Általánosságban a zsarolóvírusokról

Beküldte kami911 - 2023. jan. 08. 09:42

Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:

állományok titkosítása,
zsaroló üzenet (ransomnote),
határidő a váltságdíj kifizetésére,
állományok egy részének törlése.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).

Még mindig sok futó Microsoft Exchange érzékeny erre a zero-day sebezhetőségre

Beküldte kami911 - 2023. jan. 08. 09:07

Októberben írtuk hírt arról, hogy Két új Microsoft Exchange zero-day sebezhetőségre derült fény (ProxyNotShell). Miután az első javítása a problémának nem sikerült, November 8-án megjelent frissítés hozott megnyugtató javítást ezzel a hibával és újabb két hibával (CVE-2022-41123, CVE-2022-41080, összefoglaló néven: OWASSRF) kapcsolatban is, mert az első verzió megkerülhető megoldást hozott csak. Ez utóbbi kettő szintén jogosultságemelést tesz lehetővé, amit a Microsoft is mindkét esetben (1, 2) elismert és javított 2022. november 8-án. Összesen 180 ezernél több Microsoft Exchange szerver üzemel publikusan a világban (ebből 100 ezer Európában, 50 ezer Észak-Amerikában), és a mai napig ezekből 62 000 sebezhető (ebből Európából 32 ezer, 18 ezer Észak-Amerikában) - a Shadowserver adatai alapján. Ezek az adatok a CVE-2020-0688, CVE-2021-26855, CVE-2021-27065, CVE-2022-41082 sérülékenység alapján készült, amelyeket mindenképpen sürgősen be kell foltozni, a további nagyobb problémák, például zsarolóvírusos támadások elkerülése végett. Ezeket a sebezhetőségeket többek között a Play zsarolóvírus terjesztésére is felhasználják napjainkban. Emlékeztetőül a a CVE-2022-41082 hibáról ami távoli kódfuttatást (RCE) teszi lehetővé és a CVE-2022-41040 hibáról, ami egy SSRF (Server-Side Request Forgery) sebezhetőség:

Egy nem is annyira új Microsoft Windows sebezhetőség, amit mindenképpen be kell foltozni

Beküldte kami911 - 2022. dec. 24. 10:33

Nem szoktunk beszámolni minden Windows hibáról, mert akkor egy új weboldalt kellene neki nyitnunk. Mivel van, hogy a Linux rendszerek mellett elkerülhetetlen a Windows rendszerek felügyelete is, a kritikusabb hibákat szoktuk jelezni. A Microsoft december 13-án átminősítette az SPNEGO NEGOEX egy eredetileg szeptemberben javított sebezhetőségét, miután egy biztonsági kutató felfedezte, hogy az távoli kódfuttatáshoz vezethet.

Két új Microsoft Exchange zero-day sebezhetőségre derült fény

Beküldte kami911 - 2022. okt. 02. 11:14

A GTSC nevű vietnámi kiberbiztonsági cég két nulladik napi hibát azonosított Micrososft Exchange levelezőszerverekben, amelyeket fenyegetési szereplők támadások során aktívan ki is használnak. A hibákhoz a gyártó még nem adott ki biztonsági frissítést, Exchange adminok számára javasolt a leírásban található megkerülő megoldások alkalmazása.

A Qt VirusTotal Uploader asztali alkalmazás telepítése

Beküldte kimarite - 2018. júl. 22. 23:02

A VirusTotal honlap fájlok vizsgálatára létrehozott online, webes felület. A vizsgálandó fájlokat az oldalra feltöltés után, több vírusvédelmi szoftverrel vizsgálják meg, majd az eredményt láthatóvá teszik.

A feltöltés online lehetősége:
https://www.virustotal.com/#/home/upload

Frissítsd a Windowsod (ha még van), amíg nem késő

Beküldte kami911 - 2017. máj. 15. 20:51

Péntek óta folyamatosan jönnek a híradások egy újabb zsarolóvírusról, amely a Windows egy márciusban befoltozott sérülékenységén keresztül terjed. Az SMB távoli kódfuttatást lehetővé tevő hibáját használja ki a féregszerű terjedésre is képes WannaCry (további elnevezései: WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) kártevő robbanásszerűen ért el a világ minden tájára és ejtett fogságba a windowsos gépek százezreit három nap leforgása alatt. A ramsonware, azaz az adatokat túszul ejtő program 300 dollárnak megfelelő Bitcoinért szabadítható fel, ha hinni lehet a vírust író gazfickóknak.

Új zsarolóvírus tűnt fel

Beküldte Kabika - 2017. jan. 07. 08:23

A KillDisk zsarolóvírus a Windowsok mellett a Linux alapú operációs rendszereket is támadja, a nagyjából 250 ezer dolláros váltságdíjért pedig nem kap a felhasználó semmit.

vírus

Általánosságban a zsarolóvírusokról

Még mindig sok futó Microsoft Exchange érzékeny erre a zero-day sebezhetőségre

Egy nem is annyira új Microsoft Windows sebezhetőség, amit mindenképpen be kell foltozni

Két új Microsoft Exchange zero-day sebezhetőségre derült fény

A Qt VirusTotal Uploader asztali alkalmazás telepítése

Frissítsd a Windowsod (ha még van), amíg nem késő

Új zsarolóvírus tűnt fel

Oldalak

Szavazás

Nevezd meg! – Így add tovább!

Asztali környezetek

Kövess minket

Hivatkozások

Oldalak

Keresés az oldalon

Bejelentkezés

Szavazás