Lunnaita vaativa virus palasi verkkoon
Kaspersky Lab kertoo löytäneenä lunnasmaksua vaativasta haitakkeesta uuden version.
Havainnosta kertoo venäläisen tietoturvayhtiön tutkija Vitaly Kamluk yhtiön Analyst's Diary -blogissa. Haittaohjelmaa levittää maailmanlaajuinen saastuneista koneista muodostettu bottikoneverkko, jonka nimeä yhtiö ei turvallisuussyistä halua paljastaa.
Edellisen kerran haittaohjelmasta saatiin havaintoja kesäkuussa, jolloin se salasi kohdetietokoneelta löytämänsä yleisillä toimisto-ohjelmilla laaditut tiedostot. Office-ohjelmista tiedostoihin kuuluivat doc- ja xls-tiedostot ja Acrobat-muotoisista tiedostoista pdf-tiedostot. Kuvatiedostoista haitake valitsi uhreikseen jpg- ja png-muotoiset kuvatiedostot.
Blackmailer-nimen saanut haittaohjelma käytti tuolloin 1024-bittistä rsa-salausta. Nyt kyseessä on Kamlukin mukaan kuitenkin Gpcode-nimisen haittaohjelman uusi muunnos.
Kolumbian yliopiston ja IBM:n tutkijat löysivät ensimmäisen niin sanotun kiristäjähaittaohjelman vuonna 1996. Kymmenen vuotta myöhemmin Trojan.Archiveus-niminen lunnastroijalainen pystyttiin avaamaan, jolloin sen todettiin käyttävän 38 merkkiä pitkää purkuavainta.
Lunnasmaksua ei pidä maksaa
Uusi lunnashaitake jättää tietokoneelle tekstitiedoston, jossa tiedostojen palauttamiseksi vaaditaan kymmenen dollarin lunnassummaa. Tekstin mukaan tiedostojen salaamiseen käytetty salausalgoritmi on tällä kertaa AES-256 eikä salauksen kerrota purkautuvan kokeilemalla eri avaimia automatisoidusti. Maksun suorittamiseksi tiedosto sisältää sähköpostiosoitteen ja pikaviestinosoitteen.
Kasperskyn ohje on jättää lunnassumma maksamatta, koska maksaminen innostaisi viruksen tekijää uusien muunnosten laatimiseen.
