Amennyiben valakinek megfertőzte a gépét, akkor már egyedül csak offline mentésből lehetséges a helyreállítás, ugyanis jelenlegi ismereteink szerint a fájlok dekódolása egyelőre nem végezhető el – olvashatjuk az Antivírus blogra hivatkozva az Androbit.net cikkében.
A megfigyelt fertőzés esetén a kéretlen levél arra hivatkozott, hogy fax üzenetet kaptunk, melyet a mellékletre kattintva tekinthetünk meg. Ha valaki bedőlt a trükknek és kattintott, annak kellemetlen meglepetésben lehetett része, ugyanis a CTB-Locker nevezetű kártevő töltődött le a számítógépére. A célja az egésznek a váltságdíj, amelyet bitcoinban követel a program.
A kártevő országonkénti eloszlása tekintetében az eddigi tapasztalatok szerint Lengyelország, Csehország és Mexikó érintett a legerősebben, de mi is szereplünk a tortadiagramon 2 százalékos részesedéssel. A kártevő letöltőmodulját „Win32/TrojanDownloader.Elenoocka.A" néven, míg magát a CTB-Lockert „Win32/FileCoder.DA" néven detektálják az ESET védelmi programjai.
A végeredmény igen hasonló a CryptoLocker és a TorrentLocker fertőzéséhez, vagyis a megadott – mint például .mp4, .pem, .jpg, .doc, .cer stb. – kiterjesztésű állományokat erős, az RSA-nál erősebb Elliptical Curve Cryptography (ECC) titkosítással lekódolja, amely gyakorlatilag lehetetlenné teszi, hogy visszaszerezzük a fájljainkat.
Miután végzett a titkosítási művelettel, a malware az asztal hátterét megváltoztatva egy figyelmeztető üzenetet jelenít meg, ekkor az alább látható feliratot olvashatjuk:
Your personal files are encrypted by CTB-Locker.
Vagyis a CTB-Locker titkosította a személyes állományainkat, a fizetésre pedig 96 órát, azaz 4 napot kapunk. Ez a korábbi időintervallumokhoz képest hosszabb és valószínűleg azt szolgálja, hogy ha a felhasználó hosszabb ideig fél, akkor talán nagyobb lesz a fizetési hajlandósága. Itt már szemlátomást nem babra megy a játék, 8 bitcoint követelnek, ami nagyjából 1680 amerikai dollár, vagy 460 ezer forint.
A leírások tanúsága szerint a 96 órás határidő elteltével ráadásul megduplázódik a váltságdíj összege. A Test lehetőség segítségével 5 darab tetszőleges állományunkat ingyen helyreállíthatjuk, ám a többire akár keresztet is vethetünk. A biztonsági cégek továbbra sem javasolják a váltságdíj fizetését a bajbajutott felhasználóknak.
Ennek két oka is van, egyfelől semmilyen garancia nincs arra, hogy valóban kapunk helyreállító kulcsot, ugyanis itt elsősorban a gátlástalan pénzkeresésről szól ez a történet. Másfelől pedig minden kifizetett és bűnözőkhöz kerülő összeg bátorítja ezeket a csoportokat további hasonló cselekményekre.
A szakemberek felhívják a figyelmet a Windows rendszerek azonnali frissítésére, és arra, hogy soha ne nyissunk meg ismeretlen mellékletet. Emellett ugyancsak fontos az antivírusprogram megfelelő beállítása is.
Ez az ESET biztonsági szoftverek esetében például azt jelenti, hogy azokon a gépeken, ahol ez esetleg jelenleg nem aktív, ott mindenképpen javasolt az ESET Live Grid és a Kiterjesztett heurisztika a fájlok futtatásakor funkciók haladéktalan bekapcsolása.
Bár a begyűjtött minták alapján rövid idő alatt elkészült a kártevő felismerésére szolgáló szignatúra, amit a 11038 számú vírusdefiníciós adatbázissal még aznap, január 19-én délután publikáltak a frissítési szervereken, a megfelelő védelem tekintetében itt is hasonlókat lehet elmondani, mint a tavalyi CryptoLocker, illetve TorrentLocker esetében, vagyis hogy a megelőzésen legyen a fő hangsúly. Ebben csak a rendszeres mentés segít, mert a helyreállítás enélkül gyakorlatilag lehetetlen.
Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis a Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy letitkosítja.
Emellett azt is fontos megemlíteni, hogy ha már egyszer bejutott a gépünkre a kártevő, akkor minden Windows alatt felcsatlakoztatott, betűjellel megosztásként hozzárendelt külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet.
Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.
Tehát legyen párhuzamosan több különböző verziónk is a teljes (nem inkrementális) mentésekből, tartsuk ezeket offline, akár több különböző fizikai helyszínen is tárolhatjuk őket, és ne kizárólag egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket.
Hasonló cikkeket olvashat az Androbit.net oldalon.
