Az adatok olvashatatlanná tételében jeleskedő KillDisk malware, mely az ukrán energiaelosztó hálózat elleni sikeres támadásról és az ország áramellátásának jelentős kieséséről ismert, nemrég új változatokkal gyarapodott. Ezeket jelenleg a világ legdrágább zsaroló támadásaira használják. Windows-os és linuxos asztali gépeket és szervereket céloznak a támadók és egészen elképesztő összeget, 222 bitcoint (nagyjából negyedmillió dollárt) követelnek a pórul járt felhasználóktól.

Szerencsére eddig senki sem fizetett, noha többen is elvesztették már adataikat. Ugyanakkor hiába is nyitná ki a pénztárcáját egy érintett, a támadók nem tudnának rajta segíteni. A titkosított állományok feloldásához szükséges titkosító kulcsokat ugyanis helyileg nem tárolják, viszont nem is továbbítják a támadást irányító szerverek irányába.

Azaz gyakorlatilag feloldhatatlanná válnak az összebarmolt állományok, hívta fel a figyelmet a problémára az ESET két kutatója, Robert Lipovsky és Peter Kalnai.

Ukrán támadás

Kémprogrammal mérték be a tüzérséget
Ugyanaz az orosz kormányhoz köthető hackercsoport lehet felelős egy katonai célokra használt, ukrán fejlesztésű androidos alkalmazás megfertőzéséért, amelyet az amerikai elnökválasztást megelőzően a demokraták elleni támadásokkal is összefüggésbe hoznak.

A háború kezdete óta az ukrán tüzérség 50 százalék körüli anyagi veszteséget szenvedett el, míg a támadás révén könnyen bemérhetővé vált tarackok 80 százalékos veszteségrátát jelentettek.

2015 karácsonya előtt egy nappal Ukrajnában egy hackertámadás súlyos áramkimaradásokat idézett elő. Az gyorsan kiderült, hogy az ukrajnai incidenst egy BlackEnergy nevű program okozta. Az ESET kutatói már akkor észrevették, hogy a fertőzés nem elszigetelt jelenség. Több más áramszolgáltató is ki volt téve a támadásoknak.

Azt már ukrán CERT (Community Emergency Response Team) derítette ki, hogy a BlackEnergy feladata az volt, hogy jelszóhalász támadás segítségével bejuttassa a KillDisk trójait az energiaszolgáltató rendszereibe. A KillDisk durván dolgozott: ha sikerült fertőznie, akkor ott már csak a teljes újratelepítés segített. További részletek erre.

A kelet-ukrajnai események miatt egyébként több hackertámadás is érte már az ukránokat, lásd keretes írásunkat.

Backup, backup, backup!

Visszatérve a ransomware aktuális változatára; az áldozattá vált internetező az alábbi üzenet felbukkanását követően vethet keresztet adataira:
 

Rossz hír, hogy habár pénzt nem tudnak csinálni zsaroló programjukból a támadók, annyira voltak azért ügyesek, hogy elkerülték a hasonló trójaiakat készítők titkosítási hibáit, így igazából csak szerencse – és nagy erőforrás – kérdése, hogy vissza lehet-e fejteni a titkosított file-okat. Erre is csak linux alatt van lehetőség, itt a kutatók találtak egy olyan rést a trójaiban, ami lehetővé teszi a dekódolást. Windows-os környezetben viszont nincs menekvés – csak a backupból való helyreállítás segíthet.