Minden, amit a CryptoLocker trójairól tudni érdemes

Következő bejegyzés

„Ha számítógépünk mégis megfertőződik és dokumentumainkat 2048 bites egyedi RSA kulccsal titkosította a vírus, úgy már nagyon nehéz bármit is tenni.” - figyelmeztet Béres Péter, a Sicontact Kft., az ESET magyarországi disztribútorának vezető IT tanácsadója. „A rendszer visszaállításával meg lehet próbálkozni, de egyrészt ez nem állít vissza teljes körűen minden adatot, másrészt a CryptoLocker újabb variánsai már képesek a Backup állományainkat is törölni, sőt célzottan vadásznak is a rendszer-visszaállítás adatfájljaira. Egyes friss CryptoLocker verziók a korábban még esetlegesen kiskaput jelentő úgynevezett Shadow Copy fájlokat is megsemmisítik, sajnos még az elkódolási procedúra előtt.”

Érdemes-e váltságdíjat fizetni?
„Lehet még esélyt adni az esetleges váltságdíj kifizetésnek, bár a biztonsági cégek ezt általában - az emberrablási esetekhez hasonlóan - nem javasolják. Ennek ellenére meg lehet próbálni a fizetést, ha az adatok értéke sokkal nagyobb, mint a hardveré, vagy ha éppen pótolhatatlanok azok. Ennek lehetőségéről azt kell tudni, hogy ebben a helyzetben bűnözőkkel üzletelünk, ezáltal a beszámolók egy jelentős részéből kiderül, hogy a fizetés ellenére sem történt aztán semmilyen pozitív változás.” - emelte ki Béres Péter. Néhány esetben azonban valóban megjöhet ez a működő feloldó kód, így maximum utolsó mentsvárként lehet erre a lehetőségre tekinteni, semmiképpen sem úgy, mint egy bombabiztos megoldásra.

Mit lehet tenni, hogyan védekezzünk?
A legfontosabb, hogy a legnagyobb hangsúlyt a megelőzésre tegyük, mert a mentesítés sokszor nehézkes, vagy időnként akár nem is lehetséges. Ebben egyfelől a már említett naprakész védelem, másfelől a frissen tartott szoftverkörnyezet, valamint a biztonságtudatos viselkedés segíthet nekünk. És még valami: a rendszeres és alapos mentés.
Mentés nélkül a helyreállítás gyakorlatilag lehetetlen. Semmilyen garancia nincs arra sem, hogy az esetleges váltságdíj kifizetés után valóban megkapjuk a privát kulcsot, és újra hozzáférünk az adatainkhoz. Emellett a kért összegek sem alacsonyak, ugyanis 300 eurótól (körülbelül 93 ezer forint) egészen a rendkívül magas 3000 dollárig terjedő (2200 euró, nagyjából 690 ezer forintnak megfelelő) váltságdíjat is elkérnek. Marad tehát a sűrű mentés, mint egyetlen hatékony módszer, de még ezt sem mindegy, hogyan végezzük.

„Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis az említett Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy titkosítja. Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a CryptoLocker, akkor minden Windows alatt csatlakoztatott, betűjellel megosztásként hozzárendelt külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtónk, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.” - hívja fel a figyelmet Csizmazia-Darab István, a Sicontact Kft. IT biztonsági szakértője.

Tippek a hatékony védekezés érdekében
Mindig győződjünk meg arról, hogy a mentés elkészülte után azonnal le legyen választva a tároló eszköz a rendszerről, mert a nap 24 órájában csatlakoztatott külső merevlemez állományai ugyanúgy elvesznek, mint a helyi tartalom. Emellett pedig készítsünk rendszeresen mentéseket csak olvasható formátumú adathordozókra is - például CD, DVD lemezekre. Mind a megírt optikai lemezeket, mind pedig az esetleges külső winchestert a géptől fizikailag távol, védett környezetben ajánlatos tárolni. Egyes felhős tárhelyek is besegíthetnek a hatékonyabb mentésben, ugyanis számos ilyen felhős alkalmazás nem hagyományos betűjeles megosztásként viselkedik, hanem saját tárolási formátumban dolgozik, így ezekkel elkerülhető, hogy ott is adatvesztés történjen. Ha mégis beütne egy esetleges fertőzés, akkor viszont haladéktalanul meg kell akadályozni, hogy a sérült adatok a továbbiakban felülírhassák a korábbi tiszta mentési fájljainkat.

Emiatt kiemelten fontos egy jó mentési szisztéma kiválasztása, megtervezése. Tanácsos rendszeresen nem csak inkrementális (egymásra épülő), hanem időnként teljesen önálló mentéseket is végezni, sőt ezek közül valamilyen logika és ütemezés alapján egyes adathordozókat nem felülírva, azokat véglegesen is örökre megőrizni. Legyen párhuzamosan több különböző verziónk is a mentésekből, ne kizárólag egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket. Ha ugyanis mégis bejutna a fertőzés, akkor így hamarabb találunk korábbi sértetlen állapotot, és nagyobb eséllyel lesz miből válogatni.

A CryptoLocker kártevővel kapcsolatos minden lényeges információt megtalál a mellékelt infografikán, az ESET termékei pedig a fertőzést Win32/Filecoder trójaiként detektálják.