A minap bukkant fel a Play, a magyar kis- és középvállalatokat támadó zsarolóvírus. Az új pénzkövetelő programot elsőként Németországban észlelték, és már Magyarországon is megjelent.
A titkosított fájlokhoz a „.play” kiterjesztést csatolja a zsarolóvírus. A váltságdíjat nem a megszokott módon, kriptovalutában követeli, hanem egy .txt szövegfájlt helyez ki a számítógép asztalára, amiben csupán egy email-cím áll. A frissen felbukkant ransomware által titkosított fájlok visszafejtésére egyelőre még nincs jól működő lehetőség, a megadott email-címről pedig sok áldozat választ sem kapott eddig.
Egyelőre nem ismert, hogyan jut be a kiszemelt végpontra a Play zsarolóvírus, azonban az már kiderült, hogy képes oldalirányú mozgásra a rendszerben, vagyis a belső hálózaton belüli terjedésre. Ha több szerver van egy hálózatban az elsőként megfertőződött végponttal összeköttetésben, akkor az könnyen átterjedhet más szerverekre, ahol titkosít minden fontos adatot, köztük a helyi mentéseket is.
A Play Ransomware ilyen módokon fertőzhet:
- internet felől nyitott SSH, RDP, FTP szolgáltatások gyenge jelszóval,
- internet felől elérhető sérülékeny szolgáltatások, mint webszerver, owa, exchange,
- emaileken át terjedő gyanús csatolmány,
- valós programnak álcázott, nem hivatalos oldalról letöltött program, ami valójában maga a malware (legjobban elterjedt: Skype, Teams, Chrome, Firefox, Winscp stb.).
Szakemberek tanácsa: fertőződés esetén azonnal le kell választani a hálózatról azt a végpontot, ahol elindult a titkosítási folyamat, mert ezzel megelőzhető az oldalirányú terjeszkedés és a további adatok elvesztése. A fertőzött végponton végzendő érdemi elemzéshez izolált, ugyanakkor bekapcsolt számítógépre van szükség. Jelenleg még nem elérhető megbízható eszköz az adatok visszafejtéséhez, azonban érdemes a már titkosított adatokat megőrizni arra az esetre, ha a jövőben visszaszerezhetők lesznek ezek a fájlok is.
Egyelőre csak feltételezhető a Play eredete, a jelenlegi információk alapján egy kínai hackercsoport vett célba több európai országot, köztük hazánkat is, és többnyire az MS Exchange sérülékenységet kihasználva, Cryptomining kártevőket, zsarolóvírusokat és más malware-eket terjeszt.