Megvannak a nyár toplistás kártevői, melyek zsarolnak, bitcoint bányásznak és tolják az arcunkba a reklámot
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, melyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit. 2018. júniusában a következő 10 károkozó terjedt a legnagyobb számban.
A Top10 listát ezúttal is a JS/CoinMiner trójai vezeti. Ez egy olyan szkript, amely a felhasználó tudta és jóváhagyása nélkül képes a kriptográfiai valuták bányászatára. A kártevő segítségével a támadók észrevétlenül Feathercoin, Litecoin vagy Monero bányászatra használják az áldozat számítógépének erőforrásait, és az érintett felhasználók nagy száma miatt ezzel komoly bevételekre tehetnek szert. A weboldalak megfertőzésével ugyanis egyszerűbben lehet nagy számú felhasználót elérni, mint az áldozatok gépeit egyenként megfertőzni.
Szintén ugyanebben utazik még másik két kártevő, a hatodik helyen szereplő Win32/CoinMiner, illetve a kilencedik helyezett 64 bites Windows rendszereken futó Win64/CoinMiner is.
Ezek a trójai programok ugyancsak képesek a megfertőzött számítógépen a felhasználó tudta nélkül kriptográfiai bányászat végrehajtására. Amiatt, hogy nehezítsék a víruslaborok visszafejtő, elemző munkáját, egyes változatok azt is képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, a kártevő ilyenkor azonnal megszakítja a futását és kilép.
A dobogó második helyén ezúttal az SBM/Exploit.DoublePulsar exploitot találjuk. Az ezen a néven észlelhető kártékony kód képes megfertőzni azokat a sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetőség elleni javítófoltot még nem futtatták le. Ez az a bizonyos sérülékenység, amelyet korábban az NSA-től loptak el, és a későbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertőzésekért volt felelős.
Ismét a listánkra került a HTML/FakeAlert, a nyolcadik helyet tudta megszerezni. Ez egy olyan trójai kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a “távsegítség” során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, akik ekkor vírust, illetve kémprogramot töltenek le és telepítenek fel saját maguknak, amin keresztül aztán ellopják a személyes adataikat.
E hónapban a kéretlen reklámokat megjelenítő adware is számos szereplővel volt jelen, hiszen a harmadik helyezett JS/Adware.Imali, a negyedik pozícióban lévő JS/Adware.Agent.T, illetve a tizedikként felbukkanó Win32/MediaGet adware is kéretlen hirdetések megjelenítésével zavarja meg a böngészésünket.
Felmérés a zsarolóvírusokról
Az ESET Radar Report e havi kiadása ezúttal a zsarolóvírusokkal kapcsolatban készített felmérést idéz, a 2018 Risk: Value Report from NTT Security nevű jelentés ugyanis az ezzel kapcsolatos válaszokat foglalja össze. A 12 országban végzett kutatás eredményei szerint a vállalati döntéshozók 33%-a hajlik arra, hogy ransomware fertőzés esetén kifizesse a követelt váltságdíjat, és a cégek 16%-a nyilatkozott úgy, hogy nem biztos benne, hogy fizetne. Ami viszont reményre adhat okot, hogy a vállatok fele készen áll arra, hogy aktívan befektessen az IT biztonságba.
Közismert, hogy a biztonsági szakma és a hatóságok nem tanácsolják a fizetést, hiszen ezzel a zsaroláson alapuló “üzleti” modellt, magyarán a szervezett bűnözést erősítik, ám a fertőzött vállalatok jelentős része (egyes statisztikák szerint legalább 40%-uk) mégis kifizeti a váltságdíjat.
Miért teszik ezt mégis? Az egyik ok az lehet, hogy a követelt summa kevesebb, mint a teljes helyreállítási költség lenne, illetve olyan esetekben, ahol hiányzik a biztonsági mentés. Komoly érv lehet az üzleti folytonosság is, egyes cégeknél az incidens kezelése miatti leállás olyan hatalmas veszteséget okozna, ami a cég működését, és a dolgozók foglalkoztatottságát alapjaiban veszélyeztetné. A 100%-os nemfizetés talán valóban hatással lehetne a zsarolóvírusok készítőire és terjesztőire, de nagyon valószínű, hogy helyette új utakat és módszereket dolgoznának ki. Mindenesetre a dilemma néhány esetben – például egészségügyi intézményeknél – nagyon nehéz, szinte feloldhatatlan, hiszen a fizetéssel a bűnözőket támogatják, míg a nemfizetéssel pedig a páciensek életét, egészségét veszélyeztetik. Az viszont egyértelműen kijelenthető, hogy a megelőzés a legszerencsésebb stratégia, amelyben a hatékony védelem mellett a rendszeres mentés is kulcstényezőként szerepel.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2017. júniusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 27.61%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
- JS/CoinMiner trójai
Elterjedtsége a júniusi fertőzések között: 5.67%
Működés: A JS/CoinMiner olyan szkript, amely a felhasználó tudta nélkül képes a kriptográfiai valuták bányászatára. A szkriptek különféle rosszindulatú webhelyeken találhatók, ahol a támadók például videómegosztó, böngészőben futó játékoldalak weboldal kódjába vagy pedig rosszindulatú hirdetésekbe rejtik el. A kártevő segítségével észrevétlenül Feathercoin, Litecoin vagy Monero bányászatra használják az áldozat számítógépének erőforrásait, és az érintett felhasználók nagy száma miatt ezzel jelentős bevételekre tehetnek szert.
Bővebb információ: http://www.virusradar.com/en/JS_CoinMiner.P/description
- SBM/Exploit.DoublePulsar exploit
Elterjedtsége a júniusi fertőzések között: 4.91%
Működés: Az SBM/Exploit.DoublePulsar néven észlelhető kártékony kód képes megfertőzni azokat a sérülékeny rendszereket, amelyek a CVE-2017-0145 sebezhetőség elleni javítófoltot még nem futtatták le. Ez az a bizony sérülékenység, amelyet az NSA-től loptak el, és a későbbi tömeges WannaCryptor, illetve WannaCry zsarolóvírusos fertőzésekért felelős.
Bővebb információ: http://www.virusradar.com/en/threat_encyclopaedia/detail/383816
- JS/Adware.Imali adware
Elterjedtsége a júniusi fertőzések között: 4.00%
Működés: A JS/Adware.Imali egy olyan adware alkalmazás, amelyet kéretlen hirdetések megjelenítésére terveztek. A rosszindulatú program kódja jellemzően észrevétlenül beágyazódik az adott HTML oldalakba.
Bővebb információ: http://www.virusradar.com/en/JS_Adware.Imali/detail
- JS/Adware.Agent.T adware
Elterjedtsége a júniusi fertőzések között: 2.54%
Működés: A JS/Adware.Agent.T nevezetű adware egy olyan alkalmazás, amelyet nem kívánt hirdetések megjelenítésére terveztek. Ezek kéretlen pop-up ablakok megnyitásához vezethetnek, és egyes esetekben további más, rosszindulatú kártevő családok letöltésében is aktívan részt vesznek.
Bővebb információ: http://www.virusradar.com/en/JS_Adware.Agent.T/description
- JS/Redirector trójai
Elterjedtsége a júniusi fertőzések között: 2.26%
Működés: A JS/Redirector trójai az ál-antivírusokhoz hasonlóan hamis riasztásokat jelenít meg a megfertőzött számítógép böngészőjében. Célja, hogy hamisított (például hamis banki) oldalakra csaljon bennünket, közben pedig hátsó ajtót nyit a megtámadott gépen, különféle weboldalhoz kísérel meg csatlakozni, és azokról további kártékony kódokat tölt le.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/!redirector
- Win32/CoinMiner trójai
Elterjedtsége a júniusi fertőzések között: 1.75
Működés: A Win32/CoinMiner gyűjtőnévvel olyan kártevő szkriptekre hivatkozunk, amelyek a megfertőzött számítógépen a felhasználó tudta nélkül képesek a kriptográfiai bányászat végrehajtására. Az ilyen trójai szkriptek kiindulópontjai lehetnek rosszindulatú webhelyek, kártékony hirdetésekben is fellelhetőek, illetve legitim, de feltört, weblapok kódjaiban is megtalálhatóak. A trójai egyes változatai képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal kilép, ezzel nehezítve a víruslaborok visszafejtő, elemző munkáját. Ez a kártevőverzió a 32 bites Microsoft Windows rendszerek alatt képes kifejteni káros hatását.
Bővebb információ: http://www.virusradar.com/en/Win32_CoinMiner.KX/description
- HTML/ScrInject trójai
Elterjedtsége a júniusi fertőzések között: 1.66%
Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/scrinject-b-gen
- HTML/FakeAlert trójai
Elterjedtsége a júniusi fertőzések között: 1.64%
Működés: A HTML/FakeAlert trójai olyan kártevőcsalád, amely jellemzően hamis figyelmeztető üzeneteket jelenít meg, hogy az úgynevezett support csalásra előkészítse a számítógépet. A felhasználót ezekben az üzenetekben arra ösztönzik, hogy lépjen kapcsolatba a csalók hamis műszaki támogatásával, ahol a “távsegítség” során kártékony kódokat, vagy távoli hozzáférést biztosító weboldalakra próbálják meg elirányítani a naiv felhasználókat, aki ekkor vírust, illetve kémprogramot tölt le és telepít fel saját magának, amin keresztül aztán ellopják a személyes adatait.
Bővebb információ: http://www.virusradar.com/en/HTML_FakeAlert/detail
- Win64/CoinMiner trójai
Elterjedtsége a júniusi fertőzések között: 1.63%
Működés: A Win64/CoinMiner gyűjtőnévvel olyan kártevő szkriptekre hivatkozunk, amelyek a megfertőzött számítógépen a felhasználó tudta nélkül képesek a kriptográfiai bányászat végrehajtására. Az ilyen trójai szkriptek kiindulópontjai lehetnek rosszindulatú webhelyek, kártékony hirdetésekben is fellelhetőek, illetve legitim, de feltört, weblapok kódjaiban is megtalálhatóak. A trójai egyes változatai képesek észlelni, hogy fut-e kódelemző debugger a háttérben, illetve hogy virtuális gépben futtatják-e, ilyenkor azonnal kilép, ezzel nehezítve a víruslaborok visszafejtő, elemző munkáját. Ez a kártevőverzió a 64 bites Microsoft Windows rendszerek alatt képes kifejteni káros hatását.
Bővebb információ: http://www.virusradar.com/en/Win64_CoinMiner.IR/description
- Win32/MediaGet adware
Elterjedtsége a júniusi fertőzések között: 1.55
Működés: A Win32/MediaGet néven azt a potenciálisan nemkívánatos alkalmazást detektálják, amely felhasználók megtévesztésével operál. Ez az adware úgy néz ki, mintha egy torrent kereső és letöltő alkalmazás lenne, ám ehelyett észrevétlenül manipulálja a rendszert, például a böngésző kezdőlapjának módosításával, más felesleges alkalmazások telepítésével vagy az eszközre vonatkozó információk elküldésével a kiszolgálóra, illetve kéretlen hirdetések megjelenítésével.
Bővebb információ: http://www.virusradar.com/en/Win32_MediaGet/detail
