A ransomware, azaz a zsaroláson alapuló kártevők fogalma nem új keletű, az újra támadásba lendülő CryptoLocker azonban ismét ráirányította a figyelmet.

Pár nappal azután, hogy az ESET magyar szakemberei azonosították a régióban, így Magyarországon is intenzíven terjedő Filecoder.DA.Gen titkosító malware legújabb verzióját, újabb veszélyforrás bukkant fel. A Noreg tegnap újabb befutott közleménye szerint a CryptoLocker kártevő év eleje óta több magyar cégnél okozott komoly problémákat és rendkívül fontos odafigyelni a vírusra, mert ha bejut a gépekbe, illetve a hálózatokba, akkor csak a több száz dolláros váltságdíj kifizetése után válnak elérhetővé az adatok.

Titkosít, majd váltságdíjat követel

A CryptoLocker ransomware-t elsőként 2013 szeptemberében regisztrálták, de csak a Windows alapú rendszerekre veszélyes. Ludman Tamás informatikus szerint azért rendkívül veszélyes kártevőről van szó, mert fertőzés után a háttérben RSA (ún. aszimmetrikus, kétkulcsos) titkosítási algoritmussal, nyilvános kulccsal (public key) teszi elérhetetlenné a számítógépen található személyes fájlokat, amelyekhez a tulajdonos csak akkor kapja meg a visszafejtéshez szükséges kódokat, ha fizet.

Hogy még nyomasztóbb legyen a probléma, a fertőzés után feltűnő tájékoztató panelen egy visszaszámláló indul el, és 72 órát ad arra, hogy a jellemzően 100-500 dollár (euró) körüli összeget kifizessék az adatok visszanyeréséért. Ludman és a Noreg szakértői is egyetértenek abban, hogy olyan magas szintű ( 2048/4096bites) titkosításról van szó, hogy annak feltörése lehetetlen, így az adatok visszaszerzése csak a váltságdíj kifizetésével lehetséges.

A CryptoLocker rettegett üzenete

A HUP szakmai fórumán többen jelezték, hogy céges rendszereket fertőzött meg a CryptoLocker, ami annak ellenére bejutott a gépre, hogy azt aktív vírusvédelemmel látták el. A kártevő jellemzően egy-egy e-mailhez csatolt fájl (.zip,. vagy .exe) megnyitása után jut be a rendszerekbe, ami hálózati gép esetében tovább terjed, és az összes állományt zárolja. A fórum felhasználói több esetben kifizették már a váltságdíjat, ami után ismét hozzájuthattak az adataikhoz.

A vírus eltávolítható ugyan, de ha a fertőzés megtörtént, akkor az adatokhoz csak a fent leírt módon lehet hozzájutni. A szakértők azt javasolják, hogy az alkalmazottak folyamatos oktatást kapjanak az ismeretlen eredetű fájlokkal kapcsolatban, a cégeknél szigorú, központi szabályozás legyen érvényben a bejövő fájlok kezelésére vonatkozóan, az alkalmazások, operációs rendszerek a legfrissebb verzión működjenek, illetve folyamatosan készüljön (akár több verziós, offline) biztonsági mentés az adatokról.

Óriási üzlet van mögötte

A Cryptolocker (másik nevén CTB-Locker) első változatának terjedését amerikai kormányügynökségek állították meg 2014-ben. Azóta egyre kifinomultabb titkosítást használó változatai tűntek fel, amik komoly fejtörést okoznak még olyan intézményeknek is, mint az FBI, vagy az NCA (National Crime Agency).

Az áldozatoknak csak mintegy 1,3 százaléka fizet, a zsarolóprogram írói azonban így is hatalmas bevételre tesznek szert. Egy 2013-as vizsgálat néhány hónap alatt 27 millió USD forgalmat tapasztalt a Cryptolocker fejlesztőihez köthető Bitcoin számlákon. A DellSecure 2014. augusztusi riportja szerint a CryptoWall (amely a Cryptolocker változata) közel 600.000 gépet fertőzött meg a felmérést megelőző 6 hónapban. 32 és 64-bites rendszereken is fut, ami miatt még nagyobb eséllyel tud fertőzni.