Friss Információ!!
Egyes esetekben van lehetőség a CryptoLocker és CTB Locker “zsaroló vírus” (2014 júliusában detektált, újabb variáns) által történt titkosítás előtti, eredeti állapot visszaállítására!(Frissítve: 2015 június 23.)
Hívjon a részletekért! 0630-414-3802
CryptoLocker „zsaroló-vírus”
Az alábbi cikk elsődlegesen a CryptoLocker kártevő-program működését ismerteti és a fertőzés elleni védekezést próbálja meg segíteni, de hasznos a többi, nem ennyire drasztikus eredményt produkáló számítógépes kártevőprogram elleni védekezésben is.
A CryptoLocker működésének bemutatása
A CryptoLocker ransomware első detektálása 2013 szeptemberében történt. Microsoft operációs rendszerű (Windows XP, 7, 8, 8.1) számítógépes rendszerekben tud kárt tenni, a többi platform (Apple, Linux, stb…) nem veszélyeztetett. Az áldozat számítógépének megfertőzése után a háttérben RSA (un. aszimmetrikus, kétkulcsos) titkosítási algoritmussal, nyilvános („public key”) kulccsal titkosítja a számítógépen található „személyes fájlokat” (Word, Excel, PowerPoint, kép és videó-fájlokat, stb…). Végül a ransomware egy felbukkanó ablakban (angol nyelven) tájékoztat a számítógépen található dokumentumok titkosításáról és pénzt követel a helyreállításhoz feltétlenül szükséges egyedi titkos-kulcsért („private key”). A felbukkanó ablak bal oldalán megjelenik egy számláló is, ami 72 órától visszafelé számol 0-ig, ami a váltságdíjfizetés határidejének leteltéig hátralévő, fennmaradó időt mutatja. A fenyegetés szerint a 72 órás határidő letelte után törlik a szerverükről a titkosított „személyes fájlok” helyreállításához szükséges egyedi „private key”-t és ezzel az érintett adatok örökre elvesznek. CryptoLocker verziótól (is) függően a fizetendő „váltságdíj” 100-600 USD, vagy EUR összeg, ami attól is függ, hogy mennyi idő van még hátra a határidő végéig (minél kevesebb idő, annál nagyobb pénzösszeget követel). Sajnos a jelenlegi informatikai technikával ez a 2048/4096bites RSA titkosítás (katonai/banki „erősségű”) nem törhető fel, így akinek pótolhatatlan adatait érintette a fertőzés és szeretné helyreállítani azokat, az kénytelen kifizetni a „váltságdíjat” és bízni abban, hogy ezután a zsarolók elküldik a dekódoláshoz szükséges egyedi, titkos-kulcsot.
Internetes honlapok szerint az USA rendőrsége is kénytelen volt fizetni több száz USD váltságdíjat, mert nem volt naprakész mentésük a dokumentumaikról .
Előfordult, hogy a rendszergazda gyanútlanul csatlakoztatta a fertőzött számítógéphez az egyetlen adatmentést tartalmazó külső HDD-t és így az azon tárolt adatok is használhatatlanná váltak, mert a CryptoLocker titkosította ezeket a fájlokat is.
Fertőzés forrásai lehetnek:
– Email: A CryptoLocker első verziói főleg spamekhez csatolt zip-fájlokban terjedtek, ma már nagyon hihető tartalmú, hamisított e-mailekben.
– Weboldalak: „Támadó”-weboldalakról, torrent, warez oldalakról fájlok letöltése, futtatása, „felnőtt”-tartalmú oldalak meglátogatásakor (vagy feltört weboldalakon) lefutó támadó kód, ami a fertőzéshez kihasználja az operációs rendszer és/vagy a böngésző-program biztonsági sebezhetőségeit.
– Mobil adattároló eszközök: Fertőzött pendrive, memóriakártya, külső merevlemez, stb…
Friss Információ!!
Egyes esetekben van lehetőség a CryptoLocker, CTB Locker, CrypXXX “zsaroló vírus” által történt titkosítás előtti (eredeti) állapot visszaállítására!
(Frissítve: 2016. május 23.)
Hívjon a részletekért! 0630-414-3802
További részletek, védekezési lehetőségek az alábbi pdf-ekben.
CryptoLocker “zsaroló-vírus”-ról szóló cikkem magyar nyelven (2015 január)
Cryptolocker presentation (13th of May 2014 English)
CryptoLocker presentation text (13th of May 2014 English)