a zsaroló levelet a $HOWDECRYPT$.txt nevű állományba helyezi el.

A G DATA laborjának elemzése szerint a kártevő nem túl szofisztikált, hiszen például a használt titkosítás nem túl bonyolult, egyes fájlokat vissza lehet nyerni. Ahhoz, hogy gyorsan dolgozzon, csupán az első 0x 2800 byte-ot titkosítja. Kollégáinknak sikerült pár fájt visszanyerniük hagyományos fájl visszaállító programok segítségével, a siker az adott fájl formátumától függ.

A zsarolóvírus szerzőjének eredetére utal az a beállítása, hogy az orosz, ukrán, kazah, fehérorosz vagy tatár nyelvű operációs rendszereket békén hagyja.

Forrás: G-DATA