Computerworld News Service: Det er ikke første gang, inficerede PC'er også har fået data krypteret. Det er faktisk sket flere gange siden 2005. Men sikkerhedsfirmaet FireEye fortæller, at den trojanske hest Vundo til gengæld er den første, der blander den gamle, konventionelle antivirus software-svindel med den rene afpresning.
Firmaet fortæller ikke præcist, hvordan programmet inficerer brugerne - programmer som dette udnytter undertiden Windows autorun-sårbarheden - men når det først én gang er på systemet, så går det ellers i gang med at kryptere alle de forskellige filer, den kan finde, heriblandt jpg, PDF og word-filer.
Bagefter præsenterer den brugeren for FileFix Pro 2009 (som er et såkaldt 'rogueware') som den eneste måde at tilbageskaffe de nu utilgængelige filer.
Heldigvis lader det til, at programmet krypterings-metode ikke er den mest avancerede, og en ansat i FireEye har allerede nu skrevet et Perl script, som kan løse problemet. På den måde kan man slippe for at skulle betale de cirka 220 kroner, som svindel-licensen koster.
"Vundo har ændret sin kriminelle metode fra at være en typisk scareware-taktik til nu at benytte ransomwares afpresningsmetoder. Selv om det måske nok er dumt at falde for scareware, så har brugerne, når først maskinen er blevet inficeret med ransomware, ikke ret mange andre valg end at hoste op og købe dekrypterings-softwaren," skriver sikkerhedsfirmaet i et indlæg på sin blog.
Godt kamufleret
Fra og med 19. marts har ingen antivirus-programmer tilsyneladende kunnet se den sidste nye version af Vundo, og det hjælper ikke, at programmet benytter sig af polymorfe teknikker, der kamouflerer den, mens den downloades til PC'en.
På trods af sin usædvanligt grove krypteringsmetode, så ser det ud til, at også denne ransomware stammer fra Østeuropa. Sådan har det også været med tidligere ransomware, som for eksempel Cryzip, og Whois Lookup har fastslået, at den domæne-ejer, der distribuerer FileFix Pro, må være lokaliseret i den ukrainske by Kharkov.
Ved tidligere angreb af denne slags har bagmændene typisk benyttet sig af én af de to følgende taktikker: enten har de fået overbevist brugerne om, at deres filer er blevet krypterede, selv om nøglen i virkeligheden er meget svag, eller også har de brugt en meget stærk kryptering, som selv veludstyrede sikkerhedsfirmaer ville have svært ved at bruge. Et eksempel på den anden og mere farlige taktik er sidste sommers GPcode.ak. Vundo kan til sammenligning ses som et opfindsomt psykologisk angreb.
De uheldige brugere, der har haft et møde med crypto-versionen af Vundo, kan helt gratis oploade deres filer til FireEyes hjemmeside, hvorefter de vil blive dekrypterede.
Oversat af Marie Dyekjær Eriksen
