Hogyan állítsuk meg a CTB-Lockert?

Továbbra is sokat hallani a Magyarországon is nagy gondokat okozó CTB-Locker néven ismertté vált adatokat titkosító zsarolóprogramról. Számos fórumon és szakportálon lehet olvasni arról, hogyan lehet elkerülni a CTB-Locker támadást.

A rendszergazda illetve az IT üzemeltető a fertőzésről általában a felhasználó visszajelzéseiből értesül. Többnyire nem a “vétkes” felhasználó jelzi a fertőzést, hanem az, akinek vagy gyanús a levél (amit ő is megkapott), vagy már a hálózati meghajtókon észleli a fájlok eltűnését (titkosítását).
A megelőzési útmutatók  követése, betartatása sokat segíthet a fertőzés kirobbanásának elkerülésében.

Alapvető intézkedés: mindig legyen mentés a FONTOS adatokról! Mit tehetünk, ha mégis megtörtént a fertőzés és az állományaink titkosítva lettek? Az alábbi folyamatot követve jó eséllyel meg lehet fékezni a további károkozást. (A leírás elsősorban vállalati McAfee végpontvédelmi rendszereket üzemeltető szakemberek számára nyújt útmutatást)
 

1.  Azonosítsa a fertőzött számítógépe(ke)t!
   •  A felhasználó általában időben jelzi, hogy a saját gépén elkezdődött a titkosítás.
   • Ha a hálózati meghajtókon a fájlok titkosítását észlelik, ellenőrizze a titkosított fájlok létrehozásának időpontjában a felhasználói aktivitásokat. Gyanús az a felhasználó (ill. a munkaállomása), aki utoljára fért hozzá a titkosított fájlokhoz
2. Izolálja a fertőzött gépe(ke)t!
   •  Azonnal kapcsolja ki (így nem tud tovább titkosítani) a számítógépet!
   •  Válassza le az eszközt a belső hálózatról és szüntesse meg az internet elérését!
3. Távolítson el minden külső meghajtót (SD kártya, pendrive, külső merevlemez, telefon stb.)!
   • Végezzen ezeken az eszközökön vírusellenőrzést.
4. Ha ismert a fertőzést terjesztő emailt, a levelező rendszeren azonosítsa, hogy ezt ki kapta még meg, és azonnal figyelmeztesse a felhasználókat. Ellenőrizze a számítógépeiket!
5. Csökkentett módban – azaz minimális rendszer komponensek mellett - futtasson vírusellenőrzést (pl. McAfee Stinger, Malwarebytes stb.) a számítógépen! Ezáltal a kártevő program törlésre kerül, így már nem kerül sor további fájltitkosításra
6. Sikeres eltávolítás esetén indítsa újra normál módban a számítógépet.
   •  Ha a kártevő felderítése, illetve eltávolítása sikertelen, kérje szakember segítségét!
7.  Mérje fel a károkat, titkosított fájlokat (a gép továbbra sincs hálózaton!)
   •  A felhaszáló helyi meghajtóin (C:, D:, E:, stb.).
   •  Ellenőrizze, hogy a felhasználónak mely hálózati meghajtók voltak felcsatolva.
   • Vizsgálja meg a felcsatolt meghajtók állományait.
8. Vizsgálja meg és amennyiben szükséges, frissítse a végpontvédelmi rendszert, illetve a hálózatbiztonsági eszközöket!
9.  Futtasson teljes vírusellenőrzést a fertőzött számítógépen!
   • Ha felismeri a rendszer a kártékony kódot, policy alapján megtörténik a számítógép tisztítása.
   • Ha nem ismeri fel a végpontvédelmi rendszer a fertőzött fájlt, küldje el a spam levélben érkezett csatolmányt (vírusmintát) egy szakértőnek! 
     • Manuálisan próbálja felderíteni, van-e gyanús elnevezésű és kiterjesztésű, hét (7) karakterből álló elnevezésű fájl a %temp% és a C:\WINDOWS\Task könyvtárakban, és törölje ezeket.(Az új variánsok megjelenésével ezek a paraméterek változhatnak!)
     • A gyanús fájl vizsgálatát (8.b pont) követően kapott vírusdefiníciós adatbázissal futtasson újabb vírusellenőrzést a fertőzött rendszeren! Az adatbázist terítse a teljes hálózatban!
10. Távolítsa el a fertőzött levelet!
11. Ellenőrizze, hogy  van-e lehetőség a titkosított állományok visszaállítására mentésből.Ha igen, állítsa vissza a letitkosított fájlokat.

1. Készítsen rendszeresen offline mentést a fontos adatokról.
2. Tartsa naprakészen a biztonsági rendszereket (végpontvédelem, email szűrő, tűzfal stb.).
3. Kapcsolja be a tűzfalon a http forgalom vírusellenőrzését.
4. Tiltsa le a támadó IP címeket a tűzfalon (ezek listáját a McAfee Threat Advisory 5. oldalán találja)!
5. Tiltsa a munkahelyi IT környezeben a tűzfalon a privát levelezéseket biztosító oldalak elérését (pl. Gmail, Freemail, Citromail stb., amennyiben ez nem akadályozza a szokásos üzletmenetet).
6. Kérje a felhasználókat, hogy a fertőzést terjesztő emailt töröljék (ehhez adja meg az email pontos tárgyát, a melléklet elnevezését, kiterjesztését), illetve bármilyen gyanús email esetén ne nyissák meg a csatolmányt!
7.  Legfontosabb a felhasználók folyamatos és szakszerű oktatása (példák bemutatásával), akár külső szakemeberek segítségével!

A CTB-Locker felbecsülhetetlen károkat tud okozni a vállalati informatikai infrastruktúrában. Ezért a megelőzésre nagy hangsúlyt kell fektetni, kiemelt figyelmet fordítva a jól beállított és rendszeres mentésre. A felhasználók célirányos, szakszerű tájékoztatása is elősegíti védekezést. Ha mégis megtörténik a fertőzés, akkor mihamarabb el kell különíteni a fertőzött gépet, és minimalizálni a károkat.

IT biztonságtechnikai kérdésekkel kapcsolatban keresse gyártói minősítéssel rendelkező kollégáinkat az alábbi elérhetőségen: ugyfelszolgalat.piksys@piksys.hu