CryptoLocker „zsaroló-vírus”

  Az alábbi cikk elsődlegesen a CryptoLocker kártevő-program működését ismerteti és a fertőzés elleni védekezést próbálja meg segíteni, de hasznos a többi, nem ennyire drasztikus eredményt produkáló számítógépes kártevőprogram elleni védekezésben is.

A CryptoLocker működésének bemutatása

  A CryptoLocker ransomware első detektálása 2013 szeptemberében történt. Microsoft operációs rendszerű (Windows XP, 7, 8, 8.1) számítógépes rendszerekben tud kárt tenni, a többi platform (Apple, Linux, stb...) nem veszélyeztetett. Az áldozat számítógépének megfertőzése után a háttérben RSA (un. aszimmetrikus, kétkulcsos) titkosítási algoritmussal, nyilvános („public key”) kulccsal titkosítja a számítógépen található „személyes fájlokat” (Word, Excel, PowerPoint, kép és videó-fájlokat, stb…). Végül a ransomware egy felbukkanó ablakban (angol nyelven) tájékoztat a számítógépen található dokumentumok titkosításáról és pénzt követel a helyreállításhoz feltétlenül szükséges egyedi titkos-kulcsért („private key”). A felbukkanó ablak bal oldalán megjelenik egy számláló is, ami 72 órától visszafelé számol 0-ig, ami a váltságdíjfizetés határidejének leteltéig hátralévő, fennmaradó időt mutatja. A fenyegetés szerint a 72 órás határidő letelte után törlik a szerverükről a titkosított „személyes fájlok” helyreállításához szükséges egyedi „private key”-t és ezzel az érintett adatok örökre elvesznek. CryptoLocker verziótól (is) függően a fizetendő „váltságdíj” 100-600 USD, vagy EUR összeg, ami attól is függ, hogy mennyi idő van még hátra a határidő végéig (minél kevesebb idő, annál nagyobb pénzösszeget követel). Sajnos a jelenlegi informatikai technikával ez a 2048/4096bites RSA titkosítás (katonai/banki „erősségű”) nem törhető fel, így akinek pótolhatatlan adatait érintette a fertőzés és szeretné helyreállítani azokat, az kénytelen kifizetni a „váltságdíjat” és bízni abban, hogy ezután a zsarolók elküldik a dekódoláshoz szükséges egyedi, titkos-kulcsot.
  Internetes honlapok szerint az USA rendőrsége is kénytelen volt fizetni több száz USD váltságdíjat, mert nem volt naprakész mentésük a dokumentumaikról .
  Előfordult, hogy a rendszergazda gyanútlanul csatlakoztatta a fertőzött számítógéphez az egyetlen adatmentést tartalmazó külső HDD-t és így az azon tárolt adatok is használhatatlanná váltak, mert a CryptoLocker titkosította ezeket a fájlokat is.

Fertőzés forrásai lehetnek:

- Email: A CryptoLocker első verziói főleg spamekhez csatolt zip-fájlokban terjedtek, ma már nagyon hihető tartalmú, hamisított e-mailekben.

- Weboldalak: „Támadó”-weboldalakról, torrent, warez oldalakról fájlok letöltése, futtatása, „felnőtt”-tartalmú oldalak meglátogatásakor (vagy feltört weboldalakon) lefutó támadó kód, ami a fertőzéshez kihasználja az operációs rendszer és/vagy a böngésző-program biztonsági sebezhetőségeit.

- Mobil adattároló eszközök: Fertőzött pendrive, memóriakártya, külső merevlemez, stb...

További részletek, védekezési lehetőségek az alábbi pdf-ekben.

CryptoLocker “zsaroló-vírus”-ról szóló cikkem magyar nyelven (2015 január)
Cryptolocker presentation (13th of May 2014 English)
CryptoLocker presentation text (13th of May 2014 English)

CTB Locker "zsaroló vírus" a CryptoLocker ransomware 2014 júliusában detektált, újabb variánsa és a fertőzés után van lehetőség a titkosított dokumentumok eredeti állapotának visszaállítására. :)

Hívjon a részletekért! 0630-414-3802