Vírusírtó Blog

Fenyegetéssel és adataink zárolásával csal ki pénzt egy új trójai

2012.05.06. 15:44 G Data

title_reveton.jpgA Reveton névre hallgató zsaroló kártevő visszatért, és ezúttal az Egyesült Államok Igazságügyi Minisztériumának nevében fenyegeti a felhasználókat és teszi elérhetetlenné adataikat.

 

Akinek nincs biztonsági mentése, az drágán megfizethet gondatlanságáért, a váltságdíj ugyanis 100 dollár.

 

 

A csalók a kártevőt a Citadel platform segítségével terjesztik, a módszer pedig egy variációja azoknak a trükköknek, amikor a felhasználót magukat hivatalos szervnek kiadva fenyegetik meg a bűnözők. Egyetlen különbség, hogy immár a rendőrség vagy az FBI helyett az igazságügyi minisztérium nevében lépnek fel, állítólagos illegális tartalmak miatt.

 

A konkrét esetben a történet akkor kezdődik, amikor a gyanútlan felhasználó egy fertőzött oldalra téved, ahonnan drive-by download módszerrel (lényegében úgy, hogy nem tud róla) a számítógépére kerül a Citadell kártevő. Ez felveszi a kapcsolatot egy központi irányítószerverrel, ahonnan letölti a megfelelő beállításokat és a Reveton kártevőt. A Reveton indulása után elsőként lezárja számítógépünket, és egy ablakot jelenít meg, amin az igazságügyi minisztérium nevében illegális tartalom elérésével gyanúsítanak meg.

 

2012.05.06_reveton_001.jpg

 

A csalók mindenre odafigyeltek, és a fizetési felszólítás az áldozat IP címét is figyelembe veszi: ha például az Egyesült Államokban van a megfertőzött számítógép, akkor a Paysafecard vagy a MoneyPak rendszerén keresztül kell a 100 dolláros váltságdíjat átutalni.

 

Miközben a Reveton direkt profitot termel, a Citadell trójai sem tétlenkedik a háttérben, és igyekszik a lehető legtöbb érzékeny adatot eltulajdonítani gépünkről.

 

„Ebből és más hasonló, az utóbbi időben felfedezett támadásokból nyilvánvaló, hogy az ilyen típusú kártevők már olyan fejlettségi szintet értek el, hogy bármilyen támadás kivitelezhető segítségükkel” - emelte ki az eset kapcsán Amit Klein, a Trusteer műszaki igazgatója.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: biztonság alkalmazás

33 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr24491595

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kajagugu 2012.05.06. 19:39:03

Mi van? Ezek Matolcsynál tanultak?

dukeekud 2012.05.06. 19:42:57

"drive-by download" mi a fene ez a modszer ? Talan a sima letoltom es futatom ?
Es mi az hogy lezarja a szamitogepet.
Titkositja a merevlemezt ?

G Data 2012.05.06. 21:01:28

@dukeedud

A drive-by download ebben az esetben lényegében azt jelenti, hogy a kártevő böngészés közben, a felhasználó tudta nélkül települ a számítógépre.

Ez történhet teljesen automatikusan, vagy pedig a felhasználó megtévesztésével úgy, hogy ő engedélyezi a lefuttatást, mert a kártevőt valami másnak álcázzák (például kodeknek, amire szükség van egy videó megjelenítéséhez).

Abrash1965 2012.05.06. 21:10:37

tök jó, de HOGY KELL ELELNE VÉDEKEZNI?

G Data 2012.05.06. 21:24:46

@Abrash1965:

Alapvetően, mint minden kártevő ellen: használj frissített (és nem feltört) vírusirtó szoftvert, ami megfogja.

A vírusirtók felismerik a kártevőt, azokat a gépeket tudja megfertőzni, amelyiken valamiért nincs - vagy nem megfelelő a védelem.

Ezenkívül óvatosan kell kezelni azokat az üzeneteket, amiket a gép feldbob. Ha tehát böngészés közben azt látod, hogy a weboldal megjelenítéséhez ez vagy az a plugin szükséges, és a weboldal rögtön fel is ajánlja a plugin telepítését, akkor érdemes végig gondolni, hogy hol is vagy, és milyen tartalmat szeretnél megtekinteni.

Ha megbízható weboldalon, akkor lehet, hogy rendben van a dolog. Ha viszont máshol, akkor lehet, hogy érdemes elgondolkodni, hogy az adott pluginre tényleg szükség van-e.

Torzonborz Torkosborz (törölt) 2012.05.06. 23:44:07

@G Data:

Hahahaha...

De jót nevettem.
Én 4. éve használom az XP-t.
Se vírusirtóm, se tűzfalam.
Böngészek is, és pornót is nézek.

De egyetlen kártevő sincs a gépemen.

Ennek lényegében több oka is van.

1. Saját és jól kigyomlált XP van.
2. A WinPatrol Plust használom.
3. Homokozóban netezek.
4. A Windows SteadyState-t használom.
5. Csak filmeket és zenéket töltök.

Bakker...

gombosg 2012.05.07. 00:33:52

@G Data: "a kártevő böngészés közben, a felhasználó tudta nélkül települ a számítógépre."
Gondolom ez máris kiküszöbölhető, ha az ember nem IE-t használ. Továbbá némi józan ésszel, de ha annyi volna, ezek a programok mit sem érnének. :)

G Data 2012.05.07. 07:02:33

@Metálszív:
Egészségedre. De legalább ne népszerűsítsd ezt a felelőtlen elképzelést.

A legtöbb mai kártevőt nem fogd észrevenni a gépeden, mert pont az a céljuk, hogy észrevétlenül működjenek.

És azt sem szabad elfelejtened, hogy azért, mert valaki esetleg át tud sétálni egy kötélen egy szakadék felett, nem biztos, hogy ez a mindenki számára javasolt megoldás.

G Data 2012.05.07. 07:12:55

@gombosg:

Nem, nem küszöbölhető ki. Minden böngésző veszélyeztetett. És sajnos a józan ész is kevés.

Vírusok vannak, és úgy tűnik, hogy lesznek is - és nem csak Windowsra. (Lásd például: virusirto.blog.hu/2012/02/24/mac_felhasznalok_paypal_adatait_lopja_a_flashback)

Az igazi helyzet az, hogy szinte bármilyen feltört honlapon meg lehet fertőzödni, azaz a virágbolt vagy az autós oldal honlapján is, nem csak egy erotikus weboldalon.

LiberAll 2012.05.07. 08:04:51

Kíváncsi vagyok, hogy melyik vírusirtó találta ezt ki, hogy felpörgesse az üzletet. Jó lenne egy "járványügy" a pc-s vonalon, mint hatóság, mert kicsit kezd elegem lenni, hogy azért hogy nyugodtan nettezhessek masszívan lenyúlnak a vírusirtók. Mondjuk, engem már nem, de ez egy másik történet.

Trompf · http://trompf.blog.hu 2012.05.07. 09:04:29

Azért számomra cseppet furcsa, hogy a vírusgazdák közölnek egy számlaszámot.

Ha teszem azt terrorista szervezet tenne felhívást fizetésre, egy számlaszám nyilvánosságra hozatalával, gondolom gyorsan be tudnák azt fagyasztani, és közben elkapni a terroristákat.

Trompf · http://trompf.blog.hu 2012.05.07. 09:07:24

@LiberAll: Igen..
A számlaszám miatt gondolom én is hogy ez csak fake.
A (valódi) vírusok célja a rombolás jellegükből fakadóan, és nem a pénzszerzés.
A vírus gazdái pedig próbálnak minél inkább rejtve maradni (megjegyzem ez is meglehetősen nehéz, hisz le szoktak bukni), nemhogy zsarolásba kezdjenek.

G Data 2012.05.07. 09:26:54

@Trompf:

A vírusok készítői általában közvetítőkkel dolgoznak - nagyjából megkérnek egy csövest egy másik országban, hogy nyisson számlaszámot.

Nem bonyolult, lenyomozni pedig nehéz.

@LiberAll:

Ez egy régi para: biztos, hogy a vírusirtók készítői csinálják a vírusokat.

Persze. A légzsákok készítői pedig olajfoltokat helyeznek el a Váci úton. Nem hallottad? :)

TH 2012.05.07. 09:29:39

@LiberAll: az otthoni gépeden mi tart vissza attól, hogy ingyenes vírusirtót használj?

tivA 2012.05.07. 09:29:53

@Metálszív: eem.. honnan tudod hogy nincs virusod? altalaban nem tudatjak maguktol hogy ott vannak...

belekotty 2012.05.07. 09:31:35

@Metálszív: Hű! Hogy te mekkora ász vagy! És az egodat látta már pszichiáter?

TH 2012.05.07. 09:49:05

@G Data: már csak az nem derült ki, hogy a "lezárja a számítógépet" mi a fenét jelent. ;-)

TH 2012.05.07. 09:59:20

@Metálszív: és nem nevetnél nyugodtabban, ha futna egy vírusirtó is a gépeden?

Torzonborz Torkosborz (törölt) 2012.05.07. 10:12:54

@tivA:

Egyszerű.

Az XP-t még 2008. áprilisában telepítettem, ami saját rendszer:
- minimális dll könyvtár
- XP Antispy
- feltett alapcuccok (Office,XnWiev,MPC, Firefox, Thundebird.)
- Védelemnek a Winpatrol Plus és a Sandboxie, valamint a már említett SteadyState.
- Ez utóbbi úgy van beállítva, hogy minden induláskor állítsa vissza az eredeti állapotot, így akármit nézek a Neten, az másnapra törlődik!
- Nem szedek le semmit, csak filmet, és zenét.
- A registry zárolva van, tehát semmi nem tud beleírni, módosítani, csak ha engedem, de ha mégis, akkor is törlődik az újrainduláskor.

Nem kell elhinni mindent, amit a pénzedre pályázó vírusirtók elhintenek! Egyébként meggyőződésem, hogy a kártevők döntő részét ők készítik, hogy megvedd a programot!

Torzonborz Torkosborz (törölt) 2012.05.07. 10:14:15

@belekotty:

Nomen est omen.

Ha érted, mire gondolok...

Torzonborz Torkosborz (törölt) 2012.05.07. 10:22:51

@TH:

Nincs értelme.
Általános tapasztalat, hogy csak visszahúzza a gép teljesítményét.

És ha már itt tartunk!

A tűzfalak döntő része szart sem ér - nem az én véleményem, hanem hivatalos álláspont a szakértők világában.

A vírusirtók pedig csak a már meglévő kártevők ellen "védenek", de igazán működő megelőző védelemre nem alkalmasak. Az idézőjel azért jogos, mert sok program már a védelem tekintetében is elbukik.

Üdv.

TH 2012.05.07. 10:45:14

@Metálszív: hát a még nem létező kártevők elleni védelem biztos nagyon hasznos...;-)
Na jó, de röviden: ok, van pár nagyon új, ami ellen esetleg még nem véd. De a korábbiak sem tűnnek el egyik napról a másikra ám...

TH 2012.05.07. 10:48:37

@Metálszív: van egy csomó ingyenes vírusirtó, az is a pénzedre pályázik?

G Data 2012.05.07. 10:51:13

@TH:

Pontatlanul fogalmaztunk, a helyes megfogalmazás az lett volna, hogy kiírja, hogy "lockolta" a számítógépet.

Tehát megjelenít egy üzenetet, ami azt hiteti el, hogy a számítógép le van zárva.

Természetesen ettől be lehet bootolni, el lehet indítani a gépet csökkentett módban, és el lehet végezni a kártevő letakarítását.

TH 2012.05.07. 10:51:54

@G Data: és ahogy a neten néztem, még csökkentett mód sem kell hozzá...

G Data 2012.05.07. 10:54:54

@TH:

Valóban nem, de érdemes ilyenkor megfontolni a csökkentett mód használatát. :)

LiberAll 2012.05.07. 11:16:03

@TH: Gondolat olvasó vagy, azt teszem, csak nem vírusirtó cégtől van :P

TH 2012.05.07. 11:17:14

@LiberAll: mert a vírusirtó cégek ingyenes termékei túl jók?

TH 2012.05.07. 11:18:57

@LiberAll: @Metálszív: és egyébként nem, továbbra sem valószínű, hogy a vírusirtó cégek foglalkoznának vírusok írásával, van arra elég ember a világon.

Celtic 2012.05.07. 19:38:04

@Trompf: Ez nem igy van. A virus azert virus, mert csak egy porgramkod (mint a DNS), aminek "gazdatest"-re van szuksege. Az utobbi evtizedben mar messze nem a karokozas az elsodleges szempont, hanem a haszonszerzes. Nem biztos, hoyg a virus irojanak, lehet, hogy az orosz maffiat "tamogatod" vele...

Ez inkabb a fereg/trojai kategoria.

Kistaska 2012.08.22. 23:00:37

nekem sikerült belefutnom... rengeteg adatom bánja.. és el is hittem. bár fizetni nem fizettem hanem abban a pillanatban újratelepítettem a gépet. valóban nem volt fent vírusírtóm.
www3.picturepush.com/photo/a/9038236/img/9038236.png

G Data 2012.08.23. 08:13:41

@Kistaska: Nagyon sajnáljuk! Tudjuk, hogy a vírusirtócégtől köznapian hangzik, hogy vírusirtó márpedig kell, de hát tényleg. Egyszerűen nem éri a kockázat.

Köszönjük, hogy megosztottad ezt a képet! Megosztjuk másokkal is a Facebookon, hogy okuljanak belőle.

Kistaska 2012.08.27. 00:56:37

amíg nem olvastam ezt a cikket egész nap ha meghallottam egy elhaladó autót egyből az ablakra ragadtam :) bár fura is lett volna hogy hagyna a rendőrség időt az adattörlésre nem pedig egyből házhoz jönnek lefoglalni mindent. na mindegy 1.5Tb adatvesztés volt csupán :) Vesszenek a vírusok!! forradalom :)

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (35) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (20) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (33) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő