Súlyos rombolást végez a fájlokat titkosító trójai
Világszerte egyre jelentősebb károkat okoznak azok a kártékony programok, amelyek a fertőzött számítógépeken található fájlok titkosításával dokumentumokat, képeket, videókat tesznek használhatatlanná.Az amerikai US-CERT biztonsági szervezet november elején arra hívta fel a figyelmet, hogy egyre több számítógépre kerül fel az a CryptoLocker trójai, amely helyreállíthatatlan károkat képes előidézni a fertőzött rendszereken. Most már kijelenthető, hogy a kártékony program nemcsak az USA-ban szedi áldozatait, hanem Európában is. Legutóbb a brit kiberbűnözés elleni ügynökség (NCA) adott ki egy közleményt, amelyben szintén a CryptoLocker burjánzására figyelmeztetett. A szervezet szerint Nagy-Britanniában több tízmillió olyan e-mail (spam) bolyong a hálózatokon, amelyek elsősorban a kis- és közepes méretű vállalkozásokat veszélyeztetik, de természetesen a célpontok köre meglehetősen tág lehet.
"Az NCA aktívan követi azokat a szervezett kiberbűnözői csoportokat, amelyek az ilyen típusú bűncselekmények mögött állnak. Szorosan együttműködünk gyártókkal és nemzetközi partnerekkel annak érdekében, hogy azonosíthassuk, majd bíróság elé állíthassuk az elkövetőket, és ezáltal csökkenthessük a kockázatokat" - nyilatkozta Lee Miles szakértő.
Így kerül a PC-kre a CryptoLocker
A CryptoLocker trójai a zsaroló kártékony programok közé sorolható. Azzal próbál pénzt kicsalni a felhasználóktól, hogy titkosítja a fontos fájljaikat, majd váltságdíjat követel azért a kulcsért, amellyel a dekódolás, helyreállítás elvégezhető lenne.
Elindult a visszaszámlálás - Forrás: grahamcluley.com
A trójai elsősorban elektronikus leveleken keresztül jut fel a számítógépekre, de ártalmas weboldalakról - különféle sebezhetőségek kihasználásával - is felkerülhet a rendszerekre. Graham Cluley, a Sophos szakértője szerint a CryptoLocker legutóbbi variánsai leginkább olyan e-mail csatolmányok formájában bukkanhatnak fel, amelyek látszólag PDF-dokumentumok, de a valóságban futtatható, dupla kiterjesztésű fájlok (.PDF.EXE). Így ha ezeket a felhasználó megnyitja, akkor azonnal megfertőződhet a számítógépe.
Mentés nélkül nagy a rizikó
Amikor egy számítógépen elindul a CryptoLocker, akkor először feltérképezi azokat a fájlokat, amelyeket a későbbiekben titkosítani fog. Ebből a szempontból nem mondható finnyásnak, ugyanis nagyon sokféle kiterjesztésű, formátumú állományt kompromittál. Így például a dokumentumokat, Excel-táblázatokat, fényképeket, adatbázisokat, prezentációs állományokat sem kíméli, de akár AutoCAD-fájlokat is használhatatlanná tud tenni. Nagyon fontos sajátossága, hogy nem kizárólag a helyi merevlemezen tárolt állományokat titkosítja, hanem a számára elérhető összes meghajtón, így a hálózati megosztásokon helyet kapó fájlokat is kódolja. Előfordulhat, hogy felhős (pl. DropBox) megosztások is áldozatául esnek.
Ilyen fájlokat titkosít a trójai - Forrás: grahamcluley.com
Amikor a CryptoLocker befejezi a titkosítást, akkor egy képernyőt jelenít meg, amelyben közli a felhasználóval a szomorú tényeket, és azt, hogy az állományokért cserébe 300 dollárt vagy 300 eurót kell fizetni. A pénzt pedig különféle internetes fizetési szolgáltatásokon keresztül lehet átutalni a csalók számlájára.
A trójai 72 óra haladékot ad a felhasználó számára a fizetésre, és közli, hogy ha ennyi időn belül nem érkezik meg a pénz, akkor már nem lesz lehetőség az adatok, fájlok helyreállítására.
Felvetődhet a kérdés, hogy ha nem sikerül megelőzni a fertőzést és a nemkívánatos fájltitkosítást, akkor az adott számítógépre telepített víruskereső segíthet-e a károk helyreállításában. Sajnos azt kell mondani, hogy maradéktalanul nem. Egy frissítést követően van rá esély, hogy az antivírus felismeri a trójait, és annak fájljait eltávolítja, de ettől még a titkosított állományok nem lesznek használhatóak, ugyanis ilyen jellegű dekódolásra nem képesek a vírusirtók szoftverek. Erre az eshetőségre a trójai készítői is gondoltak, hiszen a károkozó eltávolítása után a következő háttérkép fogadhatja a felhasználót:
A háttérképen lényegében az áll, hogy ha eltávolították a trójai fájljait, akkor az állományok helyreállításához vagy vissza kell helyezni a víruskereső karanténjából a károkozót, vagy újra kell telepíteni azt. Ettől azonban a valóságban semmivel sem lesz jobb a helyzet, sőt!
Mit lehet tenni?
A biztonsági cégek a zsaroló programok esetében azt szokták javasolni, hogy senki ne fizesse ki a bűnözők követeléseit. Nagyon sok eset azt támasztja alá, hogy a felhasználók hiába fizettek, a várva várt dekódoló kulcsot nem kapták meg. Ezekben az esetekben nemcsak az állományaik, hanem a pénzük is bánta az incidenst.
Graham Cluley is a megelőzés fontosságát hangsúlyozta. A naprakészen tartott vírusvédelem mellett rendkívül fontosak a rendszeresen elvégzett biztonsági mentések, amelyekből egy vírusfertőzés után helyreállíthatóvá válhatnak az értékes állományok. Természetesen fontos szerep hárul a megfontolt, körültekintő és tudatos internetezésre, elektronikus levelezésre. Emellett fel lehet keresni a biztonsági cégek weboldalait is, amelyeken közzé szoktak tenni helyreállító eszközöket. Sajnos azonban az esetek többségében a zsaroló programok olyan szintű titkosítást alkalmaznak, amivel belátható időn belül nem lehet mit kezdeni. Mentés hiányában pedig óhatatlanul számolni kell az adatvesztés lehetőségével.
-
A novemberi hibajavító kedden újabb fontos frissítésekkel gyarapodott a Windows.
-
Hat biztonsági frissítést kapott az Office szoftvercsomag.
-
A Microsoft az SQL Serverhez 31 patch-et tett letölthetővé.
-
A Microsoft Exchange Serveren egy biztonsági rés vált befoltozhatóvá.
-
A Veeam Backup Enterprise Manager egy veszélyes biztonsági hibát tartalmaz.
-
A D-Link egyes régebbi NAS-adattárolóit egy kritikus hiba sújtja.
-
A Microsoft Edge két sebezhetőség miatt szorul frissítésre.
-
A HPE kritikus biztonsági hibákat javíott az Aruba AP-k kapcsán.
-
A Red Hat három biztonsági hibáról számolt be az OpenShift Container Platform kapcsán.
-
Az IBM fontos patch-eket adott ki az AIX és VIOS kapcsán.
Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.
Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba.