Súlyos rombolást végez a fájlokat titkosító trójai

Világszerte egyre jelentősebb károkat okoznak azok a kártékony programok, amelyek a fertőzött számítógépeken található fájlok titkosításával dokumentumokat, képeket, videókat tesznek használhatatlanná.
 

Az amerikai US-CERT biztonsági szervezet november elején arra hívta fel a figyelmet, hogy egyre több számítógépre kerül fel az a CryptoLocker trójai, amely helyreállíthatatlan károkat képes előidézni a fertőzött rendszereken. Most már kijelenthető, hogy a kártékony program nemcsak az USA-ban szedi áldozatait, hanem Európában is. Legutóbb a brit kiberbűnözés elleni ügynökség (NCA) adott ki egy közleményt, amelyben szintén a CryptoLocker burjánzására figyelmeztetett. A szervezet szerint Nagy-Britanniában több tízmillió olyan e-mail (spam) bolyong a hálózatokon, amelyek elsősorban a kis- és közepes méretű vállalkozásokat veszélyeztetik, de természetesen a célpontok köre meglehetősen tág lehet.

"Az NCA aktívan követi azokat a szervezett kiberbűnözői csoportokat, amelyek az ilyen típusú bűncselekmények mögött állnak. Szorosan együttműködünk gyártókkal és nemzetközi partnerekkel annak érdekében, hogy azonosíthassuk, majd bíróság elé állíthassuk az elkövetőket, és ezáltal csökkenthessük a kockázatokat" - nyilatkozta Lee Miles szakértő.

Így kerül a PC-kre a CryptoLocker

A CryptoLocker trójai a zsaroló kártékony programok közé sorolható. Azzal próbál pénzt kicsalni a felhasználóktól, hogy titkosítja a fontos fájljaikat, majd váltságdíjat követel azért a kulcsért, amellyel a dekódolás, helyreállítás elvégezhető lenne.

A trójai elsősorban elektronikus leveleken keresztül jut fel a számítógépekre, de ártalmas weboldalakról - különféle sebezhetőségek kihasználásával - is felkerülhet a rendszerekre. Graham Cluley, a Sophos szakértője szerint a CryptoLocker legutóbbi variánsai leginkább olyan e-mail csatolmányok formájában bukkanhatnak fel, amelyek látszólag PDF-dokumentumok, de a valóságban futtatható, dupla kiterjesztésű fájlok (.PDF.EXE). Így ha ezeket a felhasználó megnyitja, akkor azonnal megfertőződhet a számítógépe.

Mentés nélkül nagy a rizikó

Amikor egy számítógépen elindul a CryptoLocker, akkor először feltérképezi azokat a fájlokat, amelyeket a későbbiekben titkosítani fog. Ebből a szempontból nem mondható finnyásnak, ugyanis nagyon sokféle kiterjesztésű, formátumú állományt kompromittál. Így például a dokumentumokat, Excel-táblázatokat, fényképeket, adatbázisokat, prezentációs állományokat sem kíméli, de akár AutoCAD-fájlokat is használhatatlanná tud tenni. Nagyon fontos sajátossága, hogy nem kizárólag a helyi merevlemezen tárolt állományokat titkosítja, hanem a számára elérhető összes meghajtón, így a hálózati megosztásokon helyet kapó fájlokat is kódolja. Előfordulhat, hogy felhős (pl. DropBox) megosztások is áldozatául esnek.

Amikor a CryptoLocker befejezi a titkosítást, akkor egy képernyőt jelenít meg, amelyben közli a felhasználóval a szomorú tényeket, és azt, hogy az állományokért cserébe 300 dollárt vagy 300 eurót kell fizetni. A pénzt pedig különféle internetes fizetési szolgáltatásokon keresztül lehet átutalni a csalók számlájára.

A trójai 72 óra haladékot ad a felhasználó számára a fizetésre, és közli, hogy ha ennyi időn belül nem érkezik meg a pénz, akkor már nem lesz lehetőség az adatok, fájlok helyreállítására.

Felvetődhet a kérdés, hogy ha nem sikerül megelőzni a fertőzést és a nemkívánatos fájltitkosítást, akkor az adott számítógépre telepített víruskereső segíthet-e a károk helyreállításában. Sajnos azt kell mondani, hogy maradéktalanul nem. Egy frissítést követően van rá esély, hogy az antivírus felismeri a trójait, és annak fájljait eltávolítja, de ettől még a titkosított állományok nem lesznek használhatóak, ugyanis ilyen jellegű dekódolásra nem képesek a vírusirtók szoftverek. Erre az eshetőségre a trójai készítői is gondoltak, hiszen a károkozó eltávolítása után a következő háttérkép fogadhatja a felhasználót:

A háttérképen lényegében az áll, hogy ha eltávolították a trójai fájljait, akkor az állományok helyreállításához vagy vissza kell helyezni a víruskereső karanténjából a károkozót, vagy újra kell telepíteni azt. Ettől azonban a valóságban semmivel sem lesz jobb a helyzet, sőt!

Mit lehet tenni?

A biztonsági cégek a zsaroló programok esetében azt szokták javasolni, hogy senki ne fizesse ki a bűnözők követeléseit. Nagyon sok eset azt támasztja alá, hogy a felhasználók hiába fizettek, a várva várt dekódoló kulcsot nem kapták meg. Ezekben az esetekben nemcsak az állományaik, hanem a pénzük is bánta az incidenst.

Graham Cluley is a megelőzés fontosságát hangsúlyozta. A naprakészen tartott vírusvédelem mellett rendkívül fontosak a rendszeresen elvégzett biztonsági mentések, amelyekből egy vírusfertőzés után helyreállíthatóvá válhatnak az értékes állományok. Természetesen fontos szerep hárul a megfontolt, körültekintő és tudatos internetezésre, elektronikus levelezésre. Emellett fel lehet keresni a biztonsági cégek weboldalait is, amelyeken közzé szoktak tenni helyreállító eszközöket. Sajnos azonban az esetek többségében a zsaroló programok olyan szintű titkosítást alkalmaznak, amivel belátható időn belül nem lehet mit kezdeni. Mentés hiányában pedig óhatatlanul számolni kell az adatvesztés lehetőségével.