Pocsék Áruk Fóruma
Antivírus Blog
2026-07-07 17:29
Említés szintjén, érintőlegesen szerepeltek már korábban olyan zsarolóvírus programok, amelyek dilettáns alkotóik vagy véletlen programhiba miatt működésképtelennek bizonyultak . Sajnos ez nem az gyűjtő kategória, aminek örülhetnénk, hiszen itt a károk sajnos jóval nagyobbak, mint a "normál" működő modelleknél .
Rendszeres olvasóink még emlékezhetnek pár ilyen extrém esetre, amikor programozási hibák vagy hanyag implementáció miatt a váltságdíj megfizetés dacára sem volt semmi esélye az áldozatoknak az adataik visszanyerésére. Ezek az incidensek rávilágítottak arra, hogy a rendszeres, naprakész, KIPRÓBÁLT külső tárolókra készült mentés kulcsfontosságú.
Igaz a doxing megjelenése óta a kiszivárogtatás extra kockázattal tetézte mindezt, de a Colonial Pipeline eset azért szépen megmutatta , hogy néha hiába fizetnek váltságdíjat a dekódoló kulcsért, az lehet annyira lassú, hogy helyette a mentésből való visszaállítás akár jobb opció .
A felsorolás első jellegzetes szereplője a 2015-ös Power Worm, ahol egy súlyos programozási hiba következtében a titkosítási folyamat során jóvátehetetlen adatvesztés történt , így még a kért 2 Bitcoin kifizetése után sem volt technikai lehetőség a fájlok helyreállítására.
Ráadásul a kártevő elemzésekor a biztonsági kutatók azt észlelték, hogy az eredetileg csak Microsoft Word és Excel állományokat veszélyeztető kártevő hibás titkosító algoritmusa miatt számtalan más fájlkiterjesztést is elkódolt ugyancsak a helyreállítás esélye nélkül.
A 2016-os évjáratból szalasztották az úgynevezett Hidden Tear/RANSOM_CRYPTEAR.B variánsokat, amelyek a GitHubon közzétett kártevő forráskódjára épültek . Az amatőr alkotók változatánál például előfordult, hogy a készítők hibáztak a kódolásnál, aminek következtében a 10 MB-nál nagyobb állományoknál egyáltalán nem működött a helyreállító kulcs.
Később, 2017-ben hasonló incidenst okozott a BTCware/Nuclear is, ahol a programozási hiányosságok miatt a nagyobb méretű fájlok visszaállítása sikertelen maradt még érvényes dekódoló kulcs birtokában is.
A 2017-es Swift-ben íródott Patcher egy macOS rendszereket támadó trójai egy véletlenszerű 25 karakter hosszú láncot generált, amely kulcsként szolgál a fájlok titkosításához. Ám a kártevő sajnos olyannyira kezdetleges és rosszul megírt volt, hogy hiányzott belőle a távoli vezérlőszerverrel (C&C) való kommunikációs modul.
Így a titkosításhoz használt egyedi kulcsot a program sosem küldte el a bűnözőknek, vagyis így még ők maguk sem rendelkeztek a feloldáshoz szükséges kóddal. Tehát a zsarolás során kért összeg esetleges kifizetése után sem kaphattuk vissza az adatainkat.
A 2017-es WannaCry/WannaCryptor esetében nem titkosítási hiba volt a fájlokban, hanem a kártevő fizetés-ellenőrző rendszere volt hibás. A támadók nem tudták megbízhatóan azonosítani, hogy melyik áldozat fizetett és melyik nem, így a legtöbb esetben akkor sem küldték el a feloldó kulcsot, ha az összeget az áldozatok átutalták.
Ami kézi befizetés ellenőrizgetéssel egy ekkora, világméretű támadásnál kivitelezhetetlen volt, így sokan véglegesen elvesztették az adataikat.
Ha valaki arra gondolt, a fentiekből mindenki tanult, és ilyen hibák soha többet nem történnek, csalódnia kell, mert 2024-ben a CosmicBeetle csoport által készített ScRansom nevű kártevőt is ebben a ligában focizik , ugyanis bár maga a visszafejtő itt működik ugyan, ám gyakran több külön visszafejtő kulcsra is szükség van ehhez, amiből ha nem kapjuk meg az összeset, akkor egyes fájlok végleg elveszhetnek.
A lassúság itt is megkeseríti az áldozatok életét, mert itt még optimális esetben is a visszafejtés egy extra hosszú és roppant bonyolult folyamat.
És amiért ezt a felsorolást elkezdtük, egy friss idei hír. A VECT 2.0 orosz nyelvű kiberbűnözési fórumon terjesztett zsarolóvírus szolgáltatásként kínált kód bár látszatra ransomware és váltságdíjat követel, valójában a benne lévő programozási hibák miatt gyakorlatilag egy wiper (adattörlő) hatású program . A kártevő ugyanis a 128 KB-nál kisebb fájlokat érintetlenül hagyja, ám minden olyan fájlt, amely nagyobb 128 KB-nál, véglegesen megsemmisít vagy véletlenszerű adatokkal ír felül ahelyett, hogy titkosítaná azokat.
A program gyakorlatilag szétbarmolja a fájlok szerkezetét, ahol a fájlméret esetleg megmarad, de a tartalom visszaállíthatatlanul megsemmisül, így a fájlok megnyithatatlanná és használhatatlanná válnak . A váltságdíj megfizetése után sem kaphatók vissza az állományok, hiszen a bűnözők nem rendelkeznek feloldó kulccsal, a visszaállítás technikai esélye nulla.