Vírusriasztás 2016.04.hó - Vírus jelent meg a µTorrentben!
2016 április: igazi vírusdömping. Zsarolóvírust rejtenek a népszerű µTorrent kliens egyes verziói. A Manamecrypt nem csupán a fájlokat titkosítja, de egyéb huncutságokra is képes.
A G Data vírusvédelmi cég szakértői ma közölték, hogy az általuk analizált Manamecrypt (vagy más népen CryptoHost) is a zsarolóvírusok közé tartozik, de több tekintetben különbözik a társaitól. Az első különbség, hogy az új kártevő képes arra, hogy leállítsa a számítógépen azokat a folyamatokat, melyek meghatározott mintákat tartalmaznak a nevükben.
Ennél még fontosabb azonban – írják –, hogy a Manamecrypt nem fertőzött e-mail csatolmányokkal vagy a különböző szoftverek sérülékenységein keresztül terjed, hanem klasszikus trójaiként egy legális és széles körben használt szoftverbe, a népszerű µTorrent kliensbe rejtve fertőz. A különleges csomag egy eredeti, működőképes és megfelelően aláírt µTorrent klienst tartalmaz, egy extra kártevővel, melyet a bűnözők mellé rejtettek. A G Data korábbi felmérésének adatai szerint Magyarországon 2 millió internetező torrentezik, a legnépszerűbb kliens pedig éppen a µTorrent. Az egyetlen jó hír, hogy a védelmi cég szakértői szerint a Manamecrypt jelenlegi verziói feltörhetőek, és a titkosított fájlok visszafejthetőek.
Technikai információk
A fertőzés nem minden µTorrent verziót érint, a Manamecrypt zsarolóvírussal összecsomagolt változatot különböző letöltési oldalakon és torrenthálózatokon keresztül terjesztik a bűnözők.
Érdekesség, hogy egy kódolási hiba miatt a torrentkliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen. Ezt az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza.
A Win32.Application.OpenCandy.G keretrendszer egy potenciálisan kéretlen program, úgynevezett PUP. Az OpenCandy jellemzően más legális ingyenes programokkal terjed, például PDF-olvasókkal, tömörítő szoftverekkel, médialejátszókkal és más alkalmazásokkal, a fejlesztője pedig a kaliforniai San Diegó-ban bejegyzett SweetLabs vállalat. A gépre telepítve a PUP megváltoztatja a böngésző kezdőlapját és a keresésre használt keresőmotorokat. A felhasználókat ezután potenciálisan kéretlen weboldalakra irányítja, amelyeken felugró reklámok jelennek meg – ezek terjesztésével jutnak jövedelemhez a bűnözők.
Az érintett telepítőcsomagok hash-értékei:
Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3
G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13
µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6
G Data vírusriasztás neve: Win32.Application.OpenCandy.G
Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9
G Data vírusriasztás neve: Trojan.GenericKD.3048538.
A Manamecrypt működésében is különbözik más zsaroló kártevőktől: a titkosítani kívánt fájlokat egy .RAR állományba másolja, majd ezt jelszóval titkosítja, az eredeti fájlokat pedig törli.
A kártevő az alábbi fájltípusokat titkosítja:
*.3g2 *.3gp *.7z *.asf *.avi *.doc *.docx *.flv *.gif *.jpeg *.jpg *.m4v *.mov *.mp4 *.mpeg *.mpg *.pdf
*.png *.ppd *.pps *.ppt *.pptx *.psd *.qt *.rm *.tiff *.txt *.wmv *.wpd *.wps *.xlr *.xls *.xlsl *.zip
Amellett, hogy titkosítja a fájlokat, a Manamecrypt meghatározott folyamatokat is leállít a megfertőzött gépeken. Így azonnal leállítja például a vírusanalízisre gyakran használt szoftvereket, illetve minden olyan folyamatot, amelynek a nevében a következő kifejezések bármelyike megtalálható: ad-aware, antivirus, avg, avira, bitdefender, bullguard, comodo, debugger, dr.web, eset, f-secure, internet security, kaspersky, mcafee, norton, registry editor, sophos, system restore, task manager, trend micro, vipre.
A fertőzés során a Manamecrypt egy új bejegyzést ad a regisztrációs adatbázishoz az alábbi útvonalon: HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Ez lehetővé teszi, hogy a kártevő minden újraindításkor betöltse magát.
A zsarolóprogram működését a G Data bővebben leírja eredeti blogbejegyzésében, a titkosított fájlok visszaállításához szükséges, de leginkább szakértők számára fontos információkkal együtt.
A váltságdíjat ne fizessük ki! Egyáltalán nem garantált, hogy visszakapjuk az adatainkat, de ha fizetünk, azzal hozzájárulunk a szervezett bűnözés sikeréhez. Az adatainkat állítsuk helyre a külső mentésből, és ha erre szükség van, akkor egy adattörlő szoftver segítségével fertőtlenítsük a merevlemezt, majd telepítsük újra a számítógépet.
Szervizünket megtalálja Szeghalmon a Széchenyi út 26. szám alatt.
Tel: +36-30-266-2707