Tovább terjednek a zsarolóvírusokat telepítő trójai programok
Support csalásokkal verik át a felhasználókat az internetes bűnözők
2016. augusztus 24.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. Az ESET júliusi listájának új szereplője a Defo, amely az általános észlelési gyűjtőneve az MS-DOS platformon futó kártékony programkódoknak. Az elsősorban zsarolóprogramokat telepítő JS/Danger.ScriptAttachment trójai program terjedési aránya közel duplájára emelkedett az előző havi adatokhoz képest.
Harmadik hónapja őrzi első helyét a JS/Danger.ScriptAttachment trójai, amely igen nagy előfordulási arányt produkált júliusban. A JS/Danger.ScriptAttachment trójai egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsarolóvírusok, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek. A listában szereplő 11.68%-os terjedési arány egészen elképesztő, utoljára talán a Conficker féregnek sikerült ezt elérnie.
Megtartotta második helyét a Win32/Bundpil féreg, amely külső adathordozókon terjedve komoly károkozásra is képes, hiszen a meghajtóinkról a futtatható, és a biztonsági mentéseket tartalmazó állományokat is törölheti. A különféle kártevők ezzel a zsarolóvírusok kezére játszanak, mivel a helyben tárolt mentési állományok törlése a megsérült, kódolt állományaink egyszerűen visszaállítását akadályozza meg.
A júliusi víruslista új szereplője a kilencedik helyezett Defo, amely éppen csak megelőzi az Autorun vírust. A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.
Hamis technikai segítséggel verik át a felhasználókat
Az ESET Radar Report új kiadása ezúttal az olyan technikai segítségnyújtáshoz köthető csalásokkal foglalkozik, mint például a Microsoft nevében elkövetett átverések. A jelenség egyre nagyobb méreteket ölt, és elsősorban a gyanútlan, számítógéphez nem értő réteget célozza meg. Az átverés lényege, hogy a gyanútlan áldozat kap egy kéretlen e-mailt vagy egy nemzetközi, illetve rejtett számról érkező telefonhívást - a bűnözők sokszor olyan ismert cégek, mint a Microsoft nevében jelentkeznek -, melyben nem létező technikai hibára figyelmeztetik, majd borsos számlát nyújtanak be a "segítségért". Gyakori forgatókönyv, hogy a "távsegítség" során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a tapasztalatlan felhasználót, aki ilyenkor vírust, illetve kémprogramot telepít fel saját magának, amin keresztül aztán ellopják személyes adatait. Úgy tűnik, hiába jelent és jelenik meg számos figyelmeztetés, cikk, blogposzt, és összefoglaló a jelenségről, sajnos még mindig sok gyanútlan és hiszékeny felhasználó esik áldozatul az ilyen típusú csalásoknak.
A védekezéshez óvatosnak és biztonságtudatosnak kell lennünk, mindig gondoljuk át a helyzetet, mielőtt bármire is kattintanánk. Legyen mindenhol egyedi és erős jelszavunk, amit rendszeresen változtatunk, ahol lehetőség van rá, ott használjuk a kétfaktoros azonosítási lehetőséget a belépésekhez. Az esetleges számítógépes hibák, rendellenességek javítása olyan kiemelten bizalmi kérdés, amire az ember nem kéretlen ismeretlenek, hanem kizárólag megbízható szakember, vagy leinformálható szerviz segítségét kéri. A váratlan telefonhívások esetén mindig ellenőrizzük le a hívót, illetve ha nincs semmilyen technikai problémánk, ne dőljünk be az ilyen csalási kísérleteknek.
Blogmustra
Az antivirus blog júliusi fontosabb blogposztjai között először arról írtunk, hogy újabb állomásukhoz érkeztek a zsaroló programok. Ezúttal a Microsoft Office 365 felhasználók kerülhettek bajba, ha bedőltek a kéretlen levelekben érkező átverésnek.
Felmerült az a kérdés is, hogy vajon melyik az a korcsoport, amely az egyik leginkább veszélyeztetett az identity theft, azaz személyiséglopás által? Az Egyesült Királyságban a 30 év alattiak például nagyon jó célpontnak számítanak, a hackerek szívesen támadják őket. A kutatás adatai szerint, a 18-24 éves korosztály hajlamos a legkevésbé biztonsági szoftvereket telepíteni a mobileszközök védelmére, és mindössze 57% gondolkodik valamilyen szinten online adatainak biztonságáról, míg ez az arány a felnőtt lakosság körében 73%.
Beszámoltunk arról, hogy az ESET már több alkalommal detektálta és elemezte azt az SBDH névre hallgató eszközkészletet, amely célzott kiberkémkedésekben kapott szerepet. Egy érdekes rejtőzködési technika révén a károkozó fájlokat szivárogtatott ki kelet-közép-európai (cseh, szlovák, lengyel, magyar és ukrán) kormányzati, illetve állami intézmények rendszereiből.
Egy másik posztunkban emlékeztünk meg a magyar áldozatot is követelő müncheni terrortámadásról. Mint az utóbb kiderült, az ámokfutó egy lány feltört Facebook profilja mögé bújva igyekezett az interneten "megismert" fiatalokat a közeli McDonald’s éttermébe csalogatni, ahol lövöldözni kezdett.
Végül pedig arra hívtuk fel a figyelmet, hogy az ESET 8 újabb hamis alkalmazást fedezett fel a Google Play áruházban, amelyek a közösségi felületeken (a legtöbb esetben Instagramon és Snapchaten) található követők számának megnövelését ígérték.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. júliusban a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.48%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. JS/Danger.ScriptAttachment trójai
Elterjedtsége a júliusi fertőzések között: 11.68%
Működés: A JS/Danger.ScriptAttachment egy olyan kártékony JavaScript fájl, amely fertőzött e-mailek mellékletében terjed, és futása során képes a megtámadott számítógépre további kártékony kódokat letölteni. Ezek elsősorban zsaroló kártevők, amelyek észrevétlenül elkódolják a felhasználó állományait, majd a titkosítás feloldásáért cserébe váltságdíjat követelnek.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/323025
02. Win32/Bundpil féreg
Elterjedtsége a júliusi fertőzések között: 3.93%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
03. Win32/Agent.XWT trójai
Elterjedtsége a júliusi fertőzések között: 2.32%
Működés: A Win32/Agent egy gyűjtőneve az olyan kártevőknek, amelyek hátsó ajtót nyitnak a megtámadott rendszeren, és ezen keresztül különböző rosszindulatú funkciókat valósítanak meg. Jellemző például, hogy a háttérben további kártékony állományokat kísérelnek meg letölteni és a megtámadott rendszeren lefuttatni.
Bővebb információ: http://www.virusradar.com/en/Win32_Agent.XWT/description
04. HTML/Refresh trójai
Elterjedtsége a júliusi fertőzések között: 1.71%
Működés: A HTML/Refresh egy olyan trójai család, amelyik észrevétlenül átirányítja a felhasználó böngészőjét különféle rosszindulatú web címekre. A kártevő jellemzően a manipulált weboldalak HTML kódjába beágyazva található.
Bővebb információ: http://www.virusradar.com/en/HTML_Refresh/detail
05. JS/Adware.Agent.L adware
Elterjedtsége a júliusi fertőzések között: 1.67%
Működés: A JS/Adware.Agent.L adware egy olyan alkalmazás, amely kéretlenül különféle reklámokat jelenít meg a felhasználó képernyőjén. Maga az adware más, kártékony program részeként érkezik a számítógépünkre.
Bővebb információ: http://virusradar.com/en/JS_Adware.Agent.L/description
06. HTML/ScrInject trójai
Elterjedtsége a júliusi fertőzések között: 1.65%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:windowsblank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
07. Win32/Ramnit vírus
Elterjedtsége a júliusi fertőzések között: 1.20%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en
08. Win32/Sality vírus
Elterjedtsége a júliusi fertőzések között: 1.18%
Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.
Bővebb információ: http://www.virusradar.com/Win32_Sality.NAR/description
09. Defo vírus
Elterjedtsége a júliusi fertőzések között: 1.12%
Működés: A Defo az általános észlelési gyűjtőneve azoknak a kártékony programkódoknak, amelyek az MS-DOS platformon futó vírusokat jelölik.
Bővebb információ: http://virusradar.com/en/Defo/detail
10. INF/Autorun vírus
Elterjedtsége a júliusi fertőzések között: 1.02%
Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21autorun
Kapcsolódó cikkek
- Vállalati felhasználóknak ingyenes szoftver zsarolóprogramok ellen
- Ingyenes zsarolóprogram-ellenes eszköz vállalatoknak a Kaspersky Lab-től
- Melyik vírusirtó lassítja a gépet?
- Rio 2016: Hogyan védjük meg magunkat az Olimpiához kapcsolódó átverésektől?
- Cisco évközi kiberbiztonsági jelentés: egyre fejlettebb zsarolóvírusok és növekvő szerveroldali támadások
- Hasznos védelmi tanácsok az online világhoz
- Biztonságtudatosság a kibertérben is: a müncheni merénylet tanulságai
- Hamis adatlopásokkal zsarolnak a kiberbűnözők
- Alattomosan támad a vírustoplista zöldfülű károkozója
- Hamis játékalkalmazások a Pokemon Go őrülettel kapcsolatban