2016. 04. 18., hétfő, 14:45
Szinte minden héten feltűnik egy új zsarolóvírus, ami titkosítja a megfertőzött gépeken található fájlokat, és váltságdíjat követel a felhasználótól a feloldáshoz szükséges kulcsért. Most a torrentezők szívhatják meg.
A G Data szakértői által analizált Manamecrypt (vagy más népen CryptoHost) is ezek közé a kártevők közé tartozik, de több tekintetben különbözik a társaitól. Az első különbség, hogy az új zsarolóvírus leállíthat bizonyos folyamatokat a számítógépen.
Csakhogy a Manamecrypt nem fertőzött csatolmányokkal vagy a szoftverek sérülékenységein keresztül terjed, hanem klasszikus trójaiként egy legális, széles körben használt szoftverbe, a népszerű µTorrent kliensbe rejtve fertőz.
Nem minden verzió fertőzött
A csomag egy eredeti, működő, megfelelően aláírt µTorrent klienst tartalmaz; a bűnözők emellé rejtették a kártevőt. A G Data korábbi felmérései szerint Magyarországon 2 millió internetező torrentezik, a legnépszerűbb kliens pedig éppen a µTorrent. Az viszont jó hír, hogy a szakértők szerint a Manamecrypt mostani verziói feltörhetők, így a titkosított fájlok visszafejthetők.
Fontos: a fertőzés nem minden µTorrent verziót érint. A Manamecrypttel összecsomagolt változatot különböző letöltési oldalakon és torrenthálózatokon keresztül terjesztik a bűnözők.
Érdekesség, hogy egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen. Az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza.
A Win32.Application.OpenCandy.G keretrendszer egy potenciálisan kéretlen program, úgynevezett PUP. Az OpenCandy jellemzően más legális ingyenes programokkal terjed, például PDF olvasókkal, tömörítő szoftverekkel, médialejátszókkal és más alkalmazásokkal, a fejlesztője pedig a kaliforniai SweetLabs.
A gépre telepítve a PUP megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután kéretlen weboldalakra irányítja, ahol felugró reklámok jelennek meg: ezek terjesztésével jutnak bevételhez a bűnözők.
A Manamecrypt működésében is különbözik más zsaroló kártevőktől. A titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli.
Mire hat, hogy riaszt, mit támad? |
A kártevő az alábbi fájltípusokat titkosítja:*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf *.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip Az érintett telepítőcsomagok hash értékei: Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3 G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13 µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6 G Data vírusriasztás neve: Win32.Application.OpenCandy.G Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9 G Data vírusriasztás neve: Trojan.GenericKD.3048538 . |
Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken. Azonnal leállítja például a vírusanalízisre használt szoftvereket, illetve minden olyan folyamatot, aminek a nevében a következő kifejezések bármelyike megtalálható: ad-aware, antivirus, avg, avira, bitdefender, bullguard, comodo, debugger, dr.web, eset, f-secure, internet security, kaspersky, mcafee, norton, registry editor, sophos, system restore, task manager, trend micro, vipre.
