Mutatjuk, hogy miért terjednek a zsaroló programok

A fájlokat titkosító, felhasználókat zsaroló CryptoWall trójai mögött meghúzódó kibebrűnözői csoport több mint 300 millió dollárt kereshetett a kártékony program legújabb változatával.
 

A zsaroló programok lendülete nem akar megtörni. Továbbra is széles körben terjednek, ami annak fényében nem meglepő, hogy a kiberbűnözők számára jelentős bevételi forrásként szolgálnak. A Symantec korábbi felmérése szerint a zsaroló programoknak áldozatul eső felhasználók átlagosan 2,9 százaléka fizeti ki a váltságdíjat utolsó kétségbeesésében. Ők abban reménykednek, hogy a követelések teljesítésével megkapják azokat az információkat, amik révén helyreállíthatják a fájljaik épségét. A fizetést egyébként a biztonsági cégek nem javasolják, mivel nem garantált az, hogy a csalók valóban hűek maradnak az ígéretükhöz, és megküldik a dekódoló kulcsot. Ehelyett a legbiztosabb megoldást azok a biztonsági mentések jelentik, amik a védett számítógépektől, adathordozóktól elkülönítetten léteznek.
 
A 2,9 százalékos fizetési hajlandóság első hallásra nem tűnhet soknak, azonban a valóságban ez nagyon is komoly bevételt jelent a vírusterjesztőknek, akik kiterjedt infrastruktúrákkal rendelkeznek a károkozóik ezerszámra történő terjesztéséhez. A Cyber Threat Alliance szövetség szakértői (akik egyebek mellett az Intel Security, a Fortinet, a Symantec és a Palo Alto Networks kötelékéből kerültek ki) arra voltak kíváncsiak, hogy a 2015 januárja óta rohamosan terjedő CryptoWall 3.0 trójai mögött milyen hálózat működik, és az mekkora bevételt hoz a csalók konyhájára.
 
A hosszas és mélyreható vizsgálatok során arra derült fény, hogy a CryptoWall 3.0-hoz eddig összesen több mint négyezer különféle malware minta jelent meg. Vagyis a károkozó nagyon gyorsan változik, ami az időben történő felismerését igencsak megnehezíti. Ez azonban nem minden, ugyanis az elemzések alapján kijelenthető, hogy a legújabb CryptoWall térhódításához nem kevesebb mint 839 olyan URL is hozzájárult, amelyek különféle vezérlőszerverekre mutattak. A vírus terjedésének intenzitását pedig mi sem mutatja jobban, mint hogy a kutatók szerint a CryptoWall 3.0-hoz köthető eddigi 49 különböző alvilági támadássorozatban összesen 400 ezer fertőzés történt. Azaz a kártevő legalább ennyi számítógépen pusztított, és rombolt értékes állományokat. Mindezzel pedig összességében legalább 325 millió dolláros haszonra tettek szert a zsarolók. 
 
Hogyan csinálták?

Adja magát a kérdés, hogy ekkora bevételt miként lehet leplezni és mozgatni. A csalók válasza erre a kérdésre a bitcoin volt. Az esetek nagy részében az áldozatukul eső felhasználóktól bitcoinban követelték a fizetséget, ami valódi pénzre lefordítva néhány száz dollártól akár több ezer dollárig is terjedhetett. A bitcoinos tranzakciókat sem egyszerű módon hajtották végre, hogy megnehezítsék a felderítést. Számos bitcoin pénztárcát és bitcoin címet használtak, amelyek között kisebb összegekben mozgatták a virtuális pénzeket.

Nincs megoldás

A legrosszabb hír azonban az, hogy a biztonsági kutatóknak a vizsgálatok során sem sikerült ráakadniuk olyan technikákra vagy információkra, amik felhasználásával a CryptoWall 3.0 által kompromittált fájlokat helyre lehetne állítani.
 
Jó hír viszont, hogy időközben a Kaspersky Lab hatósági közreműködéssel megtalálta a CoinVault és a Bitcryptor zsaroló programok által alkalmazott (körülbelül 14 ezer) dekódoló kulcsot. Az ezeket is felhasználó, ingyenes dekódoló alkalmazás erről a weboldalról tölthető le.