Szerző: Habók Lilla

2016. október 27. 14:59

Echte magyar zsarolóvírus jelent meg az interneten

Olyan zsarolóvírust fedezett fel az Avast, amelyet feltehetően magyar fejlesztő készített magyar áldozatok számára. A ransomware hasonlít a régebb óta ismert Locky vírusra, ezért a kutatók Hucky-nak nevezték el, de több különbség is felfedezhető a kettő között a nyelvhasználatban, a programozási nyelvben és a zsarolás tartalmában.

Megjelent egy magyar fejlesztésű zsarolóvírus az interneten a régebb óta ismert Locky mintájára, ezért a "Hucky" azaz Hungarian Locky nevet kapta. A vírust az Avast kutatói fedezték fel, akik folyamatosan figyelik az ismert rosszindulatú számítógépes programok mellett megjelenő egyéb rendellenes kódokat és vírustörzseket, így kaptak figyelmeztetést a Hucky létezéséről is.

Ez a vírustípus úgy működik, hogy titkosítja a felhasználó számítógépén lévő fájlokat, és a ".locky" kiterjesztést fűzi a nevük mögé. A kutatók először a Locky vírusra gyanakodtak, de az már a ".shit" vagy a ".thor" kiterjesztést használja, ráadásul a korábbi vírus más speciális azonosítói sem jelennek meg benne, úgyhogy tovább vizsgálták a mintát. Egy virtuális gépen biztonságos környezetben lefuttatták a vírust az Avast kutatói, majd egy háttér jelent meg a monitoron a követelés szövegével, és ugyanez a szöveg a Notepaden is.

"Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal. (...) A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra." - írja a magyar nyelvű üzenet, majd megadja a felhasználó azonosító kódját, és hogy ezt a Mail2Tor email címre kell elküldenie a visszatitkosító program megszerzéséhez. Eközben a vírus titkosítja a fájlokat és hozzáfűzi a ".locky" kiterjesztést.

A Hucky vírus üzenete a magyar nyelvet értő felhasználóknak készült

Maga az eljárás, a megjelenő ablakok és még a betűtípus is nagyon hasonlít a Locky-ra, és "felületesen" szemlélve mindkettő a véletlenszerűen generált AES kulcsot használja a titkosításhoz, amelyet RSA kulcssal titkosít tovább. A Locky a kulcs publikus részét a legtöbb verzióban C&C szerverről tölti le, míg a Hucky-nál ez a vírus kódjában található, és így internet nélkül is elvégzi az adatok titkosítását. Az nyilvánvaló különbség a kettő közt, hogy a Hucky magyarul közli az instrukciókat a felhasználókkal, míg a Locky angolul, de emellett a tartalom is különbözik, az eredeti vírus Bitcoin fizetést igényel, a magyar-változata pedig egy email elküldését kéri. A vírushoz használt programozási nyelv is eltér, a Locky-hoz Microsoft Visual C++ nyelvet használtak a készítők, viszont a Hucky Microsoft VisualBasic alapú.

A Locky vírus az angol nyelvet használja az üzenetben

Elindult a heti kraftie hírlevél!

Rapid IT karrier tippek és trendek szerdánként az inboxodban.

Elindult a heti kraftie hírlevél! Rapid IT karrier tippek és trendek szerdánként az inboxodban.

A root is árulkodik arról a nyelvhasználaton kívül, hogy a vírust magyarok készítették, mivel a műveletek végrehajtásához használt kifejezések is jellegzetesen magyarok, ilyen a semmi.exe vagy a turul.exe. További eljárásnevek és változónevek is magyarul jelennek meg, illetve egyik jellegzetes részlet a magyart a "L33t" nyelvvel keveri: "nem szívesen teszem, de a mohóságom nagyobb az ellenérzésemnél..." A PDB debug string pedig azt is elárulja, hogy a szerzőt Daninak hívják, a projekt pedig a "titkoss" nevet kapta.

Mindebből arra lehet következtetni, hogy a zsarolóvírust egy magyar felhasználó főleg magyarok számára készítette. Az Avast kutatói azt javasolják a vírus elkerülésére, hogy a felhasználók ne nyissanak meg gyanús csatolmányokat (például doc, .xls, és .zip fájlokat), tiltsák le a Microsoft Office makrókat és ne engedjék megnyitni a makróknak a furcsa vagy ismeretlen csatolmányokat az emailből, tartsanak másolatot a fontosabb adataikról biztonságos helyen, a rendszert és az alkalmazásokat folyamatosan frissítsék, illetve használjanak antivírus szoftvert a számítógépen és a mobil készülékeken egyaránt.

Mik azok a sötét mintázatok, vagy ahogy az angol nevezi őket, dark patternek? Miért találkozunk egyre többször velük és mit tehetünk, hogy ne kerüljünk a csapdájukba?

a címlapról