Az ún. ransomware-jelenség korántsem újdonság a kártékony szoftverek aggasztóan széles palettáján: a „váltságdíjat” követelő férgek ugyan alacsony fertőzőképességűek, de annál kellemetlenebb meglepetést tudnak okozni áldozataiknak. A program ugyanis túszul ejti a számítógépet, pontosabban szólva bizonyos fájlokat, dokumentumokat titkosít a merevlemezen, melyeket a fertőzést követően a felhasználó nem képes megnyitni, illetve futtatni.  Képzeljük el, milyen szorult helyzetbe kerülne vállalkozásunk, ha a céges könyvelés vagy a legfontosabb digitális iratok egyik pillanatról a másikra elérhetetlenné válnának.

Korábban biztonságtechnikai cégek is elismerték: a titkosított adatok visszafejtéséhez szükséges kulcs gyors megtalálása csak egy programozói hibának vagy a nem elég erős titkosítási algoritmusnak köszönhető. A fejlődés sajnos várható volt: a nagy múltú Gpcode nevű zsarolós trójai egyik változata már a 660 bites RSA kulcsot használta, amelynek feltörése egy dekódolásra tervezett szuperszámítógépnek is több hónapnyi feladatot jelenthet. Persze a ransomware-ek azonnal megoldást is kínálnak a problémára, hiszen váltságdíjat kérnek a titkosított állományokért cserébe: az ajánlat rendszerint az, hogy ha a károsult fizet, kap egy kódot, amely visszaállítja a fájlokat – garancia persze semmire sincs.

A Symantec által detektált új ransomware trójai annyiban különleges, hogy gyakorlatilag nem is ransomware: azonnali váltságdíjat ugyanis nem kér, így neve értelmét veszti. A Trojan.Ramvicrype névre keresztelt féreg RC4-es algoritmussal dolgozik, Windows 9x, Windows ME, XP, Vista, NT, Windows Server 2000 és 2003 operációs rendszereket képes kompromittálni. Minden számítógép, amely .vicrypt kiterjesztéssel rendelkező állományokat hordoz, fertőzött – írta meg a Symantec múlt hétvégén. A szakemberek eleinte nem értették, miért ejt túszul fájlokat egy program, amely végül nem kér pénzt a titkosítás feloldásáért, aztán az interneten rákerestek a vicrypt kifejezésre – a találati lista élén pedig egy mauritiusi cég szerepelt Exquisys Software Technologies néven.

Dolgozik a féreg (Forrás: Symantec)

A vállalat korábban kibocsátott egy kártevő-eltávolító szoftvert, amely ugyan ingyenesen keresi meg a vicrypt-féle férget, de maximum csak 7 titkosított állományt állít vissza – ha több fájlt kívánunk visszakapni, fizetnünk kell a termékért. A Symantec úgy spekulált, a túszállományok vicrpyt-kiterjesztése és a találati lista szorosan összefügg, ezzel azt feltételezve, hogy a vállalat esetleg maga írta a trójait, hogy majd később pénzt szedjen az eltávolításért. Viszont mi értelme az egésznek (folytatja a mérnök), ha a felhasználó a fertőzést követően nem tud felcsatlakozni az internetre? Márpedig ez is könnyen előfordulhat, lévén a trójai hivatkozások, parancsikonok útján szemeli ki az áldozatokat, így akár a Windows gyökérkönyvtárában lévő állományokat is képes kompromittálni – ebben az esetben persze nem csupán az internetről zárjuk ki magunkat, hanem jó eséllyel a számítógépünkből is.

Az Exquisys Software Technologies – egy nappal azt követően, hogy a Symantec saját, ingyenes vicrypt-eltávolítót jelentetett meg – felhagyott a fizetős verzió kibocsátásával, a szoftver a továbbiakban költségvonzat nélkül minden állományt helyreállít.