Antivírus blog

vírusok, férgek, botnetek, kártevők

Brainstorming CryptoLocker ellen

2016. március 04. 12:07 - Csizmazia Darab István [Rambo]

Idősebbek és katonaviseltek még talán emlékeznek, amikor a DOS-os vírusok hajnalán, úgy jó 25-30 éve még a fájlfertőző vírusok voltak napirenden. Ilyenkor például egy rezidens (állandóan tárban maradó) vírus megfertőzhette az egészséges állományokat, és hozzáfűzte magát az eredeti fájlok végéhez, úgy hogy az eredeti program akár még működőképes maradt. Akkoriban egy érdekes ötlettel egészítették ki a védelmeket: rendszeresen csali .COM és .EXE fájlokat hívtak meg az Autoexec.bat-ban, és figyelték az esetleges fájlváltozásokat.

Ezzel az emlegetett módszerrel a fájl tulajdonságainak, illetve ellenőrzőösszegének változása egyértelműen utalt arra, hogy valami nagyon nincs rendben az adott számítógéppel.

Az "Egy beteg matróz és egy egészséges ötlet közötti összefüggés" gondolat jegyében, mostani történetünkben - hasonlóan az Elveszett cirkáló című alapműhöz - itt is egy lenyomatot, mintát lehet sikeresen venni, illetve észlelni.

Mai munkadarabunk tehát részben épít erre az autoxec.bat-os alapötletre, csak most a fájlokat elkódoló, titkosító zsaroló kártevők ellen indulunk a csatába. Elképesztően sok változat és variáns jelent meg belőle - még Androidra is készült - és sajnos fillérekért ilyet gyártó KIT készleteket is árulnak.

Erről a témáról már viszonylag sokszor beszámoltunk, a lényeg: óriási nagy károkat képes okozni mind az átlagfelhasználóknak, mind pedig a cégeknek, hivataloknak. Ha jellemező példákat kellene sorolni, a megfertőzött rendőrőrsre, emellett az összes dokumentumát mentés hiányában elveszítő ügyvédi irodára, valamint az immár sorozatos kórházi incidensekre tudnánk itt hivatkozni.

Visszatérve mai főtémánkhoz, valakinek az jutott az eszébe, hogy kiegészítésképpen a leggyakoribb célpont, a Microsoft Windows rendszer futtatása esetén figyelni lehetne például a Windows File Server és Windows Share helyeken csücsülő fájlokat, de emellett bármelyik kulcsfontosságúnak jelölt foldert is, és ha bárminemű változás történne, akkor az a program segítségével azonnal látszana. A monitorozás nem csak változáskor, hanem esetleges fájltörlés észlelése esetén is szólhatna.

Az ütemező segítségével pedig hangolható az ellenőrzési gyakoriság, például óránkénti, napi vagy akár fix heti beosztás szerint is. Ezzel még egy vadonatúj kártevőverzió esetén még a teljes titkosítás lazajlása előtt kaphatnánk valamiféle vészjelzést. Persze mindez semmiképpen nem helyettesíti a rendszeres mentéseket.

Nem csak a telepítő, hanem a Visual Studio 2010-ben készült program forrása is elérhető az adott oldalon, a részletes PDF útmutatóval együtt.
Mivel betatesztes alkalmazásról van szó, így természetesen mindenki csak saját felelősségre játszadozhat vele, de az ötlet mindenesetre érdekesnek tűnik, különösen ha önmaga futását is képes lesz figyelni és védeni.

Végezetül mintegy ismétlésképpen belinkeljük a mentésekkel kapcsolatos tudnivalókat, a naprakész vírusirtó, a folyamatosan patchelt operációs rendszer és alkalmazások, valamint a biztonságtudatos hozzáállás (nem kattint mindenre ész nélkül) mellett a rendszeres, csak a folyamat idejére csatolt külső adathordozóra készített mentések menthetik meg a saját munkánkat, állományainkat.

4 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr358443326

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

gordiuszblog · http://gordiusz.blog.hu 2016.03.04. 20:18:06

jó ötletnek gondolom hasító függvénnyel monitorozni a fontos rendszer/fontos felhasználói fájlokat, de erőforrásigényes a beavatkozási pontot fürkészni [?] és, ha már valamiféle automatizmus alakul a CTB ellen, akkor miért nem a DOC/JPG fájlokat küldik felhőbe? A felhasználónak úgyis nyűg a külső HDD-re archiválgatás [meg úgy minden]. A technológia már kész is, a Windows 10 a lelkünket is titkosítva szinkronizálja

A kulcslyuk szelleme 2016.03.06. 11:49:23

Nekem sikerült pár hete elkapnom a Cryptowall nevű dolgot. _Pár perc_ alatt minden érzékeny állományomat titkosította. Ilyen tempó mellett hiába futtatnék akár óránkénti ellenőrzést, már régen megtörtént a baj, mire észreveszem. Ebben az esetben csak a gyanakvás és egy jó folyamatos védelem segíthet.
(Én voltam a hülye, mert éppen nem volt feltéve vírusirtó, és rákattintottam egy beágyazott videóra, egy olyan oldalon, ahol már sok másik videót megnéztem, így gyanútlan voltam. Szerencsére volt mentésem.)

Celtic 2016.03.13. 12:26:50

Meg anno a filevirusok idejen ket modszerrel detektaltam :)
- egyik szoveges allomany com kiterjesztessel: nyilvan lefagyott a gep, de ha a szoveg vegen ertelmetlen karakterek jelentek meg, fertozes :)
- volt egy .com file, ami bytera pontosna 64k meretu volt. Fertozes eseten (par byte novekedes) nem indult el.

Jo, regi dolgok, csak ugy eszembejutottak :) es nyilvan volt virus, ami ezekre is figyelt. Mondjuk, azt nem tudom,
szoveges allomanyt tudott-e figyelni, elvegre ott nincs fejlec, szoval akar ertelmes szoveg is lehet (elvileg) egy com file elso par byte-ja...

PonDrow 2016.03.30. 09:50:34

A vírus hogyan képes rendszergazdai jogosultság nélkül a rendszerbe beépülni?