Van-e rosszabb, mint a Cryptowall 3.0?

2015. november 09. 14:06 - Csizmazia Darab István [Rambo]

Bár általánosságban elmondhatjuk, ha egy cikk címe kérdőjellel végződik, a válasz többnyire csak "nem" lehet, most erre mégis azonnal rácáfolunk. Igen van, ugyanis a szemlátomást szorgalmasan dolgozó kártevőfejlesztők előrukkoltak például a Cryptowall 4.0-ás verziójával, és sikeresen abszolválták azt a feladatot, hogyan lehetne még kellemetlenebbé tenni az amúgy is sok problémát okozó zsaroló kártevőt.

A legfontosabb újítás az lett, hogy immár nem csak a fájlok tartalma kerül elkódolásra, hanem a fájlneveket is titkosítja. Így aztán ember legyen a talpán, aki véletlen számokból és randomkarakterekből álló típusmegjelölés nélküli állományokból ki tudja silabizálni, pontosan mi veszett el.

Ez érdekes módon a próba helyreállítás - az úgynevezett Decrypt Service - esetében is problémát okozhat, hiszen így nehezen vagy sehogy sem tudja a felhasználó a legértékesebb állományát ehhez kiválasztani. Emellett további komoly erőfeszítéseket tettek a különféle antivírus programok felismeréseinek kikerülésére.

A váltságdíj összegénél is szemlátomást már nem babra megy a játék, az 1.84 Bitcoin az hozzávetőlegesen 700 amerikai dollárt ér, ez mai árfolyamon nagyjából 205 ezer forint.

Az FBI jelentése szerint havonta körülbelül egymillió dollárt kaszálhatnak ezzel a módszerrel a bűnelkövetők - adómentesen.

A malware szerzők egyébként láthatóan gyakran tarthatnak belső brainstorming megbeszéléseket az olyan továbbfejlesztési lehetőségekről, amelyek még mélyebbre taszíthatják a gyanútlan felhasználókat.

Létezik például egy olyan verzió, amely a háttérben csendben hónapokon át már elkezdi az elkódolásokat, így az esetleges korábbi rendszeres mentések is már részlegesen vagy egészében használhatatlanok lesznek. Ettől a lépéstől is valószínűleg azt várják, hogy nagyobb lesz az adatvesztés felfedezésekor a fizetési hajlandóság.

Egy másik lehetséges mélyütés pedig a Chimera, amely elsősorban a céges áldozatoknak lehet kellemetlen. Ugyanis a titkosított állományokat nem csak zárolja, de a zsarolás azzal is kiegészül, hogy nem fizetés esetén a bizalmas vállalati dokumentumokat azonnal fel is tölti egy nyilvános weboldalra. Ezzel pedig tovább lehet erősíteni a nyomást póruljárt céges felhasználókon.

A Chimera 638 dollárnak megfelelő összeget követel váltságdíjként, ezt "természetesen" itt is a nehezen lekövethető Bitcoin formájában és TOR hálózaton keresztül várják a bűnözők.

Összességében Murphy törvénye itt erőteljesen érvényre jut, miszerint: "Ha már nem romolhatnak tovább a dolgok, akkor is tovább romlanak." Emiatt tanácsaink a régiek: a megelőzés a legfontosabb, vagyis minden saját adatunkat mentsük rendszeresen külső adathordozóra több különböző változatban is, programjaink, operációs rendszerünk és vírusvédelmi programunk legyen rendszeresen frissítve.

Mentéseinket pedig próbáljuk is ki, és legyünk biztonságtudatosak, vagyis ne kattintsunk ismeretlen feladótól származó gyanús e-mail üzenetek linkjeire, mellékleteire.

A fizetéstől egyébként szinte minden biztonsági cég óva int, hiszen ezzel csak erősítik és tovább bátorítják az elkövetőket, akik nem Grál lovagok, így az esetek jelentős többségében nem is kapjuk meg a szükséges feloldó kulcsot.

Ám nem csak titkosítás miatt szedhetnek váltságdíjat. A 2015. november 3-án kezdődő ProtonMail elleni zsarolásos DDoS támadásnál például érdekes módon a cég hajlandó volt kifizetni a 6000 dolláros - mintegy 1.7 millió forintos - váltságdíjat, ám a túlterheléses támadások a beszámolók szerint a fizetés után sem szűntek meg azonnal.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr858065048

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.