Ebben különbözik a többiektől az új zsarolóvírus

A zsarolóvírus maga csak egy lecsupaszított program, amely csak a zsaroláshoz szükséges titkosítás végrehajtására képes. A további feladatokat PowerShell-parancsok látják el, amelyek felkészítik a gépet a végső titkosításra.

Ezeket a PowerShell-szkripteket úgy programozták, hogy módosítsák a tűzfalszabályokat, hogy lehetővé tegyék a támadók távoli kapcsolatait, letiltsák azokat a folyamatokat, amelyek megakadályozhatják a titkosítást, töröljék a biztonsági másolatok készítést, hogy megakadályozzák a titkosított fájlok helyreállítását, töröljék eseménynaplót és hogy magasabb szintű hozzáférést szerezzenek a támadok.

„Az Epsilon Red egy érdekes új zsarolóvírus. Valójában csak fájlok titkosítására használják, és nem célozza meg pontosan az eszközöket: ha úgy dönt, hogy egy mappát titkosít, akkor mindent titkosít a mappában. Sajnos ez azt jelentheti, hogy más futtatható fájlokat és a program komponenseket is titkosít, ami letilthatja a kulcsfontosságú programokat vagy az egész rendszert. Ennek eredményeként a megtámadott gépet teljesen újra kell telepíteni” – tette hozzá Szappanos Gábor, a Sophos kiberbiztonsági szakértője.

A Sophos elemzése a támadók viselkedéséről azt sugallja, hogy azok nem biztosak az eszközeik megbízhatóságában vagy a támadásuk potenciális sikerében, ezért alternatív lehetőségekre ias felkészülnek.

Az olyan zsarolóvírusokat, mint az Epsilon Red-et a legjobb úgy megakadályozni, ha szervereken telepítünk minden biztonsági javítást, és a biztonsági megoldás képes felismerni és blokkolni a gyanús viselkedéseket és a fájlok titkosítási kísérleteit.