A CryptoLocker a fertőzött gépeken titkosítással használhatatlanná teszi a felhasználó állományait, majd felajánlja, hogy bizonyos összegű – általában 300 eurós vagy 300 dolláros – váltságdíj megfizetése ellenében átadja a felhasználónak a titkosítási kulcsokat a fájlok helyreállításához.

Csakhogy a tapasztalatok szerint a fertőzés után már nagyon nehéz visszanyerni az adatokat. A dokumentumokat 2048 bites egyedi RSA kulccsal titkosítja a vírus. Ha már megtörtént a fertőzés. Béres Péter, a Sicontact vezető IT tanácsadója szerint kevés az esély a sikeres visszaállításra. Meg lehet ugyan próbálni a lehetetlen, de egyrészt általában nem teljes körű a visszaállítás, másrészt a CryptoLocker újabb variánsai már a backup állományokat is tudja törölni, sőt célzottan vadásznak is a rendszer-visszaállítás adatfájljaira. A trójai egyes verziói még az úgynevezett Shadow Copy fájlokat is megsemmisítik még az elkódolási procedúra előtt.

Első (rossz) ötlet: fizetünk a zsarolónak

A bajba jutottaknak – az adatok fontosságától függően – eszükbe juthat egy kézenfekvő megoldás: fizetnek, hogy hozzájuthassanak az adataikhoz. Na pontosan ez az, amit egyik biztonsági cég sem javasol (erre hívta fel a figyelmünket Eddy Willems is a vele készített interjúban).

Persze próbálkozni lehet a fizetéssel is, ha például az adatok pótolhatatlanok. De nem szabad elfelejteni, hogy bűnözőkkel üzletelünk. Másrészt azoknak a beszámolóiból, akik próbálkoztak ezzel az úttal, az derül ki, hogy hiába fizettek, legtöbbször nem jutottak hozzá az adataikhoz. Néhányan ugyan megkapták a titkosítás feloldásához szükséges kulcsot, de összességében ez nem tűnik bombabiztos megoldásnak. Ráadásul arról sem szabad elfeledkezni, hogy a pénz átutalása során értékes banki adatok kerülhetnek a csalók kezébe.

Hatásosabb módszer: a megelőzés

Érdemes proaktívan gondolkodni: azaz előzzük meg a bajt! Első lépés ebben a védelem naprakészen tartása, valamint a szoftverkörnyezet folyamatos frissítése, amit ki kell egészíteni a biztonságtudatos viselkedéssel és nem utolsósorban rendszeres biztonsági mentéssel.

300 dollár jutányos árnak tűnhet, csak épp nem tudhatjuk, hogy mit kapunk a pénzünkért

Ahogy azt fentebb írtuk, a CryptoLocker újabb variánsai miatt sem a lokális Shadow Copy, sem a rendszer-visszaállítás, sem a helyi tükrözés nem ér semmit. A kártevő ugyanis ezeket letörli, a helyben tárolt tükrözött másolatokat pedig szintén titkosítja. De ugyanez érvényes minden, a Windows alatt csatlakoztatott, betűjellel megosztásként hozzárendelt külső meghajtóra is: a CryptoLocker azokon is módszeresen lefuttatja a titkosítást, legyenek azok csatlakoztatott USB tárolók, hálózati meghajtók, sőt még a felhős tárhelyünk is áldozatul eshet. Ez még akkor is így van, ha az adott megosztás nem is Windows-alapú gépen található, de onnan elérhető – hívta fel a figyelmet Csizmazia-Darab István szakértő.

Éppen ezért a mentés elkészülte után azonnal le kell választani a mentést tároló eszközt a rendszerről. Szintén fontos, hogy készítsünk rendszeresen mentéseket csak olvasható formátumú adathordozókra, például DVD-re.

A fertőzés terjedése miatt fontos, hogy ne csak inkrementális (egymásra épülő, csak a változásokat eltároló), hanem időnként teljesen mentéseket is készítsünk.

Ne kapkodjunk, de cselekedjünk gyorsan!

Ha zsaroló trójaira utaló jelet tapasztalunk, első és legfontosabb lépés megakadályozni, hogy a sérült adatok a felülírhassák a korábbi, "tiszta" fájlokat, azaz azonnal le kell választani a fertőzött gépet mindenhonnan, legfőképpen a hálózatról. Persze ez sokszor már nem segít.

A Webroot is ismertet egy módszert az utólagos kárenyhítésre. A biztonsági vállalat egyes termékeibe beépítette az úgynevezett journaling és rollback képességeket. Ezek segítségével a védelmi szoftverek folyamatosan figyelik és naplózzák a védett rendszereken bekövetkező változásokat.

Ha helyre kell állítani állományokat, mert például azokat egy károkozó titkosította, akkor a rollback funkció révén a rendszergazdák ezt megtehetik.

Mindazonáltal a Webroot is a megelőzést tartja a legjobb módszernek, hiszen rollback folyamatok sem jelentenek 100 százalékos garanciát. Előfordulhat például, hogy amikor a CryptoLocker kódolási folyamatát naplózza a biztonsági alkalmazás, egy idő után elfogy a szabad terület a merevlemezen, és így a helyreállításhoz szükséges információkat nem lehet menteni. (A Weboroot SecureAnywhere Endpoint Protection ezért a helyreállítási információkat már tömörítve menti, illetve azonnali beavatkozást is felkínál fertőzéskor.)

Ennél a módszernél érdemes a hálózati megosztások védelmét is biztosítani azzal, hogy a megosztást kiszolgáló szerverre is telepítjük a védelmi szoftvert, ugyanis a rollback funkció csak így lesz hatásos a hálózati erőforrásoknál.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}