Zsaroló vírusok: elveszett adatok, pórul járt felhasználók
Nagyjából a címben említett pályát futhatja be az a magánszemély vagy vállalat, ahol a 2013-ban megjelent ransomware, azaz váltságdíjat szedő zsarolóvírusok ellen nem sikerült hatékony megelőzéssel, védekezéssel szembeszállni. Mit kell tudni ezekről a kártevőkről?
Érdekes módon, ha egy átlagfelhasználónak vírusfertőzött a gépe – például mert elhanyagolja a frissítéseket –, legtöbbször egyáltalán nem izgatja magát emiatt. Ha a számítógépe egy botnet része, és a távoli támadók ellopják a netkapcsolatának jelentős részét, spamelnek, DDoS-támadásokat hajtanak végre az ő zombi gépéről, a felhasználók jelentős hányadát még ez sem érdekli. Ám miután a saját adatok – fájlok, dokumentumok, fényképek – titkosításra kerülnek egy zsaroló kártevő miatt, mindenkit azonnal érdekelni kezd a fertőzés és a védekezés.
Ransomware – ezt a kategóriát magyarul zsaroló, váltságdíjat követelő kártevőnek nevezhetjük. Az ilyen programok titkosítják az eszközeinken található fájlokat, és utána váltságdíjat követelnek a rendszer, a fájlok feloldásáért. E-mailek csatolmányai, mellék-letei illetve fertőzött web-olda-lak, és megbízható oldalak fer-tőzött reklámjai terjesztik, de megtalálhatóak fájlcserélőkön, warez programokban, illetve botnetek is terítik. A trójai módszeren felül USB eszközökkel is terjed, illetve sebezhető vagy nyitott RDP-n (Remote Desktop Port) keresztül is. Sajnos a bagóért kínált ransomware-t készítő, terjesztő készletek is nehezítik a helyzetet, már 400 dollárért is lehet kapni CryptoLocker/CryptoWall szolgáltatási csomagot, amelyhez teljes körű „technikai támogatás” jár. Fontos látni, hogy itt egy valós üzleti modell áll a bűnözők rendelkezésére, akár a kártevő forráskódja is megvásárolható a darkneten.
A CryptoWall család például csak 2015-ben 325 millió dollár bevételt termelt. Általában 100-500 euró összeget követelnek, ezt szinte mindig a virtuális és nehezen lenyomozható bitcoinban. A kapott határidő jellemzően 48 vagy 72 órás, amennyiben ez lejár, akkor a zárolt adatok végleg elvesznek.
A dolog célja egyértelműen a könnyű pénzkereset, mostanra a ransomware komoly pénztermelő ágazattá vált. Az FBI szerint a ransomware-es bűnbandák átlagos bevétele havi egymillió dollár körül mozog, adómentesen.
Fizessünk, vagy ne?
Ezt a biztonsági cégek és rendvédelmi szervek sem javasolják – az emberrablási esetekhez hasonlóan. Ennek ellenére, ha mondjuk horror módon egy céges szerver száll el, amin nem volt valódi vírusvédelem, nem készítettek róla rendszeres mentést sem, végső lehetőségként akkor meg lehet próbálni a fizetést, hiszen ilyenkor az adatok értéke sokkal nagyobb, ha nem éppen pótolhatatlan. Erről viszont azt kell tudni, hogy nem úriemberekkel vagy Grál-lovagokkal üzletelünk, hanem bűnözőkkel. Emiatt semmilyen garancia nincs arra, hogy egyáltalán kapunk valamilyen kódot, vagy az működőképes lesz. A beszámolók jelentős részénél a fizetés után nem érkezik semmi. Néhány esetben azonban valóban megjön a feloldó kód, és ráadásul működik is, így maximum utolsó mentsvárként lehet erre tekinteni, de semmiképpen nem úgy, mint a bombabiztos megoldásra.
Mit lehet tenni, ha egy ilyen kártevő bejut windowsos gépünkbe?
Eleinte voltak félsikerek, még a kezdeti időben néha segített a rendszer-visszaállítás, bár ez nem állított vissza teljes körűen mindent. Később azonban az új kártevők már célzottan törölték a backup állományainkat és a rendszer-visszaállítás adatfájljait, valamint az összes elérhető meghajtón található lomtárat is. Néha lehetséges valamilyen biztonsági cégek által készített ingyenes univerzális helyreállító segédprogram használata is, ez azonban csak az esetek egy kisebb, meghatározott zsarolóprogram-típusok bizonyos verzióinál alkalmazható.
A baj bekövetkezésének esélye jelentősen minimalizálható, ha az operációs rendszerünket, és alkalmazói programjainkat gondosan és időben frissítjük a megjelenő biztonsági javítófoltokkal, valamint valamilyen külső gyártótól származó teljes körű internetbiztonsági csomagot – vírusirtó, tűzfal, kémprogram elleni modul stb. – használunk. Emellett számos olyan hasznos beállítással is élhetünk, amelyek segítik a védekezést: letiltjuk a programfuttatást például az AppData/LocalAppData és a temp mappákban, blokkoljuk a tűzfalon a TOR forgalmat, letiltjuk a távoli asztal kapcsolat (RDP) lehetőséget, tiltjuk a makrók automatikus futtatását az Office-ban, láthatóra kapcsoljuk az ismert fájltípusok elrejtése opciót (sajnos ez az alapértelmezett állás), szűrjük a levelezésünkben az .exe fájltípusú mellékleteket, illetve a Device Guard blokkolni tudja, hogy csak aláírt fájlokat engedélyezzünk futtatásra, valamint az AppLocker szabályok segítségével rendelkezhetünk, hogy mely felhasználók futtathatnak adott alkalmazásokat.
Ami viszont még nagyon lényeges, hogy a biztonsági szoftverekből a legújabb termékverzió fusson, az ESET termékeinél a business vonalon ez jelenleg a 6-os verziót, míg a home területen a 9-es verziót jelenti. Emellett pedig az is lényeges, hogy mindez megfelelően legyen konfigurálva.
A már sajnos több ezer fajtával és variánssal megjelenő zsaroló kártevők pusztításaiból annyit most már mindenki megért, hogy a mentéseit mostantól gondosabban kell végeznie. A Citrix egy friss kutatása szerint a meg-kérdezett cégek 48 százaléka nem tud napi biztonsági másolatot készíteni, emiatt a nagyvállalatok átlag 72 ezer dollár váltságdíjat fizetnek a kritikus üzleti adataikért. Sok vállalat már előre „bespejzol” bitcoinból, a 250-500 fős cégek 36 százaléka, az 501-1000 fős cégek 57 százaléka tart készleten virtuális valutát.
Összefoglalva tehát operációs rendszertől függetlenül a megelőzés a legfontosabb feladatunk. A megfelelő védekezés mellett a rendszeres saját mentés nélkül pedig nincs valós esélyünk elkerülni az adatvesztést.
Kis zsarolóvírus-történelem
A ransomware megszületését egy 1989-es esethez kötik, ahol egy cég AIDS-szel kapcsolatos információs flopilemezt küldött szét mintegy huszonhatezer egészségügyi intézmény címére. A címjegyzék tanúsága szerint három példányt Magyarországra is elküldtek: a Haematológiai Intézetbe, a Szent János Kórházba és a KFKI-be (Központi Fizikai Kutatóintézet), de ezeknek – állítólag postázás közben – lába kelt, ami jelen esetben utólag szerencsés fordulatnak is értékelhető. A lemez egy aljas programozási trükkel operált, és közben figyelte a rendszerindítások számát. Folyamatosan titkosította a merevlemezen az állományokat és a könyvtárakat. A kilencvenedik újraindítás után aztán a trójai az alábbi üzenetet jelenítette meg a képernyőn angolul: „A szoftverbérleti szerződés erre a számítógépre lejárt. Amennyiben még szeretné használni ezt a számítógépet, meg kell újítania a bérleti szerződést. További információkért kapcsolja be a nyomtatót és nyomja meg az Enter billentyűt”. A kinyomtatott üzenetben aztán szerepelt egy panamai postafiók címe, és hogy 189, illetve 378 amerikai dollárt kell küldeni a készítőnek váltságdíjként, amit fizethetünk csekken vagy átutalással is. Ez egy színtiszta zsarolási manőver volt, és remek érzékkel kihasználta, hogy sokan érdeklődtek az akkor még új, ismeretlen és félelmetes AIDS iránt. Később sikerült elfogni a készítőt, egy bizonyos Joseph L. Poppot, aki Panamában a PC Cyborg Corporation nevű céget jegyezte és majd’ egy évig készítette elő ezt az akcióját.
A jelentős és újszerű fenyegetést alkalmazó zsarolóprogramok mostani hullámának első darabja a CryptoLocker volt, ez 2013 szeptemberében bukkant fel. 1024, később pedig 2048 bites egyedi aszimmetrikus RSA kulcsot alkalmazott, ahol más kulcs való a titkosításhoz, és más a feloldáshoz. A titkosítás folyamán végigment minden meghajtón, USB tárolón, hálózati meghajtón, illetve megosztáson.
A következő jelentősebb kártevő a 2014 áprilisában felbukkanó CryptoWall volt. Ez 500 dollárnak megfelelő összeget kért bitcoinban, és csak a 2014. március-augusztusi időszakban több mint 600 ezer PC megfertőzéséért volt felelős. Egyes statisztikák szerint összesen 1,1 millió dollár váltságdíjat zsebeltek be a bűnözők. Alig két hónappal később, 2014 júniusában tűnt fel a CTB-Locker, és már 8 bitcoint követelt – ez körülbelül 460 ezer forint. Ami újszerű volt, hogy kaptunk egy tesztlehetőséget, mellyel 5 darab tetszőleges állományunkat ingyen helyreállíthattunk. A határidő itt 96 óra, azaz 4 nap volt, utána viszont duplázódott a váltságdíj összege.
Már nemcsak kizárólag a Microsoft Windows- alapú gépek ellen indítottak támadást, hanem minden alternatív platform is megízlelhette az érzést. A Simplocker 2014 júniusában jelent meg, és az androidos eszközökön jelentkező zsarolóprogram titkosította a mobilok SD- kártyáját.
2015 februárjában járunk, amikor feltűnt a TeslaCrypt. Ez egy Adobe Flash sebezhetőséget használt ki, és 1,5 bitcoint (420 dollár) követelt. A szokásos állománytípusok titkosítása mellett a játékfájlok, játékállások fájljaira is veszélyt jelentett, emiatt az aggódó játékosok talán nagyobb arányban fizettek. 2016. májusban a készítők abbahagyták a fejlesztést, és elnézést kértek eddigi károkozásaikért, az ESET felvette velük a kapcsolatot, és a pórul járt felhasználóknak a megkapott mesterkulcs segítségével közreadtak egy ingyenes univerzális helyreállító segédprogramot.
Ugyancsak Android platformon terjedő trójai volt a 2015 szeptemberében felbukkanó LockerPIN is. Ez képes volt megváltoztatni a készülékek PIN kódját, lezárta a készülék képernyőjét és 500 dollár (körülbelül 140 ezer forint) váltságdíjat kért. A Power Worm 2015 októberében készült, és bárcsak ne készült volna. Ugyanis a 2 bitcoint (220 ezer forint) követelő zsaroló kártevő hibásan volt megírva, így a mégis fizetőknek esélyük sem volt adataik visszanyerésére. A korábbi kártevők új változatai is napvilágot láttak. 2015 novemberében jelent meg a CryptoLocker 4.0. Itt már nemcsak a fájlok tartalma került elkódolásra, hanem a fájlneveket is titkosította, így lehetetlen volt kitalálni, pontosan mi veszett el. Az összegek is emelkedtek, gyakori volt az 1,84 bitcoin (körülbelül 700 dollár) mértékű követelés is.
Vállalati környezetek réme lehet a Chimera, amely 2015 decemberében debütált. Itt tényleg elsősorban a céges áldozatoknak lehetett kellemetlen, hiszen a titkosított állományokat nemcsak zárolta, hanem nemfizetés esetén fel is töltötte egy nyilvános weboldalra. Váltságdíjként 638 dollárnak megfelelő bitcoint követelt.
A Locky kártevő 2016 februárjától csatlakozott a díszes kompániához. Ez Word-dokumentumban terjedt, a fájlba ágyazott makró segítségével. Aki engedélyezte a makrók futását, annak a Word- és Excel-fájljait titkosította, és eközben eltávolított minden árnyékmásolatot is, ezzel nehezítve a helyreállítást. Emellett még egy különösen rosszindulatú gesztust is tett, ugyanis a bitcoinos pénztárca fájlokat is megrongálta, emiatt aki fizetésre szánta el magát, új bitcoin vásárlással kellett szembesülni a 0,5-1 bitcoin (400 dollár) váltságdíjhoz.
2016 márciusában Macintosh OS X alatt is megjelent az első valódi, nem kísérleti ransomware, a KeRanger. Ez a Transmission nevű torrentkliensben terjedt el annak hivatalos web-oldaláról, ugyanis a Transmission 2.90-es verziójának március 4-ei kiadását ismeretlenek eltérítették és egy hamis verzióra irányították a letöltőket. Mivel a kártékony csomag rendelkezett érvényes fejlesztői aláírással, így a 10.8-cal bevezetett Apple Gatekeeper Execution Prevention védelmi technológia nem volt képes megállítani. A váltságdíj összege itt 1 bitcoin (körülbelül 400 dollár) volt.
A sötét oldal egyik érdekes terméke a Cerber (Kerberosz, a görög mitológiában az alvilág kapuját őrző háromfejű kutya) nevű kártevő, ez 2016 márciusában bukkant fel. Itt 1,24 bitcoin (140 ezer forint) volt az összeg, de 7 nap után duplázódott a váltságdíj. Majd 12 nyelven hallgathattunk meg egy fizetésre felszólító hangüzenetet. A robotszerű géphang arról tájékoztatott, hogy a dokumentumaink-nak annyi, és készíthetjük a pénztárcánkat.
2016 márciusában jelent meg a Petya, amelyik már külön fájlok helyett a teljes meghajtót vette célba, és 0,9 bitcoin (431 dollár) váltságdíjat követelt. A Samsam 2016 áprilisában csatlakozott, és sebezhető, javítatlan Red Hat JBoss vállalati szervereket keres, ezeket fertőzi meg. A beszámolók szerint rengeteg vállalat, közintézmény (például kórház) szerepelt az áldozatok között.
A Jigsaw 2016 áprilisában bukkant fel, és a horrorfilmekből visszaköszönő alakkal jelentkező kártevő 0,4 bitcoin (150 dollár) összeget követelt. 60 percenként fájlokat törölgetett: az első órában egyet, a másodikban kettőt, aztán négyet, és így tovább a kettő hatványai szerint. Windows reboot esetén pedig büntetést kaptunk: ekkor 1000 fájlt véglegesen törölt. Utolsó darabunk a sorban a Cyber Police – ez 2016 áprilisában tűnt fel a színen. Ugyancsak az Android 4.0–4.3 rendszereket támadta, és fertőzött hirdetések Javascript kódjával terjedt. Bitcoin helyett két 100 dolláros Apple iTunes ajándékkártyakódot kért a képernyőzár feloldásáért. A kártevő gyári resettel eltávolítható volt, azonban ilyenkor adatot veszthetünk, így a tanulság itt is fontos: legyen rendszeres mentés a képekről, videókról, fájlokról, adatokról. Az idei évben egyre több, intézmények elleni támadásról kaptunk sajtóhírt. A kórházak is célkeresztbe kerültek, hiszen részint az elavult informatikai infrastruktúra, másfelől a kevés szakképzett IT-személyzet mellett az itteni védekezés, megelőzés nem könnyű feladat. A Hollywood Presbyterian Medical Center kórház gépeinek titkosítása miatt a feloldókulcsért elképesztő nagyságú, 9000 bitcoin (3,6 millió dollár, 1 milliárd forint) váltságdíj követeléssel szembesült. Állítólag
Allen Stefanek, az intézmény vezetője lealkudta, és a híradásokban már 40 bitcoin, azaz 17 ezer dollár szerepelt. Mint utóbb kiderült, eldobott USB-kulcsokkal terjesztették el a fertőzést.
Ugyancsak súlyos helyzettel szembesültek a németországi Klinikum Arnsberg kórházban is, itt 200 szervert kellett leállítani. A leállítás alatt a betegellátás nem szünetelt, de a vírus miatt műtéteket kellett elhalasztani, kartono-kat töltöttek ki, és telefonon, faxon tartották a kapcsolatot az ott dolgozók, illetve a lekapcsolt levelezőszerver miatt kifelé is csak telefon és fax működött.
2016. áprilisban sajnos több magyar kórház is áldozattá vált, itt a beszámolók szerint nagy valószínűséggel elmaradt antivírus és operációsrendszer-frissítések, illetve hiányos biztonsági beállítások idézhették elő az incidenseket. A veszprémi, a zirci, és további hazai kórházakban szerencsére nem is terveztek fizetni, a támadások után pedig biztonsági képzéseket tartottak a dolgozóknak. Nemrég az első egyetem is felbukkant a hírekben, a University of Calgary intézményben ugyanis 100 feletti gépet zárolt a zsaroló kártevő, ők pedig 20 ezer kanadai dollár, azaz hozzávetőlegesen 4,3 millió forintnyi váltságdíjat fizettek ki a bűnözőknek.
Csizmazia-Darab István
IT biztonsági szakértő, Sicontact Kft. az ESET antivírus termékek magyarországi képviselete
antivirus.blog.hu
A cikk az Energiafigyelő magazin 2016/2. számában jelent meg.
