A Panda Security cikke szerint a zsaroló vírus nagy szolgáltatók nevében küld ki hamis számlákat, amelyek révén a ransomware-ek egy új, agresszív variánsa – miután megfertőzte a rendszert – váltságdíjat követel az ellopott információk visszaszolgáltatásáért cserébe.

A Panda szerint a közelmúltban Spanyolországban az Endesa áramszolgáltató, Lengyelországban pedig a PGE nevével terjed az átverés, de a cég szerint a következő napokban akár Magyarországot is elérheti a fertőzés. Nem tudom, hogy ugyanerről a vírusról van-e szó, de a családban a múlt héten volt egy hasonló próbálkozás: az a levél egy több százezer forintos közműtartozásról adott hírt. Mi kattintás nélkül töröltük.

A Panda szerint az átverés a következőképpen néz ki: a levélbe egy számlát csatolnak, amelynek ha rákattintunk a “Tekintse meg fogyasztását és töltse le számláját” feliratú gombjára, a tömörített ZIP fájlban található ransomware működésbe lép, és egy rosszindulatú Java script kód fut le a rendszeren.

“Ezután azt kérik, gépeljük be az ellenőrző kódot a becsomagolt fájl tartalmának hozzáféréséhez. Ezzel a felhasználóban a biztonság érzetét keltik, de valójában a védelmet már egy igen erőteljes ransomeware irányítja. Ha egyszer a rosszindulatú program elindul, nem enged hozzáférést a felhasználó saját fájljaihoz” – adja hírül a Panda. (via)

Update | Időközben megkerestem a Pandát a fejlemények ügyében, és Bardócz Gyulától gyors válaszokat kaptam. Azt a levél ismerete nélkül nem tudta elmondani, hogy az általunk törölt e-mail már ennek a zsaroló vírusnak a magyar változata volt-e, de “tekintettel arra, hogy ez egy nagyon új terjesztési mód, és kelet-európai ország is érintett már (Lengyelország), nagy az esély rá, hogy hamarosan a magyarországi felhasználók is érintettek lesznek (ha még nem azok)”.

Kíváncsi voltam arra is, mi történik azokkal, akik fizetnek a zsarolóknak. Bardócz szerint a Locky esetében – ahogy az egyéb zsaroló vírusoknál is – nehéz megmondani, visszakapja-e a felhasználó az adatait a váltságdíj kifizetését követően. Elmondása szerint általában négy eset történhet: 1. A kifizetést követően megkapjuk a visszafejtő kódot, és visszaállíthatók az adatok. 2. A kifizetést követően megkapjuk a visszafejtő kódot, de az adatok csak részben állíthatók vissza. 3. A kifizetést követően sem kapjuk meg a kódot, és nem állíthatók vissza az adatok. 4. Esetleg a hatóságok már lekapcsolták a szervert, és ezért nem tudunk visszafejtő kódot kapni.

Mindenesetre a cég a váltságdíj kifizetését semmi esetre sem javasolja, mert komoly esélye van a visszafertőzésnek – hiszen már egyszer fizettünk. Ezen túl pedig e módon csak támogatjuk a hekkereket, akik ennek az összegnek egy részét „kutatás-fejlesztésre” fordítják, így gyakorlatilag a mi pénzünkből hoznak létre újabb és újabb variánsokat – mutat rá Bardócz.

Fotó: sxc.hu