A vállalat kibervédelemért felelős divíziója, a Security Operations Center (SOC) közleményében azt írta, hogy a zsarolóvírust a világon először Németországban észlelték. Magyarországon néhány napja bukkant fel és gyorsan terjedni kezdett, elsősorban a kis- és középvállalatok gépeit támadta meg.
A titkosított fájlokhoz a .play kiterjesztést csatolja a zsarolóvírus, és ezáltal zárolja az azokban lévő adatokat. A váltságdíjat nem a megszokott módon, kriptovalutában követeli, hanem egy .txt szövegfájlt helyez ki az asztalra, amelyben csupán egy email-cím található.
A frissen felbukkant ransomware által titkosított fájlok visszafejtésére a 4iG SOC szerint egyelőre még nincs jól működő lehetőség, azonban érdemes a már letitkosított adatokat megőrizni arra az esetre, ha a jövőben visszaszerezhetők lesznek ezek a fájlok is.
Viszont a megadott email-címről sok áldozat választ sem kapott eddig.
Egyelőre azt sem tudják még a szakemberek, hogy a vírus miként jut be a kiszemelt végpontra, azaz a számítógépekre. Az viszont már biztos, hogy ha több gépből, szerverből áll egy belső hálózat, akkor az egyes gépek között tud terjedni a vírus, titkosítva a gépeken minden fontos adatot, köztük a helyi mentéseket is. Ezért
fertőződés esetén minél gyorsabban le kell választani a hálózatról azt a végpontot, ahol elindult a titkosítási folyamat
- figyelmeztet a cég.
A 4iG SOC arra figyelmeztet, hogy az alábbi módokon fertőzhet a Play Ransomware:
- Internet felől nyitott SSH, RDP, FTP szolgáltatások gyenge jelszóval,
- Internet felől elérhető sérülékeny szolgáltatások, mint webszerver, owa, exchange,
- email leveleken át terjedő gyanús csatolmány,
- valós programnak álcázott nem hivatalos oldalról letöltött program, ami valójában maga a malware (legjobban elterjedt: Skype, Teams, Chrome, Firefox, Winscp stb.).
Egyelőre csak feltételezhető a Play eredete. A jelenlegi információk alapján egy kínai hackercsoport vett célba több európai országot, köztük hazánkat is, és többnyire MS Exchange sérülékenységet kihasználva Cryptomining kártevőket, zsarolóvírusokat és más malware-eket terjesztenek - olvasható a közleményben.