Szerző: Habók Lilla

2016. október 27. 14:59

Echte magyar zsarolóvírus jelent meg az interneten

Olyan zsarolóvírust fedezett fel az Avast, amelyet feltehetően magyar fejlesztő készített magyar áldozatok számára. A ransomware hasonlít a régebb óta ismert Locky vírusra, ezért a kutatók Hucky-nak nevezték el, de több különbség is felfedezhető a kettő között a nyelvhasználatban, a programozási nyelvben és a zsarolás tartalmában.

Megjelent egy magyar fejlesztésű zsarolóvírus az interneten a régebb óta ismert Locky mintájára, ezért a "Hucky" azaz Hungarian Locky nevet kapta. A vírust az Avast kutatói fedezték fel, akik folyamatosan figyelik az ismert rosszindulatú számítógépes programok mellett megjelenő egyéb rendellenes kódokat és vírustörzseket, így kaptak figyelmeztetést a Hucky létezéséről is.

Ez a vírustípus úgy működik, hogy titkosítja a felhasználó számítógépén lévő fájlokat, és a ".locky" kiterjesztést fűzi a nevük mögé. A kutatók először a Locky vírusra gyanakodtak, de az már a ".shit" vagy a ".thor" kiterjesztést használja, ráadásul a korábbi vírus más speciális azonosítói sem jelennek meg benne, úgyhogy tovább vizsgálták a mintát. Egy virtuális gépen biztonságos környezetben lefuttatták a vírust az Avast kutatói, majd egy háttér jelent meg a monitoron a követelés szövegével, és ugyanez a szöveg a Notepaden is.

"Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal. (...) A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra." - írja a magyar nyelvű üzenet, majd megadja a felhasználó azonosító kódját, és hogy ezt a Mail2Tor email címre kell elküldenie a visszatitkosító program megszerzéséhez. Eközben a vírus titkosítja a fájlokat és hozzáfűzi a ".locky" kiterjesztést.

A Hucky vírus üzenete a magyar nyelvet értő felhasználóknak készült

Maga az eljárás, a megjelenő ablakok és még a betűtípus is nagyon hasonlít a Locky-ra, és "felületesen" szemlélve mindkettő a véletlenszerűen generált AES kulcsot használja a titkosításhoz, amelyet RSA kulcssal titkosít tovább. A Locky a kulcs publikus részét a legtöbb verzióban C&C szerverről tölti le, míg a Hucky-nál ez a vírus kódjában található, és így internet nélkül is elvégzi az adatok titkosítását. Az nyilvánvaló különbség a kettő közt, hogy a Hucky magyarul közli az instrukciókat a felhasználókkal, míg a Locky angolul, de emellett a tartalom is különbözik, az eredeti vírus Bitcoin fizetést igényel, a magyar-változata pedig egy email elküldését kéri. A vírushoz használt programozási nyelv is eltér, a Locky-hoz Microsoft Visual C++ nyelvet használtak a készítők, viszont a Hucky Microsoft VisualBasic alapú.

A Locky vírus az angol nyelvet használja az üzenetben

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A root is árulkodik arról a nyelvhasználaton kívül, hogy a vírust magyarok készítették, mivel a műveletek végrehajtásához használt kifejezések is jellegzetesen magyarok, ilyen a semmi.exe vagy a turul.exe. További eljárásnevek és változónevek is magyarul jelennek meg, illetve egyik jellegzetes részlet a magyart a "L33t" nyelvvel keveri: "nem szívesen teszem, de a mohóságom nagyobb az ellenérzésemnél..." A PDB debug string pedig azt is elárulja, hogy a szerzőt Daninak hívják, a projekt pedig a "titkoss" nevet kapta.

Mindebből arra lehet következtetni, hogy a zsarolóvírust egy magyar felhasználó főleg magyarok számára készítette. Az Avast kutatói azt javasolják a vírus elkerülésére, hogy a felhasználók ne nyissanak meg gyanús csatolmányokat (például doc, .xls, és .zip fájlokat), tiltsák le a Microsoft Office makrókat és ne engedjék megnyitni a makróknak a furcsa vagy ismeretlen csatolmányokat az emailből, tartsanak másolatot a fontosabb adataikról biztonságos helyen, a rendszert és az alkalmazásokat folyamatosan frissítsék, illetve használjanak antivírus szoftvert a számítógépen és a mobil készülékeken egyaránt.

a címlapról