Vírusírtó Blog

Boldog húsvétot kíván Petya - Az új kártevő a teljes merevlemezt titkosítja

2016.03.27. 10:51 G Data

gdata_virusirto_logo.pngA G DATA vírusszakértői a zsaroló kémprogramok új, még veszélyesebb típusát fedezték fel, amely már nem csupán az egyes fájlokat, hanem a teljes merevlemezt titkosítja.

 

A ma ismert zsarolóprogramok, például a Magyarországon is jelentős pusztítást végző Locky, a CryptoWall és a TeslaCrypt a merevlemezen található dokumentumokat, táblázatokat és képeket egyesével titkosítják. A G DATA szakértői által most felfedezett Petya az első olyan zsarolóprogram, amely a teljes merevlemezt zárolja, méghozzá rendkívül gyorsan.

 

A Petya készítőinek célkeresztjében a cégek állnak. Az e-mailben érkező kártevőt jellemzően a HR osztályoknak küldik, „Jelentkezés állásra” tárggyal. A levél törzse egy Dropbox linket tartalmaz, ahonnan a HR munkatárs letöltheti a munkakereső „portfólióját”.

 

0-a-dropbox-link.jpg

 A linkre kattintva egy végrehajtható .exe fájl kerül letöltésre, melynek neve lefordítva körülbelül „jelentkezés_portfólió-becsomagolt.exe”. A fájl futtatásakor azonban a PC kékhalált hal, azaz összeomlik, majd újraindul. Az újraindulás előtt a Petya manipulálja a merevlemez első szektorát, az úgynevezett Master Boot Recordot (MBR), így a zsarolóprogram átveszi az irányítást a gép felett.

 

A kártevő ilyenkor egy fekete képernyőt jelenít meg, amely megtévesztő módon azt mutatja, mintha a számítógép ellenőrzésre és javításra kerülne. Valójában ez az a pillanat, amikor a Petya zárolja a merevlemezt. Jelenleg a G DATA szakértői azt feltételezik, hogy a fájlok maguk nem kerülnek titkosításra, csak az elérésük blokkolt.

 

petya.gif

 A következő – piros halálfejet mutató – képernyő már világosan jelzi a problémát. Egy billentyű lenyomására pedig megjelenik a TOR böngésző mögé megbújó bűnözők instrukciója is: fel kell keresnünk egy adott weboldalt, ahol meg kell adnunk személyes titkosító kulcsunkat. Az oldalon tájékoztatást kapunk arról, hogy a merevlemezt „katonai szintű titkosítással” zárolták a bűnözők, és megtudhatjuk, hogyan fizethetünk azért, hogy visszakapjuk adatainkat. Az ár minden héten megduplázódik.

 

A Petya zsarolóprogramot a G DATA „Win32.Trojan-Ransom.Petya.A” néven azonosítja, a vírusvédelmi cég már elkészítette a kártevő ellenszerét, és blokkolta a letöltési linkeket.

 

Mivel azonban megjelenhetnek új, jelenleg még ismeretlen változatok is, a G DATA arra figyelmeztet, hogy néhány egyszerű szabályt mindig be kell tartani. Az első ilyen, hogy folyamatosan gondoskodjunk az adatok mentéséről. Fontos emellett, hogy a HR osztály munkatársai figyelmet fordítsanak arra, hogy ne töltsenek le, és ne indítsanak el végrehajtható fájlokat. A hamis életrajz elindítása után a fertőzés már nem akadályozható meg.

 

4csm_petya-ransomsite_8ebf23a247.png

A rendszergazdák számára hasznos információ, hogy amennyiben mégis bekövetkezik a fertőzés, az érintett számítógépeket azonnal kapcsolják le a hálózatról, hogy a kártevő terjedését meggátolják. Jelenleg még nem világos, hogy az adatok visszanyerhetőek-e, a váltságdíj kifizetését azonban a szakértők nem javasolják.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: zsaroló kártevő G data

9 hozzászólás

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr838529214

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Zsidófalvi Zsidó 2016.03.28. 13:35:59

Hát meg oktatás, józan paraszti ész.

Nálam már ott megbukna a dolog, hogy nem küldte be az önéletrajzát, hanem nekem kell utánajárni, hogy letölthessem egy link alapján valahonnan?!? Már ebben a pillanatban kuka lenne. Nem éberségből, hanem lustaságból! (Lusta lennék a vírust futtatni.)

:-)

Merlot 2016.03.28. 14:35:48

A különféle fertőzések, blokkolások oka elsőrendűen az adott user prosztósága.
Ezt használják ki a hekkerek, a számítógépes bűnözők.
Amíg lesznek óvatlan felhasználók, addig virágzanak ezek a sz@rságok...

Phteven 2016.03.28. 19:57:26

Ha a kék halál után lekapcsolják a gépet, akkor szerintem még menthetők a fájlok, mert nem történt meg a titkosítás. Nyilván a hdd ki, másik, szűz gépen az adatok lemásol... Aztán lehet nem így működik.

2016.03.28. 22:40:02

Nem értem.
Ha csak az MBR-t titkosítja, akkor HDD ki, másik gépbe be, és csak vissza kell állítani egy megfelelő programmal.

Azt gondolom, hogy ilyen gyorsan egy 1-2 TB-os merevlemezt LEHETETLEN úgy titkosítani, hogy az teljes egészében visszaállíthatatlan legyen.

Ga viszont ahogy a G-DATA szakértői is gondolják, csak a merevlemez eleje, esetleg néhány random szektor lett titkosítva, akkor sem lehetetlen visszanyerni az adatokat, legfeljebb néhány fájl sérül.

Erre is vannak profi cuccok.
Csak szét kell nézni a legújabb HIREN'S boot cd/dvd programjai között.

Serivor 2016.03.29. 01:53:32

@Látens Inszinuáció: A cikk azt írja, hogy a boot szektorba kerül az a program, ami aztán titkosítja a disket.

Androsz · http://wikipedia.blog.hu/ 2016.03.29. 02:23:17

@Látens Inszinuáció: Ezt nevezem, pár perc alatt meg is fejtetted az egész rejtélyt. A G Data valószínűleg már fogalmazza is a felkérést, hogy legyél a fejlesztési osztályuk vezetője.

Androsz · http://wikipedia.blog.hu/ 2016.03.29. 02:26:31

@Merlot: "A különféle fertőzések, blokkolások oka elsőrendűen az adott user prosztósága."

Vagy a kényszerű megszokása annak, hogy a rendszer időnként összeomlik. Az informatikus olyankor mindig azt mondja, hogy újra kell indítani a rendszert. Prosztóság? Barátom, te valószínűleg mindenhez értesz, ezért hódolattal csodállak.

úgyiselfelejtem 2016.03.29. 08:14:00

@Androsz: Gondolom a prosztósággal arra gondolt, hogy a user letölt egy exe-t, elindítja, és leokéz minden felbukkanó figyelmeztetést olvasás nélkül.

Régebben az ismerősök gépére mindig felraktam tűzfalat, vírusírtót, beállítottam normál usert használatra. Aztán pár hetenként panaszkodtak, hogy furcsa üzenetek jönnek, meg nem tudnak telepíteni. Azóta csak egy vírusírtót kapnak, csesszék szét a gépüket, ahogy akarják.

Persze, egy vállalati rendszergazda (ha van) megpróbálhatja erőltetni a biztonságot, de ha a főnök NAGYON akarja, akkor tehet kivételt.

Androsz · http://wikipedia.blog.hu/ 2016.03.29. 16:59:12

@úgyiselfelejtem: "leokéz minden felbukkanó figyelmeztetést olvasás nélkül."

Az már bizony színigaz. És azt hiszik, hogy a HIPS-et feltevő informatikus direkt szórakozásból teteti fel nekik a rengeteg kérdést a géppel. Nagy kár, hogy a gazemberek és az ostobák tönkretesznek egy ilyen nagyszerű eszközt, mint a számítógép.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása