Lecsapott a számítógépekre a Cobra

A Cobra zsaroló program készítői mindent elkövetnek azért, hogy a felhasználót rávegyék a követelt váltságdíj kifizetésére. Sajnos egyelőre csak egy ellenszer van: a megelőzés.
 

Először az ID-Ransomware nevű webes szolgáltatás üzemeltetője figyelt fel arra, hogy egy olyan zsaroló programmal titkosított állományt töltöttek fel az oldalra, amely ugyan hasonlított korábbi fertőzésekhez, de mégsem teljesen egyezett meg azokkal. Ekkor derült ki, hogy a Crysis vagy más néven Dharma ransomware ütötte fel a fejét megújult változatban.
 
Az új variánst egyebek mellett Jakub Kroustek biztonsági kutató vette alaposabban is szemügyre, és azt Cobra névvel illette. Ennek pedig az az oka, hogy a zsaroló program az általa tönkretett fájlok kiterjesztésében feltünteti a ".cobra" kifejezést is.
 
A Cobra alapvetően nagyon hasonlóan működik, mint a legtöbb, fájlok titkosítására specializálódott zsaroló program. Először szétnéz a helyi meghajtókon, és a számára kijelölt állományokat lekódolja. Ezzel azonban nem elégszik meg: a hálózatot is felderíti, majd a megosztott mappákban is kompromittálja a fájlokat, legalábbis, ha ehhez kellő szintű jogosultsággal rendelkezik. Fontos, hogy a kártevő nem kizárólag a mappelt meghajtókon pusztít, hanem olyan megosztásokon is, amik a fertőzött számítógépen nem rendelkeznek meghajtó betűjellel. A zsaroló program jelenléte onnan is felismerhető, hogy a tönkretett fájlok neve megváltozik. A szerzemény minden egyes fájl titkosítása után egy egyedi azonosítót, egy e-mail címet, valamint a már említett .cobra kifejezést fűzi hozzá az állományok nevéhez.
 
A Cobra ügyel arra, hogy a Windows újraindítása után automatikusan be tudjon töltődni, és ezáltal képessé váljon az újonnan keletkező fájlok tönkretételére. Eközben pedig eltávolítja a Windows által készített árnyékmásolatokat, hogy ezzel is megnehezítse a helyreállítást. Amikor pedig minden teendőjével végez, akkor egy felbukkanó ablakban tudatja a felhasználóval, hogy mi is történt a PC-n.  
A zsarolók arra ösztökélik a felhasználót, hogy írjon egy levelet a megadott e-mail címre. A válaszból pedig ki fog derülni, hogy milyen összeget kell kifizetnie (Bitcoinnal). A zsarolók felajánlják, hogy öt darab fájlt ingyenesen helyreállítanak, bizonyítva ezzel azt, hogy ha a váltságdíj megérkezik hozzájuk, akkor helyre fogják állítani a tönkretett állományokat. Ennek ellenére a biztonsági cégek nem javasolják a követelések teljesítését. Még akkor sem, ha jelenleg nincs olyan ellenszer, amivel a dekódolás elvégezhető lenne. Inkább a következő tanácsokat érdemes megfogadni: 

• Rendszeresen készítsen biztonsági mentést. A biztonsági mentéseket tárolja elkülönített helyen.
• Használjon naprakész, korszerű vírusvédelmet
• Óvatosan bánjon az ismeretlenektől érkező, gyanús e-mailekkel
• Gyanú esetén érdemes a mellékleteket azok megnyitása előtt ellenőrizni, például a VirusTotal segítéségével.
• Telepítse a Windows és a különféle alkalmazások frissítéseit.
• A hálózatban gondosan ügyeljen a hozzáférések szabályozására.
• A távoli asztali szolgáltatásokat ne tegye közvetlenül elérhetővé az internet felől. Ilyen esetekben használjon VPN-t.