Jump to content

Már saját zsarolóvírusunk is van

2017. 01. 31. 09:32

Egy új, méghozzá magyar fejlesztésű zsarolóvírust fedezett fel a napokban az Avast Threat Labs, a népszerű antivírusgyártó kutatórészlege. A kártevő neve Hucky, ami arra utal, hogy a világszerte népszerű Locky inspirált. Az angol nevét is innen kapta: ez a magyar Locky.

A Hucky a szokott módon titkosítja a megfertőzött gépeken található fájlokat, hogy váltságdíjat kérhessen a feloldásukért. A titkosítás után .locky fájlkiterjesztést biggyeszt a nevük után, ami első ránézésre magára a Lockyra utalna, de az már nem ezt a kiterjesztést használja (hanem azokat, hogy .shit és .thor), ami szintén mutatja, hogy csak egy utánzatról lehet szó.

Mivel más jellemzőiben is eltér a jól ismert kártevőtől, a kutatók alaposabban is megpiszkálták. Az elfogott mintát virtuális gépen futtatták, hogy kedvére garázdálkodhasson a biztonságos környezetben, aztán megnézték, mire jutott. A kártevő erre a szöveges képre cseréli le a megfertőzött gép háttérképét:

A magyar szövegben ugyan sok hiba van, de ezek nem annyira automata fordításra utaló nyelvtani hibák, inkább hanyag megfogalmazásról árulkodó helyesírási hibák és egyszerű elírások. Ezen kívül magyar fejlesztőre utal még az is, hogy

  • Több fájlnév is magyar, mint például az utasításokat külön is tartalmazó _Adatok_visszaallitasahoz_utasitasok.txt, vagy maguk a kártevő kódot végrehajtó semmi.exe és turul.exe fájlok.
  • Magában a kódban is magyar kifejezések szerepelnek, egy helyen például az a bűnöző erkölcsi tépelődéséről megkapóan valló félmondat, hogy "nem szívesen teszem, de a mohóságom nagyobb az ellenőrzésemnél".
  • A fejlesztő hagyott nem szándékolt nyomokat is, például a kártevő összerakásához használt számítógépen lévő felhasználói nevét. Eszerint Daninak hívják (disclaimer: nem én voltam), bár ezt a kód egy későbbi verziójában már el is rejtette. A projekt neve pedig a szintén árulkodó "titkoss".

Nem ritka, hogy a kispályás fejlesztők sikeres zsarolóvírusokat utánoznak, mert hasonlóan ahhoz, ahogy egy márkás termék másolatánál az eredeti brand értékéből akarnak hasznot húzni, itt is növelheti a fizetési hajlandóságot egy ismert kártevő megidézése.

Maga a titkosítás módja is hasonló a Lockyéhoz, a fájlokat duplán kódolják, először egy véletlenszerűen generált AES-kulccsal, majd ezt egy RSA-kulcspár nyilvános felével. A különbség, hogy a Hucky offline is működik, mert a Lockyval ellentétben nem neten keresztül, egy központi szerverről szerzi be a nyilvános kulcsot, hanem bele van kódolva.

A Hucky nem közveltenül Bitcoinban kéri a váltságdíjat a fájlok visszaállításához, ehelyett az áldozatnak egy Mail2Tor-emailcímre kell elküldeni egy kódot a további teendőkhöz. A magyar kártevő a szokásos fájltípusokon túl videojátékok mentéseit is titkosítja, ami egyébként okos ötlet, hiszen a tulajdonosának általában ez is nagyon fontos adatnak számít.

(Forrás: index.hu)