Így védekezhet a titkosító trójai ellen

Továbbra is nagy intenzitással terjed a CryptoLocker néven ismertté vált zsaroló trójai, amely az elmúlt időszak legalattomosabb és legártalmasabb programjának számít.
 

A kártékony program legfontosabb sajátossága, hogy a felhasználók értékes állományainak használhatatlanná tételét követően zsarolásba kezd. Titkosítja a fájlokat, majd közli, hogy egy bizonyos összegű (általában 300 eurós vagy 300 dolláros) váltságdíj megfizetését követően a felhasználó hozzájuthat azokhoz az adatokhoz, kulcsokhoz, amik révén a helyreállítás elvégezhető.

A tapasztalatok azt mutatják, hogy ha egyszer a trójai megfertőz egy gépet, és azon elvégzi a romboló műveleteit, akkor már nagyon nehéz az adott rendszerről visszanyerni az adatokat. Ezért felértékelődik egyrészt a megelőző védelmi intézkedések szerepe, másrészt a rendszeres biztonsági mentések fontossága.

"Ha a számítógépünk megfertőződött, és a dokumentumainkat 2048 bites egyedi RSA kulccsal titkosította a vírus, akkor már nagyon nehéz bármit is tenni" - figyelmeztetett Béres Péter, a Sicontact Kft. vezető IT tanácsadója. "A rendszer visszaállításával meg lehet próbálkozni, de egyrészt ez nem állít helyre teljes körűen minden adatot, másrészt a CryptoLocker újabb variánsai már képesek a backup állományok törlésére, sőt célzottan vadásznak is a rendszer-visszaállítás adatfájljaira. Egyes friss CryptoLocker verziók a korábban még esetlegesen kiskaput jelentő úgynevezett Shadow Copy fájlokat is megsemmisítik, sajnos még az elkódolási procedúra előtt" - tette hozzá a szakember.

Fizessünk?

Felmerülhet a kérdés, hogy vajon a csalók követeléseinek teljesítésével megoldhatóak-e a felmerülő problémák. Vagyis ha egy felhasználó úgy határoz, hogy kifizeti a váltságdíjat, akkor valóban hozzájut-e azokhoz az információkhoz, amelyek révén a fájljait megszabadíthatja a titkosítástól.

"Lehet még esélyt adni az esetleges váltságdíj kifizetésnek, bár a biztonsági cégek ezt általában - az emberrablási esetekhez hasonlóan - nem javasolják. Ennek ellenére meg lehet próbálni a fizetést, ha az adatok értéke sokkal nagyobb, mint a hardveré, vagy ha éppen pótolhatatlanok azok. Erről a lehetőségről azt kell tudni, hogy ebben a helyzetben bűnözőkkel üzletelünk. A beszámolók egy jelentős részéből az derül ki, hogy a fizetés ellenére sem történt semmilyen pozitív változás" - emelte ki Béres Péter. Néhány esetben azonban valóban megérkezhet a működő feloldó kód, így maximum utolsó mentsvárként lehet erre a lehetőségre tekinteni, semmiképpen sem úgy, mint egy bombabiztos megoldásra. Emellett azt is mérlegelni kell, hogy a pénz átutalása során értékes banki adatok kerülhetnek a csalók kezébe.

Védekezési lehetőségek

A legnagyobb hangsúlyt a megelőzésnek kell kapnia. Ebben egyfelől a naprakész védelem, másfelől a naprakészen tartott szoftverkörnyezet segíthet. Ezek mellett rendkívül fontos a biztonságtudatos viselkedés, és nem utolsó sorban a már említett, rendszeres biztonsági mentés.

"Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés önmagában kevés: vagyis az említett Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy titkosítja. Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a CryptoLocker, akkor minden Windows alatt csatlakoztatott, betűjellel megosztásként hozzárendelt külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtónk, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető" - hívta fel a figyelmet Csizmazia-Darab István, a Sicontact Kft. IT biztonsági szakértője.

Mindig meg kell győződni arról, hogy a mentés elkészülte után azonnal le legyen választva a tároló eszköz a rendszerről, mert a nap 24 órájában csatlakoztatott külső merevlemez állományai ugyanúgy elveszhetnek, mint a helyi tartalom. Emellett pedig készítsünk rendszeresen mentéseket csak olvasható formátumú adathordozókra is - például CD, DVD lemezekre. Mind a megírt lemezeket, mind pedig az esetleges külső winchestert a géptől fizikailag távol, védett környezetben ajánlatos tárolni. Egyes felhős tárhelyek is besegíthetnek a hatékonyabb mentésben. Ha pedig mégis beütne egy esetleges fertőzés, akkor haladéktalanul meg kell akadályozni, hogy a sérült adatok a továbbiakban felülírhassák a korábbi, "tiszta" fájlokat. Tanácsos nemcsak inkrementális (egymásra épülő), hanem időnként teljesen önálló mentéseket is készíteni.

Még egy mentsvár

A CryptoLocker trójai kapcsán az antivírus technológiákat fejlesztő cégek kivétel nélkül felszólaltak már. Nemrégen a Webroot hívta fel a figyelmet az egyik technológiájára, amely szintén segíthet az utólag kárenyhítésben. A biztonsági vállalat egyes termékeiben megtalálható, úgynevezett journaling és rollback képességek révén a védelmi szoftverei folyamatosan figyelemmel kísérik és naplózzák a védett rendszereken bekövetkező változásokat. Amennyiben helyre kell állítani állományokat, mert például azokat egy károkozó titkosította, akkor a rollback funkció révén a rendszergazdák ezt megtehetik. Ennek ellenére azért a Webroot is a megelőzés fontosságát emelte ki, ugyanis a visszaállítási, rollback folyamatok sem jelentenek mindig 100 százalékos garanciát. Például előfordulhat olyan eset, amikor a CryptoLocker elkezdi az állományok kódolását, amit a biztonsági alkalmazás naplóz, viszont egy idő után elfogy a szabad terület a merevlemezen, és így a helyreállításhoz szükséges információkat nem lehet lementeni. (A Weboroot SecureAnywhere Endpoint Protection ezt a problémát úgy próbálja enyhíteni, hogy tömörítést alkalmaz a helyreállítási információk mentésekor, illetve azonnali beavatkozást tesz lehetővé fertőzéskor.) Emellett a hálózati megosztások védelmét - lehetőségek szerint - célszerű olyan módon megvalósítani, hogy a védelmi szoftver a megosztást kiszolgáló szerverre is felkerüljön, ugyanis a rollback funkció csak így lesz hatásos a hálózati erőforrások tekintetében.