CryptoLocker – Fájl-titkosítással zsaroló veszélyes kártevő terjed

 

Felhívjuk olvasóink figyelmét arra, hogy immár hazánkban is erőteljesen jelen van egy titkosítással zsaroló kártevő – amely egyes becslések szerint világszerte akár milliónyi gépet is elérhetett a szeptember eleji megjelenése óta!

A Crypto Locker trójai kód elsősorban nemzetközi csomagküldő szolgálatok nevében feladott, hamis kézbesítési értesítő levelek mellékletében érkezik a címzetthez – de néha feltört vagy eleve ártalmas weblapokra navigálva, ún. “drive-by-download” letöltéssel is eljuthat a nem teljesen naprakész böngésző és szoftver-frissítésű vagy víruskereső nélkül futó számítógépekre. Megint más beszámolók a [highlight]Zbot[/highlight] banki trójait is terjesztő, ártalmas letöltő-programok általi célba juttatásáról szólnak.

A titkosítással zsaroló fertőzés az aktivizálódása után egy egyedi azonosítószámot készít az áldozat gépéhez, amelyet feltölt a kiberbűnözők által üzemeltetett egyik C&C vezérlő szerverre, amelyek [highlight].biz, .co.uk, .com, .info, .net, .org[/highlight] vagy [highlight].ru[/highlight] végződésű, kvázi véletlenszerű doménneveken találhatók, mint pl. a dywpplmanlmsu.org. Ott ennek alapján egy aszimmetrikus kódoláshoz használható RSA kulcspár keletkezik – amelynek privát felét a Crypto Locker urai megtartják maguknak.

A másik, publikus kulcsot a szerver visszaküldi a trójai programnak, amely annak alapján – vélhetően a Windows rendszerbe beépített RSA funkciót felhasználva – erős titkosítással olvashatatlanná teszi a fertőzött gépen található irodai dokumentum, multimédia és egyéb adat típusú fájlokat ([highlight]3fr, acc*, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc*, dwg, dxf, dxg, eps, erf, indd, jp*, kdc, md*, mef, mrw, nef, nrw, od*, orf, p12, p7*, pdd, pef, pem, pfx, ppt*, psd, pst, ptx, r3d, raf, raw, rtf, rw*, srf, srw, wb2, wpd, wps, xl*[/highlight]).

Ezután a Windows asztal háttérképeként egy vörös alapon szedett, angol nyelvű figyelmeztető szöveg jelenik meg, arra utasítva a felhasználót, hogy a fájljainak visszanyerése érdekében fizessen váltságdíjat. A névtelen pénzküldő szolgáltatásokon (pl. Bitcoin, Ukash) keresztül várt összeget általában 300 dollár vagy euró (67-89 ezer forint) értékben határozzák meg a hackerek – akik meg is sürgetik az áldozatukat azzal, hogy a nem utalók privát kulcsát 3 nap múlva letörlik, megsemmisítve így a túszul ejtett fájlok tartalmát!

Ez utóbbi riogatás egyes beszámolók szerint kamu lehet, mert a gép BIOS-ában a dátumot átállítva a számlálás újra kezdődik. Másrészt viszont úgy tűnik, hogy az ismert Crypto Locker változatok titkosító funkciója programozás szempontjából alaposan lett megvalósítva, így nem lehet gyorsan fogást találni rajta. A felhasználó tehát a kriptográfia feltörhetőségének hiányában vagy fizet, vagy megpróbál kerülő úton hozzájutni a fájljaihoz…

Ez utóbbi célra a legjobb a mentés, de sajnos egy általunk ismert, konkrét esetben egy kisebb cég a mentést a hálózati megosztásokra végezte – amelyek a gépeiken meghajtó betűjellel be voltak mappelve. Emiatt a Crypto Locker az éjszaka folyamán azokon is végigment és betitkosította az ott talált tartalmat. Az egyik munkatárs ráadásul a DropBox hálózati felhő mentőrendszerbe is bejelentkezve maradt a munkanap végén, így a trójai oda is bejutott…

Végeredményben mindössze néhány száz olyan közös dokumentum fájl akadt, amelyekből találtak külső adathordozón (off-line) megmenekült példányt és sok azok közül sem aktuális, hanem egy vagy több hetes állapotot tükröző változat. Fájlok tízezrei eközben a Crypto Locker áldozatává váltak és nyílt szövegű eredetijük egyelőre elérhetetlen. Másik kerülő megoldást kell tehát keresni.

A Microsoft Shadow Copy (árnyékmásolat) szolgáltatása kiváló ellenszer lehet: egy jobb kattintás a fájlon és a korábbi verzió máris visszanyerhető, segédprogram használatával akár tömegesen-kötegelve (ún. batch módban) is. Sajnos ez a funkció csak a Vista és annál modernebb operációs rendszerek esetében érhető el, míg az említett áldozat gépei mind az öregecske Windows XP-t futtatták.

A jó ötletek kifogyása után a hogyan-tovább elsősorban a titkosító trójai járványban érintettek türelmétől függ. Ha pl. üzleti okokból nagyon sürgős az olvasható tartalom visszanyerése, akkor lehet, hogy ki kell fizetni a váltságdíjat – sőt akár újra meg kell majd fertőzni a már mentesített gépeket, hogy legyen hova beírni a vírusíróktól várt feloldó kódot! Arra természetesen nincs garancia, hogy a hacker segítni is fog, nem csak elsétál a talált pénzzel…

Egyes külföldi fórumok hozzászólásai szerint ráadásul olyan érintett is volt, aki fizetni próbált, de a váltságdíj elakadt a bankja és a hacker által használt egyik névtelenített fizetési rendszer között – így most se pénze, se fájljai! (A Selyemutat felszámoló minapi amerikai hatósági akció nyomán a Bitcoin tranzakciók alapból gyanúsak, míg a Ukash és hasonló orosz, ukrán rendszerekbe irányuló átutalásokat valószínűleg a pénzmosás ellen küzdelem jegyében igyekeznek blokkolni a nyugati országok.)

Amennyiben a tartalom visszanyerése ráér, mert mondjuk “csak” egy családi fényképalbumról van szó, a hackernek fizetni pedig nem szeretnénk, akkor érdemes mind megőrizni az eltitkosított fájl-példányokat – különösen, ha legalább néhányukról rendelkezésre áll az olvasható eredeti is.

Korábban ugyanis előfordult már, hogy a Kaspersky antivírus cég kutatóinak, több munkahét ráfordítása árán sikerült egy kisebb hibát kihasználnia a GPcode.AK nevű, titkosítással zsaroló kártevőben. Gépenként így már néhány fájl elkódolt és a nyílt szövegű változatának összehasonlításával a teljes dokumentum-mennyiség 80-98% százaléka ingyen visszanyerhető lett, egy egyedi segédprogram segítségével. Ki tudja, sikerül-e ezt a diadalt megismételni a Crypto Locker esetében is?

Alaptalanul azonban senkit sem akarunk kecsegtetni, hiszen már több mint öt év telt el a fent említett, 2008-as bravúr óta és a kártevők rendületlenül csak fejlődnek. Tavaly ősszel a finn F-Secure antivírus cég egyik fiatal ösztöndíjas munkatársa a titkosítással zsaroló kártevők világát tanulmányozva arra jutott, hogy azok már akkor vagy a legközelebbi jövőben elérik a nem támadható fejlettségi fokot. Emiatt csak a gondosan kezelt, akár többszörös mentések fognak ellenük védelmet nyújtani.

A zsaroló trójai fő tanulsága az lehet, hogy jobb a bajt megelőzni, mint utólag orvosolni! Gondolkodás nélkül bármire rákattintva, naprakész szoftver-javítások és vírusvédelem nélkül futó gépen dolgozva nagy kockázatnak tesszük ki magunkat. Ez utóbbi sajnos nem elírás, mert a fent említett áldozat egy korábbi kártevő-incidens során olyan zavarónak tartotta a víruskereső gyakori riasztó és fájl-elérést blokkoló üzeneteit, hogy egyszerűen leszedte a biztonsági szoftvert a vállalkozás gépparkjáról, amelyek azóta is csupaszon futottak…

Forrás: virushirado.hu

October 19th, 2013

Top