A Polyglot trójai zsarolóvírus spam emailek útján terjed, melyek egy RAR archívumba csomagolt rosszindulatú csatolmányt tartalmaznak. A titkosítási folyamat alatt a trójai nem változtatja meg a fájlok nevét a fertőzött gépen, csak megakadályozza a hozzájuk férést. A titkosítás után az áldozat képernyőjén a háttérkép helyett egy váltságdíjat követelő üzenet jelenik meg. A csalók bitcoinban kérik a váltságdíjat, és ha nem fizetik ki idejében, a trójai törli magát a fertőzött gépről és titkosítva hagyja az összes file-t.
A Polyglot megtévesztésig hasonlít a hírhedt CTB-Locker zsarolóvírusra, habár kellő elemzés után a Kaspersky Lab szakértői semmilyen hasonlóságot sem találtak a vírusok kódjai között. A Polyglot zsarolóvírus szinte minden értelemben utánozza a CTB-Lockert: majdnem azonos grafika, hasonló lépések szükségesek a dekódoló kulcs megszerzéséhez, a fizetési felület, a háttérkép mind ugyanolyan. A Polyglot fejlesztői nyílván azt gondolták, hogy a CTB-Locker utánzásával könnyen becsaphatják a használókat, elhitethetik velük azt, hogy komoly vírus áldozatai lettek, és hogy nincs más választásuk, mint hogy fizessenek a bűnözőknek.
A Kaspersky Lab szakértői figyelmesen megvizsgálták a Polyglot titkosítási mechanizmusát és azt találták, hogy ellentétben a CTB-Lockerrel a Polyglot gyenge titkosításikulcs-generátort használ. Egy brute force keresés kevesebb, mint egy percen belül átnézi az összes lehetséges Polyglot dekódoló kulcsvariánst egy átlagos pc-n. Miután felfedezték ezt a gyenge pontot, a Kaspersky Lab szakértői egy új eszközt fejlesztettek ki, amivel visszaszerezhetőek a használó adatai.
A Kaspersky Lab termékei a következő nevek alapján azonosítják a zsarolóvírust: Trojan-Ransom.Win32.Polyglot és PDM:Trojan.Win32.Generic. Nézze meg a trójai részletes technikai leírását a Securelist blogon.
Még több dekódoló kulcsot találhat a No More Ransom oldalon. A No More Ransom a Kaspersky Lab, a holland rendőrség, az Europol és az Intel Security közös kezdeményezése. A kezdeményezés fő célja, hogy segítsen a zsarolóvírusok áldozatainak visszaszerezni titkosított adataikat a váltságdíj kifizetése nélkül.
