Az IT-biztonság egyik legnépszerűbb témáját manapság kétségtelenül a zsaroló programok adják. A május elején tartott CIO Hungary információbiztonsággal foglalkozó előadásaiban is rendre előkerült.

Amint arra Csizmazia-Darab István a ransomware-történelemmel foglalkozó előadásában is felhívja a figyelmet a konferencián, a zsaroló vírusok működésének nagyon fontos aspektusa, hogy pszichológiai eszközöket is bevetnek a váltságdíj kikényszerítésére. Az első zsaroló program, a Joseph L. Popp által terjesztett vírusos floppy is lényegében ezzel operáét, hiszen az akkoriban sokakat foglalkoztató AIDS-ről ígért fontos információkat.

Vagy ott van a közelmúltban megjelent Cerber, amely azzal tette hatásosabbá a fenyegetést, hogy tizenkét nyelven felolvasta a fenyegető üzenetét. De ugyanezt a célt szolgálja a Jigsaw büntető funkciója, amely óránként duplázza a törölt fájlok számát, az újraindítást pedig extra büntetéssel sújtja.

Ezek a technikák mind azt szolgálják, hogy a felhasználót gyors fizetésre ösztönözzék, hiszen minél gyorsabb a folyamat, annál kisebb a lebukás veszélye, ahogy annak az esélye is, hogy a felhasználó esetleg megoldást talál a problémára vagy szakértőhöz fordul.

Petya újratöltve

A közelmúltban az IT-biztonsági hírek egyik népszerű témája volt, hogy a kutatók több olyan zsaroló vírust is találtak, amely rosszul működött, így lehetett hozzá általános visszafejtő kulcsot készíteni. A fent említett Jigsaw, valamint a Petya kódjában is olyan kivitelezési hibát találtak az ESET kutatói, amit kihasználva vissza tudták fejteni a két ransomware által titkosított állományokat.

A Petya, amit márciusban a Trend Micro fedezett fel, ún. kék halált okoz a windowsos rendszerekben. Ilyenkor a legtöbben automatikusan újraindítják a gépet, ám a rendszer felállása után nem a desktop képernyő, hanem egy váltságdíjat követelő ablak várta őket. Az ESET kutatóinak kezébe az a felismerés adta a megoldást, hogy a Petya nem titkosította a fájlokat, csak a fájlrendszert. Így tudtak olyan eszközt készíteni, amivel az állományokat vissza lehetett állítani – eddig.

A károkozónak volt még egy gyenge pontja: ahhoz, hogy fertőzhessen, rá kellett vennie a felhasználót, hogy adjon emelt szintű jogosultságokat egy felugró UAC (User Account Control) ablakon keresztül. Ha a felhasználó éber volt, és nem kattintott automatikusan a jogosultsági kérelemre, a Petya nem tudott fertőzni. Eddig...

Van másik...

Ugyancsak a pszichológiai hatás érvényesül a Petya új variánsánál, amelynek már nincs szüksége emelt szintű jogosultságokra a fertőzéshez. A károkozóban ott van Petya eredeti kódja is az UAC-ablakkal, de ha a felhasználó nem engedélyezi az emelt szintű jogosultságokat, jön a támadás második hulláma, melyet már a Mischa nevű ransomware hajt végre. Ha tehát az felhasználó tájékozott Petya ügyben, azt gondolhatja, hogy ezt megúszta: nem kattintott, tehát biztonságban van. És ekkor éri a meglepetés, mert működésbe lép a Mischa.

A Bleeping Computer biztonsági szakértői szerint a Mischa a rendszereken egyenként titkosítja a legértékesebb állományokat, majd közel 2 bitcoint (valamivel kevesebb mint 900 dollár) követel a felhasználótól a visszaállításért. A Mischa a végrehajtható (exe) állományok titkosításával az alkalmazásokat is megbénítja. A titkosított fájlok teljes listája a Bleeping Computer oldalán található. A fertőzési folyamatot az alábbi vidón lehet nyomon követni.

A Petya főleg spamekben és ártalmas weboldalakon keresztül terjedt, de volt egy komoly fertőzési hullám, amely a német TelekomCloud szolgáltatásokon keresztül fertőzött. Ebből következik, hogy az utóbbi időben főleg a német felhasználók kerültek veszélybe – írta összefoglalójában a Biztonságportál.

A védekezés kulcsa ebben az esetben is a rendszeresen elkészített biztonsági mentés.