Legfrissebb bejegyzések

A Web a Lét?

7 November, 2024 by Mentor IT Lovag

MEGHÍVÓ...

"MI" és a technika

31 October, 2024 by Mentor IT Lovag

  Civil Vezetők Klubja Az előadás...

A Jr. IT Lovagok bemutatkoznak
A Jr. IT Lovagok bemutatkoznak

25 June, 2024 by Mentor IT Lovag

 

További bejegyzések →

HTML block #1

You can change this block in admin panel. Remember, if you change template, this block will be lost. We advise you to clone this block.

Ne lorem percipit efficiantur mei, ius ut simul vidisse. An vel probatus explicari appellantur. Has et comprehensam interpretaris, quo no inimicus maluisset temporibus. Ea mea quod.

Eseménynaptárunk:

Lejárt / Zárt Esemény
Teljes eseménylista erre a napra

Kémprogram-eltávolítónak álcázza magát a zsarolóvírus

Posted on 26 April, 2019 by Mentor IT Lovag

 

Spyhunter kémprogram eltávolító

Jól hangzik, hogy egy teljes értékű kémprogram-eltávolítót letölthetsz egy torrent oldalról ingyen? Most mutatunk egy példát arra, hogy ez veszélyes is lehet. A G DATA szakértői egy új zsarolóvírus változatot elemeztek, mely az Enigma SpyHunter 5 kémprogram-eltávolító megoldásnak álcázza magát.

Eddig is megszokott volt, hogy egy kártevő valami más programnak álcázza magát. Ez a zsarolóvírus azonban egy lépéssel tovább megy. Egy valóban létező kémprogram-eltávolító logóját használja, a fájl neve is SpyHunter5.exe, de a fájl tulajdonságaival is arra céloz, hogy ő tulajdonképpen a SpyHunter megoldás.

Mindeközben a zsarolóvírus üzenete vicces marketingszövegnek van beállítva: úgy tesz, mintha a SpyHunter titkosította volna a fájlokat, és a titkosítás megszüntetését garantálja. Egész konkrétan azt írja, hogy „hivatásunk a vírusok készítése és eltávolítása”.

spyhunter_note

Kamu hivatás ide vagy oda, ez a zsarolóvírus azonban a GarrantyDecrypt családhoz tartozik, melynek első változatait még 2018 októberében észlelték a szabadban. Az szokatlan, hogy a GarrantyDecrypt válogatás nélkül, az összes talált fájlt titkosítja, nemcsak a szokásos fotókat és dokumentumokat. A titkosított fájlok végére a .spyhunter végződést biggyeszti, a zsaroló levelet a $HOWDECRYPT$.txt nevű állományba helyezi el.

spyhunter_encryptedfolder

A G DATA laborjának elemzése szerint a kártevő nem túl szofisztikált, hiszen például a használt titkosítás nem túl bonyolult, egyes fájlokat vissza lehet nyerni. Ahhoz, hogy gyorsan dolgozzon, csupán az első 0x 2800 byte-ot titkosítja. Kollégáinknak sikerült pár fájt visszanyerniük hagyományos fájl visszaállító programok segítségével, a siker az adott fájl formátumától függ.

A zsarolóvírus szerzőjének eredetére utal az a beállítása, hogy az orosz, ukrán, kazah, fehérorosz vagy tatár nyelvű operációs rendszereket békén hagyja.

spyhunter_LangExclusions

No tags added.