Nem fogunk megszabulni a zsaroló programoktól

Már most látszik, hogy 2015-ben is sok kárt fognak okozni a fájlok titkosítására, illetve a felhasználók megzsarolására alkalmas programok.
 

Tavaly rengeteget lehetett hallani azokról a kártékony programokról, amelyek a megfertőzött számítógépeken titkosítással teszik használhatatlanná a fájlokat, majd váltságdíjat követelnek a felhasználóktól a helyreállításhoz szükséges információkért cserébe. Azt, hogy ezek a károkozók milyen szintű problémákhoz vezettek, jól szemlélteti a Dell SecureWorks még tavaly augusztusban kiadott jelentése is. Eszerint 2014 márciusa és augusztusa között a zsaroló programok 625 ezer rendszerre kerültek fel, és becslések szerint legalább ötmilliárd fájlt tettek tönkre. Ezek között dokumentumok, képek, videók, tömörített fájlok, adatbázisok stb. is szép számmal akadtak. A kutatók számításai alapján a zsaroló programok terjesztői a vizsgált hat hónap alatt több mint egymillió dollárt tudtak kicsalni a felhasználóktól.

Sajnos az úgynevezett ransomware programok fejlődése és terjedése az utóbbi hónapokban sem hagyott alább, sőt egyre komplexebbé váltak. Kezdetben a legtöbb gondot a CryptoLocker nevű trójai okozta, amelynek szaporodását egy összehangolt akcióval a hatóságoknak sikerült megbénítaniuk, amikor a Gameover (Zeus) botnet ellen indítottak hajtóvadászatot. Ez azonban a kiberbűnözőket nem tántorította el, és egy újabb szerzeménnyel rukkoltak elő. Így született meg a CryptoWall, amely hamar az elődje nyomdokaiba lépett, és hasonlóan komoly károkat idézett elő.

A második kiadás

A Cisco biztonsági kutatói arra hívták fel a figyelmet, hogy napjainkban már a CryptoWall 2.0-ás verziója, illetve annak különféle variánsai teszik próbára a biztonsági rendszereket, alkalmazásokat. A 2.0-ás kiadást először tavaly októberben sikerült lefülelni. A legjelentősebb újdonságának az számít, hogy Tor hálózatok bevonásával képes kommunikálni a vezérlőszervereivel. Ráadásul a kiszolgálók címe mindig változik, így a károkozót egy domainnév-generáló algoritmus is segíti abban, hogy a folyton "vándorló" szervereit elérje. 

Az elmúlt időszakban a CryptoWall a terjesztési csatornákat illetően is folyamatosan fejlődött, így igen változatos módon képes megkörnyékezni a számítógépeket. Leggyakrabban azonban kártékony weboldalak vagy spamelt elektronikus levelek révén terjed. Annak érdekében, hogy a weblapok felkeresésekor minimális felhasználói közreműködéssel le tudjon töltődni, és el tudjon indulni, különféle sebezhetőségeket is kihasznál. Például azt a CVE-2013-3660 azonosítójú Windows sérülékenységet is, amelyet a Microsoft már 2012-ben befoltozott, így ebből a szempontból a biztonsági frissítéseket nem tartalmazó rendszerek vannak kitéve a legnagyobb veszélynek. Ugyanakkor meg kell említeni, hogy a CryptoWall terjesztői exploit kiteket (Flashpack, Angler, Infinity, RIG stb.) is használnak, amikkel a legnépszerűbb alkalmazásokban lévő biztonsági réseket tudják kiaknázni.
A Cisco szakemberei kiemelték, hogy a CryptoWall 2.0 a regisztrációs adatbázis manipulálásával gondoskodik arról, hogy a Windows újraindítása után is be tudjon töltődni a memóriába. Emellett leállítja a következő szolgáltatásokat:
Windows Update
ERSvc
Security Center
Windows Defender
Background Intelligent Transfer Service
Windows Error Reporting Service.

A károkozó további fontos jellemzője, hogy nem fut virtualizált rendszereken és sandboxban. Tartalmaz ugyanis egy anti-VM modult, amelynek révén képes kiszűrni a virtuális vagy emulált rendszereket, amelyeket úgy értékel, mint amik a leleplezését szolgálják. Szintén meg kell említeni, hogy a legújabb CryptoWall 32 bites és 64 bites környezetekben is működőképes.

Védelmi lehetőségek

A zsaroló programok elleni védekezésben nélkülözhetetlen szerepet játszanak a korszerű technológiákat felvonultató víruskereső alkalmazások. Azonban sajnos ezek sem mindig képesek időben felismerni a veszélyeket, ezért a rendszeres biztonsági mentések is kulcsfontosságúak. A mentéseket célszerű a számítógépektől távol tartani, nehogy a kártékony programok azokat is megkörnyékezzék.