Nyilvánosságra hozták a hírhedt zsaroló programok, a CoinVault és a Bitcryptor dekódoló kulcsát, amivel bárki visszafejtheti a titkosított fájljait. Ráadásul a holland rendőrség elfogta a programok terjesztésével gyanúsított személyeket is – írta összefoglalójában a Biztonságportál.

A két program közeli rokonságban áll egymással. A CoinVault első változatát tavaly májusban fedezte fel a Kaspersky Lab. A két károkozó az ismert receptet követte: a fertőzött gépeken titkosította a dokumentumokat, képeket, adatbázisokat stb., majd váltságdíjat követelt a dekódoló kulcsokért cserébe.

Bár világszintű volt a fertőzés, 108 országból jelentettek támadásokat, az áldozatok zöme európai országból – Hollandiából, Németországól, Franciaországból és az Egyesült Királyságból – került ki, de jelentős volt a jelenléte az Egyesült Államokban is. A támadások a windowsos gépek ellen irányultak.

Nyomozók és víruskergetők ellentámadása

A mostani siker nem kis részben annak köszönhető, hogy a hatóságok – jelen esetben a holland ügyészség – és a vírusvédelmi cégek, a Kaspersky Lab és a Panda Security összehangolták az ellentámadást. A két biztonsági cég részletes elemzésekkel, technikai információkkal látták el a hatóságokat, amelyek segítségével a holland ügyészség most 14 ezer dekódoló kulcsot szerzett meg a károkozók vezérlő szervereiről – a korábban megszerzettekkel együtt most már vélhetően az összeset megtalálták.

Az akció végül azzal zárult, hogy szeptemberben a holland rendőrség letartóztatott két férfit, akiket a zsaroló program terjesztésével gyanúsítanak. Ha tehát valaki még nem gyalulta le a fertőzött gépét, esélyt kapott arra, hogy hozzájusson a károkozók által titkosított állományaihoz.

Ehhez az érintetteknek le kell tölteniük egy ingyenes dekódoló alkalmazást a Kaspersky Lab oldaláról, ahol a cég a dekódoló kulcsok adatbázisát is nyilvánosan elérhetővé tette.

"A CoinVault nyomozás azért is egyedülálló, mert képesek voltunk az összes kulcsot letölteni. Kemény munkával megszüntettük egy kiberbűnözői csoport teljes üzleti tevékenységét" – mondta Jornt van der Wiel, a Kaspersky Lab globális kutató és elemző csoportjának biztonsági szakértője az esetről.

Fizetni vagy ellenállni?

A teljes igazsághoz azonban hozzátartozik, hogy ez igencsak részsiker. Az ugyanis továbbra is kérdéses, hogy mi a teendő, ha valakinek a gépére zsaroló program fertőzi meg. A CoinVault felfedezése és a mostani sikeres akció között másfél év telt el. Erősen kérdéses, hogy bárki tud várni ilyen sokáig, hogy fájljaihoz hozzájusson. Ráadásul ezek a titkosító károkozók egyre fejlettebbek, azaz olyan jól dolgoznak, azaz igencsak kicsi az esély arra, hogy sikerülhet belátható időn belül a visszafejtés.

Egy ismert biztonsági szakértő, a G Datánál dolgozó Eddy Willems például azt mondta tavaly a Bitportnak adott interjújában, hogy még akkor se fizessünk, ha úgy látjuk, ez az utolsó mentsvárunk! A tapasztalat ugyanis az, hogy a váltságdíj kifizetése után is csak ritkán oldották fel a titkosítást a zsarolók, a felhasználót pedig ott áll továbbra is a titkosított adataival – és egy laposabb pénztárcával.

Jó üzlet a bűnözőknek

Annak ellenére, hogy nincs garancia a titkosítás feloldására sokan mégis a fizetést választják. Egy tavalyi brit felmérés szerint a vizsgált körben közel a gépek tizedét fertőzte meg zsaroló program. A legelterjedtebb a CryptoLocker (minden harminc gépből egyet megfertőzött). Az azonban még ennél is érdekesebb, hogy a fertőzést elszenvedők 40 százaléka fizetett is a titkosítási kulcsért. A Symantec egy felmérése ennél azért jobb képet mutat: szerintük az átlag felhasználók mintegy 3 százaléka fizet a zsarolóknak.

A dilemma valós, és még a szakértők véleménye is megoszlik, hogy fizetés vagy az ellenállás a célravezető. A bűnözők jellemzően 300 és 600 dollár közötti összegeket követelnek a titkosítás feloldásáért. A döntést sok minden befolyásolja, de azt mindenképpen figyelembe kell venni, hogy az ilyen támadásoknál a fájlok nem kerülnek illetéktelen kézbe. Tehát ha van egy viszonylag friss mentés, akkor érdemesebb azzal élni.

Ha azonban valaki fizet – vannak szakértők, aki ezt is megfontolás tárgyává tennék –, ott van a morális dilemma: a fizetéssel lényegében bűnözőket segítünk. Védekezni a titkosító károkozók ellen egyelőre főleg megelőzéssel lehet: rendszeresen frissített víruskeresőkkel, és napra kész, megbízható helyen tárolt biztonsági mentésekkel.