16 617
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 617
/ContentUploads/N5131/ctb_locker.jpg
Kattints ide  ➜

Egyre több magyar áldozat a CTB‑Locker vírus pusztításában

Makay József2015.01.23. 10.56
/ContentUploads/N5131/ctb_locker.jpgA fájljainkat titkosító és azok visszaalakításáért váltságdíjat szedő kártevőből egy vadonatúj, többnyelvű változat jelent meg a napokban. Amennyiben valakinek megfertőzte a gépét, akkor már egyedül csak offline mentésből lehetséges a helyreállítás, ugyanis jelenlegi ismereteink szerint a fájlok dekódolása egyelőre nem végezhető el – írja az Antivírus blog.

FIGYELEM! A cikk közérdekű információkat tartalmaz. Kérjük, oszd meg ismerőseiddel is!

Az új változatnak magyarországi fertőzéséről először január 19-én kettő órakor érkezett bejelentés, és a jelek szerint spam levelek útján terjedt. A megfigyelt fertőzés esetén a kéretlen levél arra hivatkozott, hogy fax üzenetet kaptunk, melyet a mellékletre kattintva tekinthetünk meg.

Ha valaki bedőlt a trükknek és kattintott, annak kellemetlen meglepetésben lehetett része, ugyanis a CTB-Locker nevezetű kártevő töltődött le a számítógépére. A célja az egésznek a váltságdíj, amelyet Bitcoinban követel a program.



A kártevő országonkénti eloszlása tekintetében az eddigi tapasztalatok szerint Lengyelország, Csehország és Mexikó érintett a legerősebben, de mi is szereplünk a tortadiagramon 2 százalékos részesedéssel. A kártevő letöltő modulját „Win32/TrojanDownloader.Elenoocka.A” néven, míg magát a CTB-Locker-t „Win32/FileCoder.DA” néven detektálják az ESET védelmi programjai.

A végeredmény igen hasonló a CryptoLocker és a TorrentLocker fertőzéséhez, vagyis a megadott – mint például MP4, .pem, .jpg, .doc, .cer, stb. – kiterjesztésű állományokat erős, az RSA-nál erősebb Elliptical curve Cryptography (ECC) titkosítással lekódolja, amely gyakorlatilag lehetetlenné teszi, hogy visszaszerezzük a fájljainkat.

Miután végzett a titkosítási művelettel, a malware az asztal hátterét megváltoztatva egy figyelmeztető üzenetet jelenít meg, ekkor az alább látható feliratot olvashatjuk:

Your personal files are encrypted by CTB-Locker.


Vagyis a CTB-Locker titkosította a személyes állományainkat, a fizetésre pedig 96 órát, azaz 4 napot kapunk. Ez a korábbi időintervallumokhoz képest hosszabb és valószínűleg azt szolgálja, hogy ha a felhasználó hosszabb ideig fél, akkor talán nagyobb lesz a fizetési hajlandósága. Itt már szemlátomást nem babra megy a játék, 8 bitcoint követelnek, ami nagyjából 1680 amerikai dollár, vagy 460 ezer forint.

A leírások tanúsága szerint a 96 órás határidő elteltével ráadásul megduplázódik a váltságdíj összege. A Test lehetőség segítségével 5 darab tetszőleges állományunkat ingyen helyreállíthatjuk, ám a többire akár keresztet is vethetünk. A biztonsági cégek továbbra sem javasolják a váltságdíj fizetését a bajbajutott felhasználóknak.



Ennek két oka is van, egyfelől semmilyen garancia nincs arra, hogy valóban kapunk helyreállító kulcsot, ugyanis itt a elsősorban a gátlástalan pénzkeresésről szól ez a történet. Másfelől pedig minden kifizetett és bűnözőkhöz kerülő összeg bátorítja ezeket a csoportokat további hasonló cselekményekre.

A szakemberek felhívják a figyelmet a Windows rendszerek azonnali frissítésére, és arra, hogy soha ne nyissunk meg ismeretlen mellékletet. Emellett ugyancsak fontos az antivírus program megfelelő beállítása is.

Ez az ESET biztonsági szoftverek esetében például azt jelenti, hogy azokon a gépeken, ahol ez esetleg jelenleg nem aktív, ott mindenképpen javasolt az ESET Live Grid és a Kiterjesztett heurisztika a fájlok futtatásakor funkciók haladéktalan bekapcsolása.

Bár a begyűjtött minták alapján rövid idő alatt elkészült a kártevő felismerésére szolgáló szignatúra, amit a 11038 számú vírusdefiníciós adatbázissal még aznap, január 19-én délután publikáltak a frissítési szervereken, a megfelelő védelem tekintetében itt is hasonlókat lehet elmondani, mint a tavalyi CryptoLocker, illetve TorrentLocker esetében, vagyis hogy a megelőzésen legyen a fő hangsúly. Ebben csak a rendszeres mentés segít, mert a helyreállítás enélkül gyakorlatilag lehetetlen.



Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis a Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy letitkosítja.

Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a kártevő, akkor minden Windows alatt felcsatlakoztatott, betűjellel megosztásként hozzárendelt – külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet. Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.

Tehát legyen párhuzamosan több különböző verziónk is a teljes (nem inkrementális) mentésekből, tartsuk ezeket offline, akár több különböző fizikai helyszínen is tárolhatjuk őket és ne kizárólag egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket.

Forrás: Csizmazia István, Antivírus Blog
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Hamarosan Apple‑drónok fognak repkedni a fejünk felett
A Huawei Mate 9 december elejétől Magyarországon is elérhető
Tizen: A Microsoft .NET közösség segíti a Samsung Linux‑alapú rendszerének fejlesztését
The Mummy ‑ Tom Cruise már megint nem bír magával
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Ingyenes nCore regisztráció - Újabb csalók próbálkoznak
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
A Firefox 0-day sebezhetőségével leplezik le a Tor-felhasználókat
Állásajánlatok
Development Expert
Service Desk munkatárs
Java fejlesztő
Szoftvertesztelő
C++ fejlesztő junior és senior HF 11-7929
PHP programozó / Webfejlesztő
Test Automation Expert - Cloud