Antivírus blog

vírusok, férgek, botnetek, kártevők

A CryptoLocker ellen a megelőzés a legfontosabb

2014. február 06. 11:46 - Csizmazia Darab István [Rambo]

A botnetek is nagy erővel terjesztik azt a zsaroló programot, amely adataink elkódolásával fenyeget bennünket. Mit lehet tenni, ha egy ilyen kártevő bejutna a Windowsos gépünkbe? Erről rajzoltunk most egy szemléletes infografikát.

Ennek az esélye jelentősen minimalizálható, ha az operációs rendszerünket, és alkalmazói programjainkat gondosan és időben frissítjük a megjelenő biztonsági javítófoltokkal, valamint valamilyen teljes körű internetbiztonsági csomagot is használunk. Viszont ha mégis megfertőződünk, és a dokumentumainkat 2048 bites egyedi RSA kulccsal titkosította a vírus, úgy már nagyon nehéz bármit is tenni. Meg lehet ugyan próbálkozni a rendszervisszaállítással, de egyrészt ez nem állít vissza teljes körűen minden adatot, másrészt a CryptoLocker újabb variánsai már képesek a Backup állományainkat is törölni, sőt célzottan vadásznak is a rendszer visszaállítás adatfájljaira. Egyes friss CryptoLocker verziók a korábban még esetlegesen kiskaput jelentő úgynevezett Shadow Copy fájlokat is megsemmisítik, sajnos még az elkódolási procedúra előtt.

Érdemes-e váltságdíjat fizetni? Lehet még esélyt adni az esetleges váltságdíj kifizetésnek, bár a biztonsági cégek ezt általában - az emberrablási esetekhez hasonlóan - nem javasolják. Ennek ellenére meg lehet próbálni a fizetést, hiszen az adatok értéke sokkal nagyobb, mint a hardveré, ha nem éppen pótolhatatlan. Ennek lehetőségéről azt kell tudni, hogy ebben a helyzetben bűnözőkkel üzletelünk, és ahogy a beszámolók egy jelentős részéből kiderül, hogy a fizetés ellenére sem történt aztán semmilyen pozitív változás. Néhány esetben azonban valóban megjöhet ez a működő feloldó kód, így maximum utolsó mentsvárunk lehet ez, de semmiképpen nem a nagybetűs bombabiztos megoldás.

A ThinkDigit tavaly év végen készített egy interjút Juraj Malchoval, az ESET kutatási igazgatójával, aki többek közt a 2014-re várható vírus tendenciákról beszélt, és ebben azt is említette, hogy szerinte a 2013-as esztendő leginnovatívabb kártevője a CryptoLocker volt. Sajnos a bűnözőknek bőven van elég ideje a veszélyes kártevő folyamatos továbbfejlesztésére is, így például legutóbb megjelent a CryptoLocker trójainak egy olyan újabb variánsa is, amely a gyorsabb terjedés érdekében már nem csak kártékony weboldalak útján, hanem cserélhető külső meghajtók segítségével is terjed. Továbbá azt is észlelték a biztonsági kutatók, hogy ezeket a kártevőket már nem csak a botnetek terítik széles körben, hanem bevett gyakorlat lett ezeket fájlcserélő hálózatokon csaliként különféle warez programokba is belecsomagolni.

Mit lehet tenni, hogyan védekezzünk? Az a legfontosabb, hogy a legnagyobb hangsúlyt a megelőzésre tegyük, mert a mentesítés sokszor nehézkes, vagy időnként akár nem is lehetséges. Ebben segít a rendszeres és alapos mentés, mert a helyreállítás enélkül gyakorlatilag lehetetlen. Említettük, semmilyen garancia nincs arra sem, hogy az esetleges váltságdíj fizetés után valóban megkapjuk a privát kulcsot, és újra hozzáférünk az adatainkhoz. Emellett a kért összegek sem alacsonyak, ugyanis 300 eurótól (körülbelül 93 ezer forint) egészen a rendkívül magas 3000 USD-ig terjedő (2200 EUR, nagyjából 690 ezer forintnak megfelelő) váltságdíjat is elkérnek. Marad tehát a sűrű mentés, mint egyetlen hatékony módszer, de még ezt sem mindegy, hogyan végezzük.

Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis az említett Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy titkosítja. Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a CryptoLocker, akkor minden Windows alatt felcsatlakoztatott, betűjellel megosztásként hozzárendelt - külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.

Mindig győződjünk meg arról, ha a mentésünk elkészült, akkor azonnal le legyen választva a tároló eszköz a rendszerről, mert a nap 24 órájában csatlakoztatott külső merevlemez állományai ugyanúgy elvesznek, mint a helyi tartalom. Emellett pedig készítsünk rendszeresen mentéseket csak olvasható formátumú adathordozókra is - például CD, DVD lemezekre. Mind a megírt optikai lemezeket, mind pedig az esetleges külső winchestert a géptől fizikailag távol, védett környezetben ajánlatos tárolni. Egyes felhős tárhelyek is besegíthetnek a hatékonyabb mentésben, ugyanis számos ilyen felhős alkalmazás nem hagyományos betűjeles megosztásként viselkedik, hanem saját tárolási formátumban dolgozik, így ezekkel elkerülhető, hogy ott is adatvesztés történjen. Azt sem szabad elfelejteni, ha mégis beütne egy esetleges fertőzés, akkor viszont haladéktalanul meg kell akadályozni, hogy a sérült adatok a továbbiakban felülírhassák a korábbi tiszta mentési fájljainkat.

Emiatt kiemelten fontos egy jó mentési szisztéma kiválasztása, megtervezése. Tanácsos rendszeresen nem csak inkrementális (egymásra épülő), hanem időnként teljes önálló mentéseket is végezni, sőt ezek közül valamilyen logika és ütemezés alapján egyes adathordozókat nem felülírva azokat véglegesen is örökre megőrizni. Legyen párhuzamosan több különböző verziónk is a mentésekből, ne kizárólag egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket. Ha ugyanis mégis bejutna a fertőzés, akkor így hamarabb találunk korábbi sértetlen állapotot, és nagyobb eséllyel lesz miből válogatni. A CryptoLocker kártevőt az ESET termékei Win32/Filecoder trójai néven detektálják.

26 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr135801059

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Illés Dávid 2014.02.06. 21:30:23

najó, ez nem kicsit para :|

Ellensúly 2014.02.06. 23:37:10

Egy nyelvi ellenőrzés nagyon nem ártott volna. Windowsos nagy W-vel, ezért általános iskolában karó jár.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 06:29:54

Akkor ezennel bevéstem a karót az ellenőrzőkönyvembe ;-) Így tuti, hogy nem kapom meg a bicklit a tanév végén :-)

enpera · http://c64blog.wordpress.com 2014.02.07. 09:01:17

Szerintem jó, hasznos cikk. Bár engem nem fenyeget ilyesmi, mert nem használok W kezdető rendszert, de többeknek hasznos.

És a vége az igazán fontos, MENTENI MENTENI MENTENI :)

JB242 2014.02.07. 10:53:54

USB eszközökkel hogy terjed pontosan?

Jokkura 2014.02.07. 12:27:31

"...esetleges külső winchestert a géptől fizikailag távol, védett környezetben ajánlatos tárolni."
nem is tudtam,hogy egy ilyen vírus 3 pozdorja polcon is átrágja magát :), ezentúl majd a nagyi vidéki padlásán fogom tartani, talán az a cirka 200km elég távol lesz
(értem,hogy ne legyen állandóan kapcsolatban, de ez nem egy nátha vírus,hogy az egy légtérben is fertőző legyen)

nemjogasz 2014.02.07. 13:18:11

@Jokkura:
Ez az ITsek biztonságmentési litániájának része. Gyakorlatilag minden IT-s könyvben szó szerint ugyanúgy leírják, hogy ne tartsd a biztonsági mentést közvetlen a gép mellett, mert ha tűz/hurrikán/beázás/rablás/ufótámadás stb van, az is elveszik a géppel együtt. Ha az ember elolvas néhány ilyen könyvet, utána szinte pavlovi reflexként vágja rá a fenti szöveget a biztonsági mentés szóra.
Úgyhogy gondolom megszokásból írta így:-)

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2014.02.07. 13:27:47

értem én hogy menteni, de nehogy már egy otthoni usernek több terás backup rendszert kelljen fenntartania.

van valami ajánlott mód is, vagy csak annyi hogy vegyek egy 2-3 db egyterrás külső vinyót, és manuálisan mentegessek hetente egy teljes mentést, minden héten egy másik winyóra? és persze ugye ez sem 100%. Nem ártana, ha ezekből 1-et nem otthon hanem munkahelyen tárolnánk. Ez rohadt macerás, és elég költséges megoldás ám. Egy ilyen rendszer használatához kb 75e Ft kellene, de lehet hogy 100. plusz minden héten pár óra mentegetés, ami az otthoni gépek számától, és a menteni kívánt adatmennyiségtől függően akár 5-10 órát is igénybe vehet teljes mentés esetén.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 13:40:41

Szia JB242!

A korábbi csak trójai - azt hiszed valami hasznos, és te telepíted, kattintasz rá - forma mellettl lett egy újabb verzió, ami már számítógépes féreg. Ez ugye pedig már terjedni is képes, szemben a trójaival. Fejlődés, aminek nem örölünk, Részletek itt:
blog.trendmicro.com/trendlabs-security-intelligence/new-cryptolocker-spreads-via-removable-drives/

Jokkura 2014.02.07. 13:47:10

@nemjogasz: ha tűz nem is tesz kárt benne, a tűzoltó biztos :)
ja igen én olvastam,hallottam,tanultam hogy több egymástól nagy (több száz km) távolságoban levő objektumokban kell őrizni mentéseket, de azok a nemzetbizonsági adatokra vonatkoztak...
@Hurrá Torpedó: sztem e gy mezei felhasználónak elég, ha az opredszer feltelepítése után csinál egy "szűz" mentést, aztán az adatairól 1-3-5 hetente (attól függ mivel dolgozik) csinál egy/kettőt/, mondjuk két helyre. Ha sok van ,akkor a csak a legrégebbit (amire biztos nem lesz szüksége) felülírja.
A legtöbb OTTHONi felhaszálónak mi van a gépén ,pár családi kép ,videó (ami potólhatatlan is lehet) ,azokat mentse gyakran,de azok nem több szz GB-k. A céges dolgokat(áltálában --nehezen is de pótólhatók), pl céges által finanszirozott külsőkre, DVD-re (estleg RW-re ). Sztem ez a csoda vírus sem tud egy DVD-RW-t önhatalmúlag felülírni.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 13:56:02

Szia Jokkura!

Igen, jól mondja Nemjogasz, itt csak annyit jelent, hogy ne legyen csatlakoztatva, minden más esetben pedig, hogy a legjobb, ha fizikailag is máshol őrződ. Például ellopják a gépedes, akkor ha mellette van az USB vinyo, azt is viszik, annyi a mentesnek.

De a legerdekesebb sztori a 911-nél volt, az egyik toronyban lévő szerverek mentései a másik tornyban voltak (nem elég máshol), és egészen pontosan 30 perccel élték csak túl a katasztrófát.

De Coppola bácsi sem tartotta meg 2007-ben a kellő távolságot, illetve nem csinált mentést:
antivirus.blog.hu/2007/10/01/missing_in_action_utkozetben_eltunt

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 14:00:11

@enpera:

Ahogy látod, ha van egy LAMP szervered - Winhez semmi köze - ha fel van mappelve egy másik Win alól, akkor ott elkódol.

Olyat is láttam már, hogy a Wines virtuális gép egy állandóra felhúzott Linux alatti shared folderben zúzta le a PDF, XLS-eket.

Szóval persze, Win, meg minden, de azért ez igazából egy jó figyelmeztetés mindenkinek.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 14:06:20

Szia Hurrá Torpedó!

Rég jártál erre :-)

Igazad van, magánembernek valóban nem kell terrás mentés, kevesebb is bőven elég, mondjuk vegyük 1 GB/év-nek a családi fotókat, azok nagyok - és nem lehet kapni a sarki boltban, ezért érték.

Én speciel 1988 óta vagyok programozó, minden eddigi munkám mosolyogva elfér 30 GB alatt. Nyilván a mentés ezt jelenti, csak a saját, pótolhatatlan adatokat, amit sehonnan máshonnan nem tudunk megszerezni, megvenni, letölteni, letorrentezni, újratelepíteni, etc.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 14:08:13

Na ezt még nem kérdezte senki, de már sajnos van 4096 bites kulcshosszal is CryptoLocker, nem mintha nem lenne elég a 2048 is :-)

nemjogasz 2014.02.07. 14:59:09

Kérdés:
Mi van, ha a külső adathordozó hozzáféréséi engedélyét úgy állítom be, hogy lehetséges új könyvárt és fájlt létrehozni, de a törlés és a hozzáfűzés viszont le van tiltva? Akkor elvileg a biztonsági mentést rá tudom írni, de törölni vagy átírni a benne lévő adatot már nem.
Vagy meg tudja kerülni a sima ntfs acl-t?

TakerOne · http://www.taker.hu 2014.02.07. 15:02:06

"vegyük 1 GB/év-nek a családi fotókat"

Haha, 2014-ben? :-) Egy egynapos kirándulás alatt csinálok 1 giga fotót :-), és akkor még nem készült videó sem

Hurrá Torpedó · http://www.youtube.com/watch?v=br-D7UneS0E 2014.02.07. 15:33:38

@Csizmazia István [Rambo]:
köszönöm a kitüntetett figyelmet :)
remélem valami jót tettem amiért ennyire megmaradtam, és nem rosszat...

@TakerOne: igen-igen.
az éves szintű produktum, képekből 10 GB körül van.
egy-egy privát projektmunka szintén GB méretű anyagot képes összehozni. az a bajom a biztonsági mentésekkel, hogy ha 2-3 hetencte csinálom, és pont a mentés előtt ugrik el egy 75%-osan kész projekt akkor szintén morcos lennék. Napi mentésre nincs idő. Cégnél napi mentés van. 3,5-4 órát ment a szerver minden éjjel... Otthon ezt minden nap nem tudom kivárni, illetve nem győzném áramszámlával...

DVD adatmegtartási képességében nem bízok, hisz 10 éve is mindig a drágább lemezt vettem mert hogy az jobb, de ma ugyanúgy nem tudok olvasni néhány fájlt róla. (Igaz a lemez 90%-a olvasható, és nem minden lemez hibásodott meg).

Csak a mobilwinyó marad. De az meg sérülékeny mint az állat. Csak le ne essen, mert akkor ugrik 1T anyag.

Mondjuk alap hogy legalább van védelem a gépen, és nem nagyon warezolunk, és emailből sem töltünk le hülyeségeket.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.07. 16:42:40

Szia TakerOne!

Jogos az észrevétel, megnéztem, és igazad van, ott a pont :-)

Akkor mondjuk átlagembereknél legyen kb. 5 GB/év, nyilván van akinek több, van akinek meg kevesebb. És az is igaz, hogy ez a mennyiség évről évre nő, szóval a mentés nagyon kell.

JB242 2014.02.08. 17:38:19

@Csizmazia István [Rambo]:

OK, de szintén valamilyen álcázott fájlként kerül rá a hordozható meghajtóra? Tehát csak akkor tudom megfertőzni vele a gépem, ha elindítom azt, amit rápakolt? Bár rövid google után látom, hogy az autorun.inf-et is szeretik megfertőzni, de azon kívül van még valami?

Bocsi, sajnos picit lemaradtam a dolgok követésében... Még a boldogabb idők "boot vírus / fájl vírus" felosztásával még képben vagyok. A trójai / féreg dolgokból már csak annyit tudok, hogy ne indítsam el az idegen forrású dolgokat, ezért is vagyok kíváncsi, hogy azért ez még mindig kell, ugye? Leszámítva persze autorun.inf, meg buta levelező ami automatikusan megnyitja a csatolmányt...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.10. 08:21:41

Kedves JB242!

Igen, például kapsz egy ilyen USB kulcsot, és autorun miatt automatikusan lefutva azonnal megfertőzheti a géped, ha nincs rajta védelem.

A trójai helyett terjedő féreg pedig azt jelenti, hogy innentől már nem csak ezzel az egyetlen fertőzött USB kulccsal fogod tudni a környezetedet továbbfertőzni, hanem innentől kezdve bármilyen külső USB eszközzel továbbadod, és megpróbál ez terjedni.

Autorun ellen egyfelől a már említett vírusvédelem szükséges, másrészt érdemes letiltani az automatikus indulást, ha még esetleg nincs. És ez érdekes módon ez nem csak Windows, de Mac alatt is hasznos, mert ott is láttunk már autorunos történeteket, és alapértelmezetten ott sincs lekapcsolva.

JB242 2014.02.13. 18:25:09

@Csizmazia István [Rambo]:

Kedves Rambo!

Köszönöm a részletes válaszokat! Az autorun-os "cselen" (és persze azon kívül, hogy létrehoz / megfertőz egy filet az adott USB driveon), van még valamilyen más út, ahogy terjed?

Vagy az autorun kiiktatása és az exe-k el nem indítása / víruscan az indítás előtt valószínűleg elegendő védelmet ad?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2014.02.18. 06:06:43

A CryptoLockerrel kapcsolatban egyedül az Autorunos módról olvastam eddig.

Ezenkívül persze több olyan módszer is létezik a féregprogramoknál, amiket későbbi verziók esetleg majd alkalmazhatnak, pl. saját SMTP motorjukkal elküldhetik magukat, vagy linkjüket a cimjegyzéken szereplő embereknek, a terjedéshez hálózati kapcsolatokat kereshetnek, esetleg gyenge adminjelszót szótárral törhetnek. Sajnos biztosan folytatódik a kártevő "továbbfejlesztése".

kasu 2015.01.29. 09:28:09

@Csizmazia Darab István [Rambo]: néhány rövid video 5-6 giga. Csak a nagyságrendek miatt mondom. Több száz egy utazás.
A másik, hogy ökörködtök, meg van, aki okoskodik, de lehet nem volt ilyen adatvesztős támadása. Nekem volt. Azt gondoltam biztonságban van minden, aztán kiderült mégsem. Úgyhogy nem kellene nagyarcozni a veszélyt. Miképp a betöréssel sem, az is volt, de szerencsére nekem nem súlyos kárral. Másokkal meg nagyon is, minden elvittek, nyilván nem a családi fotók miatt, hanem üveg borért a vinyó cserealap...

Steste · http://turborago.fw.hu 2016.01.08. 14:16:33

A minap itt kuzdottem egy geppel, a virus .vvv fajlokka konvertalt rsa-4096 bites kodolassal syinte minden kepet rajta, azokkal kezdve amik az asztalon voltak mentve..... sajna elvesztek, semmi adatmento progi nem ismerte fel a fajlokat. avast volt a gepen, ami semmit nem tett csak jelzett hogy virus van a gepen. spyhunter es malwarebytes antimalware dolgozott rajta, majd meg az eset smart security is talált a html es txt fajlokban filecoder virust. nagz pusztitasokra kepes. kezdesnek a ms configban minden indulo nem microsoftos progit kikapcosltam, majd pendriverol rendszerindito spyhunter. atvizsgalta a gepet. meg torolt sok mindent. de a rengeteg html es txt fajlokban csak az eset smart security latta a megmaradt karos kodokat. Rulez Eset.

Steste · http://turborago.fw.hu 2016.01.08. 14:21:13

olvasgattam angol nyelvu cikkeket kommenteket, most 2015 decembereben mar 8-as 9-es verzioja terjed a cryptolocker-cryptowall ransomwarenek. elozo verzioiban meg tarolt a gepen dekodolo kulcsot a fereg, de az uj verziok mar semmit nem tarolnak a gepen.