Néhány nappal ezelőtt bukkant fel, és már aktívan támadja a magyar kis- és középvállalatokat a Play elnevezésű zsarolóvírus, melyet a világon elsőként Németországban detektálták – közölte tegnap kiadott figyelmeztetésében a 4iG rendszerintegrátor kibervédelemért felelős divíziója (Security Operations Center, SOC). Az új ransomware a titkosított fájlokhoz az "a.play" kiterjesztést csatolja, a váltságdíjat pedig nem a megszokott módon, kriptovalutában követeli, hanem egy .txt szövegfájlt helyez ki az asztalra, amelyben csupán egy email-cím található.
A frissen felbukkant ransomware által titkosított fájlok visszafejtésére a 4iG SOC szerint egyelőre nincs jól működő lehetőség, a megadott email-címről pedig sok áldozat választ sem kapott eddig. Az sem világos, hogy a kiszemelt végpontra hogyan jut be a Play vírus, de már kiderült, hogy képes terjedni a rendszereken belül. Amennyiben több szerver is összeköttetésben van az elsőként megfertőződött végponttal egy-egy hálózatban, akkor a ransomware könnyedén átterjedhet más szerverekre, ahol titkosít minden fontos adatot, köztük a helyi mentéseket is.
A közlemény alapján a Play ransomware az alábbi módokon fertőzhet:
Fertőződés esetén természetesen minél gyorsabban le kell választani a hálózatról azt a végpontot, ahol elindult a titkosítási folyamat, és a már titkosított adatokat érdemes megőrizni arra az esetre, ha a jövőben visszaszerezhetők lesznek ezek a fájlok. A 4iG SOC szerint egyelőre csak feltételezhető a Play eredete. A jelenlegi információk alapján egy kínai hackercsoport vett célba több európai országot, köztük Magyarországot is, és többnyire MS Exchange sérülékenységet kihasználva terjeszt cryptomining kártevőket, zsarolóvírusokat és más malware-eket.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?