A botnetek is nagy erővel terjesztik azt a zsaroló programot, amely adataink elkódolásával fenyeget bennünket. Mit lehet tenni, ha egy ilyen kártevő bejutna a Windowsos gépünkbe? Erről rajzoltunk most egy szemléletes infografikát.

Ennek az esélye jelentősen minimalizálható, ha az operációs rendszerünket, és alkalmazói programjainkat gondosan és időben frissítjük a megjelenő biztonsági javítófoltokkal, valamint valamilyen teljes körű internetbiztonsági csomagot is használunk. Viszont ha mégis megfertőződünk, és a dokumentumainkat 2048 bites egyedi RSA kulccsal titkosította a vírus, úgy már nagyon nehéz bármit is tenni. Meg lehet ugyan próbálkozni a rendszervisszaállítással, de egyrészt ez nem állít vissza teljes körűen minden adatot, másrészt a CryptoLocker újabb variánsai már képesek a Backup állományainkat is törölni, sőt célzottan vadásznak is a rendszer visszaállítás adatfájljaira. Egyes friss CryptoLocker verziók a korábban még esetlegesen kiskaput jelentő úgynevezett Shadow Copy fájlokat is megsemmisítik, sajnos még az elkódolási procedúra előtt.

Érdemes-e váltságdíjat fizetni? Lehet még esélyt adni az esetleges váltságdíj kifizetésnek, bár a biztonsági cégek ezt általában - az emberrablási esetekhez hasonlóan - nem javasolják. Ennek ellenére meg lehet próbálni a fizetést, hiszen az adatok értéke sokkal nagyobb, mint a hardveré, ha nem éppen pótolhatatlan. Ennek lehetőségéről azt kell tudni, hogy ebben a helyzetben bűnözőkkel üzletelünk, és ahogy a beszámolók egy jelentős részéből kiderül, hogy a fizetés ellenére sem történt aztán semmilyen pozitív változás. Néhány esetben azonban valóban megjöhet ez a működő feloldó kód, így maximum utolsó mentsvárunk lehet ez, de semmiképpen nem a nagybetűs bombabiztos megoldás.

A ThinkDigit tavaly év végen készített egy interjút Juraj Malchoval, az ESET kutatási igazgatójával, aki többek közt a 2014-re várható vírus tendenciákról beszélt, és ebben azt is említette, hogy szerinte a 2013-as esztendő leginnovatívabb kártevője a CryptoLocker volt. Sajnos a bűnözőknek bőven van elég ideje a veszélyes kártevő folyamatos továbbfejlesztésére is, így például legutóbb megjelent a CryptoLocker trójainak egy olyan újabb variánsa is, amely a gyorsabb terjedés érdekében már nem csak kártékony weboldalak útján, hanem cserélhető külső meghajtók segítségével is terjed. Továbbá azt is észlelték a biztonsági kutatók, hogy ezeket a kártevőket már nem csak a botnetek terítik széles körben, hanem bevett gyakorlat lett ezeket fájlcserélő hálózatokon csaliként különféle warez programokba is belecsomagolni.

Mit lehet tenni, hogyan védekezzünk? Az a legfontosabb, hogy a legnagyobb hangsúlyt a megelőzésre tegyük, mert a mentesítés sokszor nehézkes, vagy időnként akár nem is lehetséges. Ebben segít a rendszeres és alapos mentés, mert a helyreállítás enélkül gyakorlatilag lehetetlen. Említettük, semmilyen garancia nincs arra sem, hogy az esetleges váltságdíj fizetés után valóban megkapjuk a privát kulcsot, és újra hozzáférünk az adatainkhoz. Emellett a kért összegek sem alacsonyak, ugyanis 300 eurótól (körülbelül 93 ezer forint) egészen a rendkívül magas 3000 USD-ig terjedő (2200 EUR, nagyjából 690 ezer forintnak megfelelő) váltságdíjat is elkérnek. Marad tehát a sűrű mentés, mint egyetlen hatékony módszer, de még ezt sem mindegy, hogyan végezzük.

Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis az említett Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy titkosítja. Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a CryptoLocker, akkor minden Windows alatt felcsatlakoztatott, betűjellel megosztásként hozzárendelt - külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.

Mindig győződjünk meg arról, ha a mentésünk elkészült, akkor azonnal le legyen választva a tároló eszköz a rendszerről, mert a nap 24 órájában csatlakoztatott külső merevlemez állományai ugyanúgy elvesznek, mint a helyi tartalom. Emellett pedig készítsünk rendszeresen mentéseket csak olvasható formátumú adathordozókra is - például CD, DVD lemezekre. Mind a megírt optikai lemezeket, mind pedig az esetleges külső winchestert a géptől fizikailag távol, védett környezetben ajánlatos tárolni. Egyes felhős tárhelyek is besegíthetnek a hatékonyabb mentésben, ugyanis számos ilyen felhős alkalmazás nem hagyományos betűjeles megosztásként viselkedik, hanem saját tárolási formátumban dolgozik, így ezekkel elkerülhető, hogy ott is adatvesztés történjen. Azt sem szabad elfelejteni, ha mégis beütne egy esetleges fertőzés, akkor viszont haladéktalanul meg kell akadályozni, hogy a sérült adatok a továbbiakban felülírhassák a korábbi tiszta mentési fájljainkat.

Emiatt kiemelten fontos egy jó mentési szisztéma kiválasztása, megtervezése. Tanácsos rendszeresen nem csak inkrementális (egymásra épülő), hanem időnként teljes önálló mentéseket is végezni, sőt ezek közül valamilyen logika és ütemezés alapján egyes adathordozókat nem felülírva azokat véglegesen is örökre megőrizni. Legyen párhuzamosan több különböző verziónk is a mentésekből, ne kizárólag egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket. Ha ugyanis mégis bejutna a fertőzés, akkor így hamarabb találunk korábbi sértetlen állapotot, és nagyobb eséllyel lesz miből válogatni. A CryptoLocker kártevőt az ESET termékei Win32/Filecoder trójai néven detektálják.