← Vissza

news.bsdnet.hu

Pocsék Áruk Fóruma

Antivírus Blog 2026-07-07 17:29
Említés szintjén, érintőlegesen szerepeltek már korábban olyan zsarolóvírus programok, amelyek dilettáns alkotóik vagy véletlen programhiba miatt működésképtelennek bizonyultak . Sajnos ez nem az gyűjtő kategória, aminek örülhetnénk, hiszen itt a károk sajnos jóval nagyobbak, mint a "normál" működő modelleknél . Rendszeres olvasóink még emlékezhetnek pár ilyen extrém esetre, amikor programozási hibák vagy hanyag implementáció miatt a váltságdíj megfizetés dacára sem volt semmi esélye az áldozatoknak az adataik visszanyerésére. Ezek az incidensek rávilágítottak arra, hogy a rendszeres, naprakész, KIPRÓBÁLT külső tárolókra készült mentés kulcsfontosságú. Igaz a doxing megjelenése óta a kiszivárogtatás extra kockázattal tetézte mindezt, de a Colonial Pipeline eset azért szépen megmutatta , hogy néha hiába fizetnek váltságdíjat a dekódoló kulcsért, az lehet annyira lassú, hogy helyette a mentésből való visszaállítás akár jobb opció . A felsorolás első jellegzetes szereplője a 2015-ös Power Worm, ahol egy súlyos programozási hiba következtében a titkosítási folyamat során jóvátehetetlen adatvesztés történt , így még a kért 2 Bitcoin kifizetése után sem volt technikai lehetőség a fájlok helyreállítására. Ráadásul a kártevő elemzésekor a biztonsági kutatók azt észlelték, hogy az eredetileg csak Microsoft Word és Excel állományokat veszélyeztető kártevő hibás titkosító algoritmusa miatt számtalan más fájlkiterjesztést is elkódolt ugyancsak a helyreállítás esélye nélkül. A 2016-os évjáratból szalasztották az úgynevezett Hidden Tear/RANSOM_CRYPTEAR.B variánsokat, amelyek a GitHubon közzétett kártevő forráskódjára épültek . Az amatőr alkotók változatánál például előfordult, hogy a készítők hibáztak a kódolásnál, aminek következtében a 10 MB-nál nagyobb állományoknál egyáltalán nem működött a helyreállító kulcs. Később, 2017-ben hasonló incidenst okozott a BTCware/Nuclear is, ahol a programozási hiányosságok miatt a nagyobb méretű fájlok visszaállítása sikertelen maradt még érvényes dekódoló kulcs birtokában is. A 2017-es Swift-ben íródott Patcher egy macOS rendszereket támadó trójai egy véletlenszerű 25 karakter hosszú láncot generált, amely kulcsként szolgál a fájlok titkosításához. Ám a kártevő sajnos olyannyira kezdetleges és rosszul megírt volt, hogy hiányzott belőle a távoli vezérlőszerverrel (C&C) való kommunikációs modul. Így a titkosításhoz használt egyedi kulcsot a program sosem küldte el a bűnözőknek, vagyis így még ők maguk sem rendelkeztek a feloldáshoz szükséges kóddal. Tehát a zsarolás során kért összeg esetleges kifizetése után sem kaphattuk vissza az adatainkat. A 2017-es WannaCry/WannaCryptor esetében nem titkosítási hiba volt a fájlokban, hanem a kártevő fizetés-ellenőrző rendszere volt hibás. A támadók nem tudták megbízhatóan azonosítani, hogy melyik áldozat fizetett és melyik nem, így a legtöbb esetben akkor sem küldték el a feloldó kulcsot, ha az összeget az áldozatok átutalták. Ami kézi befizetés ellenőrizgetéssel egy ekkora, világméretű támadásnál kivitelezhetetlen volt, így sokan véglegesen elvesztették az adataikat. Ha valaki arra gondolt, a fentiekből mindenki tanult, és ilyen hibák soha többet nem történnek, csalódnia kell, mert 2024-ben a CosmicBeetle csoport által készített ScRansom nevű kártevőt is ebben a ligában focizik , ugyanis bár maga a visszafejtő itt működik ugyan, ám gyakran több külön visszafejtő kulcsra is szükség van ehhez, amiből ha nem kapjuk meg az összeset, akkor egyes fájlok végleg elveszhetnek. A lassúság itt is megkeseríti az áldozatok életét, mert itt még optimális esetben is a visszafejtés egy extra hosszú és roppant bonyolult folyamat. És amiért ezt a felsorolást elkezdtük, egy friss idei hír. A VECT 2.0 orosz nyelvű kiberbűnözési fórumon terjesztett zsarolóvírus szolgáltatásként kínált kód bár látszatra ransomware és váltságdíjat követel, valójában a benne lévő programozási hibák miatt gyakorlatilag egy wiper (adattörlő) hatású program . A kártevő ugyanis a 128 KB-nál kisebb fájlokat érintetlenül hagyja, ám minden olyan fájlt, amely nagyobb 128 KB-nál, véglegesen megsemmisít vagy véletlenszerű adatokkal ír felül ahelyett, hogy titkosítaná azokat. A program gyakorlatilag szétbarmolja a fájlok szerkezetét, ahol a fájlméret esetleg megmarad, de a tartalom visszaállíthatatlanul megsemmisül, így a fájlok megnyithatatlanná és használhatatlanná válnak . A váltságdíj megfizetése után sem kaphatók vissza az állományok, hiszen a bűnözők nem rendelkeznek feloldó kulccsal, a visszaállítás technikai esélye nulla.
Eredeti cikk megtekintése →