Windows-frissítési hibarésen át kúszik be a legújabb zsarolóvírus

2019. július 8. hétfő, 09:30 • Kiss Franciska
A Sodin névre keresztelt Kaspersky Lab által azonosított zsarolóvírus láthatatlanul férkőzik be a számítógépbe, és képes magát úgy működésbe hozni, hogy sem a vírusirtó, sem a tűzfal, sem a felhaszbáló nem veszi észre.

Twitter megosztás
Cikk nyomtatása

Kaspersky Lab által frissen detektált Sodin ransomware sikerének több összetevője is van, de az elsőszámú faktor abban rejlik, hogy a felhasználó interakció nélkül is fertőzhet vele, hiszen észre sem veszi a kártékony vírust a saját eszközén.

Ezutóbbi igen ritka és mondhatni egyedi megoldás, ahogy a terjesztési módszerhez is okos alternatívát választottak. A Sodin terjesztése RaaS (Ransomware as a Service) által zajlik, azaz a ransomware működésében fellelhető kiskaput használja, ahova beférkőzve dekódolhatóvá válnak a fájlok, egy másik program megnyitásakor. Mindebből a felhasználó, terjesztő semmit sem észlel.

A legtöbb támadást eddig Ázsiában jelezték, amit Hongkong és Dél-Korea követ sorrendben. Ugyanakkor már Észak-Amerika és Európa térségeiből is érkeztek a Sodinhoz köthető támadások, amiből a zsarolóvírus terjedésére lehet következtetni.

A vírus észlelését az is nehezíti, hogy „alkalmazza az úgynevezett "mennyország kapuja" (Heaven's Gate) technikát. A 2000-es évek közepétől alkalmazott technikának az a lényege, hogy a 64 bites rendszeren lehet futtatni 32 bites futási folyamatban 64 bites kódot is, amit a rendszer 32 bitesként azonosít. Itt is ez történik, a rosszindulatú program 32 bites futtatási folyamatban futtat egy 64 bites kódot, amivel hatékonyabban képes elrejteni magát. A felismerését az nehezíti, hogy nem minden hibakereső (kódvizsgáló) program támogatja ezt a technikát, így nem is ismeri fel, hogy kártevő kód indult el” – írja a bitport.hu.

S mi a „szabadság ára”? A Sodin 2500 dollárnak megfelelő bitcoinban határozta meg azt, ugyanis ennyit kér a pórul járt felhasználóktól.