DLL fixernek álcázza magát a Cyrat zsarolóvírus

A CYRAT zsarolóvírus szokatlan, szimmetrikus titkosítási módszert használ, Python alapú és a .CYRAT kiterjesztést teszi a titkosított fájlok mögé. Karsten Hahn, a G DATA szakértőjének elemzése.

A Virustotal portálon első alkalommal augusztus 25-én jelentették a szokatlan, Fernet titkosítást használó zsarolóvírust. A mélyebb elemzés azt mutatja, hogy a vírust a Python 3,7-es programozási nyelvben írták, a PyInstaller segítségével konvertálták Windows PE fájllá. A G DATA szakértőjéhez eljutott vírusminta nem tudott lefutni, hibás volt.

A zsarolóvírusban az is érdekes, hogy DLL Fixer 2.5-ös alkalmazásnak álcázza magát. Amikor először futtatjuk az zsarolóvírust, akkor azt jelzi ki, hogy egy véletlen számú DLL fájlt talált a rendszerben, melyet érdemes megjavítani. Amiután a teljes rendszert titkosította a vírus, megjelenít egy üzenetet, hogy sikeresen megjavította a DLL fájlokat.

Szokatlan titkosítás

Mint már említettük, a Cyrat zsarolóvírus Fernet szimmetrikus titkosítási módszert használ a fájlok titkosítására. Ez a titkosítási módszer az olyan kis fájlok titkosítására alkalmas, melyek még a RAM-ban is beférnek. Azonban ez a zsarolóvírus minden fájlt titkosít, méretétől függetlenül, viszont a Fernet a nagy állományok RAM-ban történő titkosítására nem alkalmas.

A titkosításhoz egy nyilvánosan elérhető RSA kulcsot használ a zsarolóvírus, melyet az internetről tölt le. A titkosított Fernet kulcsot a Desktop\EMAIL_US.txt állományba menti el a vírus. A fertőzött rendszerek felhasználóitól azt kéri a vírus programozója, hogy ezt az állományt csatolmányban küldjék el neki.

A titkosítandó fájlokat a Desktop, Donwloads, Pictures, Music, Videos és Documents mappákban keresi. A váltságdíjat kérő üzenetet minden célmappában elhelyezi a támadó. A vírus továbbá egy stockfotót is letölt az internetről és a felhasználó aktuális háttérképét lecseréli (lásd kiemelt képünket a cikk címe alatt). Ez a háttérkép nem tartalmaz egyetlen zsaroló üzenete sem, célja a felhasználó figyelmét felhívni a fertőzésre.

Ahhoz, hogy ne lehessen könnyen megszabadulni tőle, a vírus az autostart mappában is bemásolja önmagát. (\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)

Kidolgozatlan a kód

Érdekes, hogy ha a rendszert újraindítjuk, és a zsarolóvírus újból fut, akkor az nagy valószínűséggel a váltságdíjat kérő üzeneteket is titkosítja, hiszen a kódot elemző G DATA-s szakértő a programozásban nem talált olyan kivételt, amely ezeket az üzeneteket kiveszi a titkosítandó fájlok közül. Ez arra utal, hogy a kódot nem gondolta át alaposan a programozó, kidolgozatlan. 

Az alex27 névre hallgató Twitteres felhasználó tesztelte a zsarolóvírus programozóját, felvette vele a kapcsolatot a megadott emailen. A támadó válaszolt, ami azt jelenti, hogy aktív vírusról van szó. A támadó 1000 dolláros váltságdíjat kért. Az angol nyelvű válasz azonban hemzseg a helyesírási hibáktól, így nagy valószínűséggel nem angol anyanyelvű támadó van a háttérben.

A G DATA szakértője által megvizsgált vírus minta hibás volt nem tudta megfertőzni a rendszert, azonban támadóval folytatott levelezésből az derült ki, hogy a zsarolóvírusnak létezik stabil és működő variánsa. A Fernet titkosítási módszer a zsarolóvírus gyenge pontja, hiszen az óriási állományok RAM-ban történő titkosítása igencsak megterheli a teljes rendszert. Viszont ha egyszer titkosította az adatokat, akkor kulcs nélkül nincs lehetőség azok visszaszerzésére.

A cikkhez a lap alján tud hozzászólni, és mások hozzászólásait is ott olvashatja.

Ha tetszett a cikk:


Ne felejtsen el feliratkozni hírlevelünkre:

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük