Új zsarolóvírus terjed megállíthatatlanul

A Snatch ransomware csökkentett módban indítja újra a PC-ket, hogy megkerülje a végpontvédelmet, vagyis a biztonsági szoftvereket is kijátszva tud fertőzni.
Szabó Dániel, 2019. december 11. szerda, 10:33
Fotó: Getty Images

Eddig nem látott trükköt vetettek be a Snatch nevű zsarolóvírus készítői. A ransomware a fertőzött gépeket egyszerűen újraindítja csökkentett módban, majd így megkerüli a végpontvédelmet, és észrevétlenül titkosítja az áldozat fájljait - kezdi cikkét a PC World az új kódról, amelyet a legtöbb antivírus így nem is képes megfogni.

A Snatch megoldása az, hogy egy registry-kulcs bevetésével viszont elérték azt is, hogy a vírus telepíthető legyen csökkentett módban is, ami valójában egy hibakeresési funkció lenne eredendően.

Problémát az jelent a vírust is azonosító Sophos Labs szerint, hogy mások is átvehetik ezt a megoldást a zsarolóvírusok gyártásához.

Az otthoni felhasználóknak jó hír, hogy a Snatch alkotói eddig kormányzati intézményeket és vállalkozásokat céloztak. De a jövőben ez könnyen megváltozhat.

Korábban a Kaspersky is a gyártók és ellátási láncok ellen indított zsarolóvírusos támadásokat nevezte meg a jövő legnagyobb iparági problémájának.

HOZZÁSZÓLÁSOK
 

Zsaba, 2019.12.11 19:29

@Mekelekke: 25 éve is gondoltak, még a nagy net korszak előtt is volt ilyen vírus, sőt volt bios vírus is, ami sem a ram-ban sem a hdd-n nincs ott, hanem a szabad helyre írja magát, illetve a boot rekord mellé úgy hogy a partíciós táblán nincs ott ugyebár... a vírusok eleve ilyenek, fantomok, csak így tudnak rejtőzködni és aktiválódni... Itt inkább pont az a baj, hogy annyira ósdi primitív trükk, hogy senki nem gondol rá.. visszatértek a kályhához tulajdonképpen és tényleg az van, hogy sok mamlasz, azt sem tudja mi az hogy csökkentett mód meg nagyjából semmit sem... csak "valamit szüttyög ez az izé" szinten nem ért hozzá... ilyen "felhasználókat" jó rendesen be tudja csapdázni az ilyen ősi megoldás is...
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

Zsaba, 2019.12.11 19:21

Ez a primitív módszer biztos nagyon hatásos dilettáns lúzereknél, nyugdíjas néniknél kisgyerekeknél... aki csak alap expert user szinten ért a számítógéphez legyen az bármilyen, de szerintem ez főleg PC-kre igaz, mert leginkább windows-nál van csökkentett mód restart ugyebár... namost altatott notit nem fog tudni újra indítani ilyen módban, főleg ha jelszóval védett az indításnál, mert azt csökkentett módban is kéri, és amíg nincs beírva, addig nem tudja még csökkentett módban sem átírni... másfelől ha van egy alsó közép vírusvédelem, sőt a windows saját primitív védelme aktív, máris észleli hogy próbálkozik valami beírni a system.dat-ba azaz az regisztrációs adatbázisba, amit az esetek többségében azonnal zárol, illetve következő normál újraindításnál visszaállítja az érintetlen fájlt hiszen arról minden egyes kikapcsolásnál készít egy biztonsági mentést a windows, bármi védelem nélkül is... Jó védelem meg eleve semmi gyanús tevékenységet nem enged, márpedig üzem közben egy váratlan újraindítási kérelem biztosított csökkentett módban (amihez máris át kell írni az indító szekvenciát ugyebár, hogy kiválasztódjon a csökkentett mód, és yes-t is válaszoljon, amit általában hibakeresési mód csinál), ezt a védelem azonnal bejelzi és felfüggeszt minden további műveletet! Tehát amíg oda nem ér a géphez a tulaj, ebben a kérdésben fog állni a Pc, hogy gyanús hibakeresési újraindítás történt, tovább vagy sem..? Ha valaki van olyan hülye hogy erre igent válaszol, az meg is érdemli hogy megszívja, de nem fogja.... mert jó esetben megáll a boot ugyebár és X másodpercig visszaszámol, a csökkentett módban indulás során, ahol lehetőséget ad normál indításra, és az előtt ülő júzer, annyira már csak nem hülye hogy még itt is igent válaszol, azaz kiválasztja a csökkentett módot... Szóval elhiszem hogy mondjuk jemeni és szomáli alsó tagozatos kisdiákok pc-in esetleg beválik ez a primitív "trükk" és ott tényleg van esély hogy profi védelem nincs a gépeken, tehát azokat el tudja fertőzni csak a baj az hogy ott nem igazán van mivel zsarolni, mit zsarolni illetve miért zsarolni... Ahol jó zsarolási lehetőség van, ott ilyen primitív vírusnak nullára konvergál az esélye a sikerre... Node a MÁR FERTŐZÖTT GÉPEN csinálja meg ezt, ahogy elnézem. Tehát már előtte meg kellett történjen a vírus aktiválódása a rendszeren, ezután már olyan jogai vannak (általában SYSTEM jogot lop magának), hogy tudja írni a system.dat-ot simán), azonban IDE EL KELL JUTNIA... Attól hogy a gépre felkerül a vírus, nem aktív azonnal ugyebár, és egy erős közepes védelem (de nem egy évek óta nem frissített adatbázisú ugyebár!!!) ezt simán látja szűri, blokkolja... észre sem veszed... ennyi
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html

Mekelekke, 2019.12.11 12:03

Az a csoda, hogy egy ennyire egyszerű módszerre eddig még senki sem gondolt,
Mondjuk nekem feltűnne, ha munka közben a számítógépem egyszer csak magától újraindulna csökkentett módban... Ilyenkor talán az a legokosabb, ha azonnal áramtalanítjuk a gépet az energia kábel gyors kirántásával (laptop esetében az akkumulátort is ki kell gyorsan venni!), mert akármilyen ügyes is a vírus, energia híján megszakad a file titkosítási folyamat. Persze ha ekkor éppen kávézunk az iroda végében akkor mire visszaérünk a gépünkhöz (40 perc kávézás után ;), addigra a vírus már be is fejezte a munkáját.
Szerencsére minden érzékeny file-ról legalább havonta készül biztonsági másolat egy külső meghajtóra. UGYE????
A hozzászólások csak a Felhasználó véleményét tükrözik. Fórum moderációs elveinket itt olvashatja: https://www.napi.hu/info/adatvedelem.html