A fájlokat titkosító és a visszaalakításért pénzt kérő vírusból egy új, többnyelvű változat jelent meg a napokban. Ha valakinek megfertőzte a gépét, akkor már csak mentésből lehetséges a helyreállítás, ugyanis jelenleg a fájlok dekódolása nem végezhető el.
Az új változatnak magyarországi fertőzéséről először január 19-én érkezett bejelentés, és spam levelek útján terjedt. A kéretlen levél arra hivatkozott, hogy faxot kaptunk, melyet a mellékletre kattintva tekinthetünk meg.
Ha valaki bedőlt a trükknek, annak kellemetlen meglepetésben volt része, ugyanis a CTB-Locker vírus töltődött le a számítógépére. A célja az egésznek a váltságdíj beszedése, amelyet Bitcoinban követel a program.
A kártevő országonkénti eloszlása tekintetében Lengyelország, Csehország és Mexikó érintett a legerősebben, de mi is szereplünk a listán 2%-os részesedéssel. A kártevő modulját "Win32/TrojanDownloader.Elenoocka.A" néven, magát a CTB-Locker vírust "Win32/FileCoder.DA" néven azonosítják az ESET védelmi programjai.
A végeredmény igen hasonló CryptoLocker vagy TorrentLocker fertőzéshez, azaz a megadott - MP4, .pem, .jpg, .doc, .cer, stb. - kiterjesztésű állományokat erős Elliptical curve Cryptography (ECC) - titkosítással elkódolja, amely gyakorlatilag lehetetlenné teszi, hogy visszaszerezzük a fájljainkat.
Miután végzett a titkosítási művelettel, az asztal háttere megváltozik egy figyelmeztető üzenetet jeleník meg, ekkor az alább látható feliratot olvashatjuk:
"Your personal files are encrypted by CTB-Locker." vagyis a CTB-Locker titkosította a személyes állományainkat. A fizetésre 96 órát, azaz 4 napot kapunk.
Ez a korábbi időintervallumokhoz képest hosszabb, és valószínűleg azt szolgálja, hogy ha a felhasználó hosszabb ideig fél, akkor talán nagyobb lesz a fizetési hajlandósága. 8 Bitcoint követelnek, ami nagyjából 1680 USD, vagyis 460.000 Ft.
A leírások tanúsága szerint pedig a 96 órás határidő elteltével megduplázódik a váltságdíj összege. A Test lehetőség segítségével 5 darab tetszőleges állományunkat ingyen helyreállíthatjuk, ám a többire keresztet lehet vetni. A biztonsági cégek továbbra sem javasolják a váltságdíj fizetését a bajbajutott felhasználóknak.
Ennek két oka is van, egyfelől semmilyen garancia nincs arra, hogy valóban kapunk helyreállító kulcsot, mivel elsősorban a gátlástalan pénzkeresésről szól ez a történet. Minden kifizetett és bűnözőkhöz kerülő összeg bátorítja ezeket a csoportokat további hasonló cselekményekre.
A szakemberek felhívják a figyelmet a Windows rendszerek azonnali frissítésére, és arra, hogy soha ne nyissunk meg ismeretlen mellékletet. Emellett ugyancsak fontos az antivírus program megfelelő beállítása is.
Ez az ESET biztonsági szoftverek esetében például azt jelenti, hogy azokon a gépeken, ahol ez esetleg jelenleg nem aktív, ott mindenképpen javasolt az "ESET Live Grid" és a "Kiterjesztett heurisztika a fájlok futtatásakor" funkciók haladéktalan bekapcsolása.
Fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis a Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy letitkosítja.
Fontos megemlíteni, hogy ha bejutott a gépünkre a kártevő, akkor minden felcsatlakoztatott, betűjellel megosztásként hozzárendelt - külső meghajtónkon is végigfut a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhelyünk is áldozatul eshet.
Ez pedig még akkor is így van, ha az adott megosztás nem is Windows alapú gépen található, de onnan elérhető.
Legyen párhuzamosan több különböző verziónk is a teljes mentésekből, tartsuk ezeket offline, akár több különböző fizikai helyszínen. És ne egyetlen kópia álljon rendelkezésre, amely rendszeresen felülírja az előző egyetlen mentésünket. Ha ugyanis mégis bejutna a fertőzés, akkor így hamarabb találunk korábbi sértetlen állapotot, és nagyobb eséllyel lesz miből válogatni.
Ha még nincs vírusvédelmi programja, akkor azt most a "CTB" kód használatával webshopunkban kedvezménnyel megvásárolhatja.
forrás: antivirus.blog.hu