Zsarolóvírust terjeszt a µTorrent



A Manamecrypt vagy CryptoHost néven ismert zsarolóvírus (ransomware) készítői a terjesztés egyik leghatékonyabb módját választották: a 100 milliók által használt µTorrent torrentkliensbe rejtették kártevőjüket.

Androbit a Facebookon


A vírus a szoftver nem hivatalos változataiban van elrejtve és a különböző fájlformátumok titkosítása mellett a Windows operációs rendszer folyamatait is módosítja – például a védelmi szoftverek futását azonnal megszakítja.

Titkosított formátumok: 3g2, 3gp, 7z, asf, avi, doc, docx, flv, gif, jpeg, jpg, m4v, mov, mp4, mpeg, mpg, pdf, png, ppd, pps, ppt, pptx, psd, qt, rm, tiff, txt, wmv, wpd, wps, xlr, xls, xlsl, zip

A fájlok titkosítása után ez a kártevő is váltságdíjat követel a visszaállításért, azt viszont nem tudjuk, hogy a 0,33 bitcoin kifizetése után az áldozatok valóban visszakapják-e fájljaikat.

Érdekesség, hogy egy kódolási hiba miatt a torrent kliens az eredeti neve (uTorrent.exe) helyett „uTorrent.exeuTorrent.exe” néven kerül lementésre a gépen. Ezt az állományt a G Data vírusirtói Win32.Application.OpenCandy.G riasztással ismerik fel, mivel a kéretlen programot a µTorrent legtöbb hivatalos verziója is tartalmazza” – írta a GDATA.



Az érintett telepítőcsomagok hash értékei



Teljes csomag: c71c26bf894feb5dbedb2cf2477258f3edf3133a3c22c68ab378ba65ecf251d3
G Data vírusriasztás neve: Gen:Variant.MSIL.Lynx.13

µTorrent kliens: b7579ad8dfa57512a56e6ff62ae001560c00a4ebb9faa55086a67d30fbb1eea6
G Data vírusriasztás neve: Win32.Application.OpenCandy.G

Kártevő: 4486a1aaa49d8671826ff4d0d5c543892e1a3f0019e7f041032531ff69839bc9
G Data vírusriasztás neve: Trojan.GenericKD.3048538


Ugyanakkor van lehetőség a fájlok fizetés nélküli helyreállítására is, a szakértők ugyanis rájöttek egy trükkre, amivel kijátszható a kártevő tevékenysége – persze ehhez komolyabb szaktudás szükséges. Ennek részleteiről a GDATA blogjában olvashattok.