CTB-blocker, a zsaroló vírus

CTB-blocker, a zsaroló vírus

Zsarol a vírus? Van egy rossz hírünk, és 7 jó tanácsunk.

2015. január 25. - Kádár Gábor

Kezdjük a rossz hírrel, remélve hogy nem fejeznek le érte.

A CTB-locker nevű zsaroló vírus olyan bonyolult és megbízható titkosítási eljárással titkosítja fájljainkat, hogy azok dekódolása a jelenlegi tudásunk szerint szinte lehetetlen.
Ahogy arról már egy évvel ezelőtt a The Herald News tudósított, még a Massachusetts állambeli Swnasea-i rendőrkapitányság számítógépes rendszerét is megfertőzte, s ami megdöbbentő, a rendőrség kifizetta a váltságdíjat. Akkoriban azt nyilatkozták, hogy ez a vírus annyira sikeresen lett megírva és annyira bonyolult, hogy nem tudtak mit tenni, mint kifizetni a bitcoin-okat.

Óriási hiba fizetni a zsarolóknak, s elég furcsa, hogy ezt egy rendőrség nem ismeri fel!

Ez a típusú vírus-támadás akkor éri el célját, ha a vírus készítője profitálni tud belőle. A zsarolással beszedett pénz az ő támogatása abban, hogy mindig egy lépéssel előttünk járjon, s a vírusát, ami ilyen módon jövedelmező üzletágnak bizonyult tovább tökéletesítse.
Bár a vírus titkosítási metódusának megfejtésén most is sokan dolgoznak, a vírus készítője a megszerzett pénzből már talán az új, még bonyolultabb és sikeresebb változaton dolgozik miközben a markába nevet.

Van még remény arra, hogy sikerülhet megfejteni a program működését!

Mivel a fertőzött gépen lévő vírust az internetről teljesen leválasztva, mindenféle hálózati kapcsolat nélkül rá lehetett venni arra, hogy a fertőzött fájlok közül 5 db-ot visszaállítson eredeti állapotába, így van remény arra, hogy a visszafejtő kulcs ott lapul a gépünkön, s akár visszaszerezhetjük már elveszettnek ítélt fájljainkat is.
A vírust bemutató cikkben már egyszer megosztott kép is erről tanúskodik:

ctb-locker_07.jpg

Szeretné az esélyt fenntartani, hogy fájljait egyszer még visszaszerezhesse?

Vegye ki a gépből jelenleg használt merevlemezét. A merevlemez cseréje könnyen és aránylag olcsón kivitelezhető. Az eredeti merevlemezt a gépbe visszatéve bármikor újra előállíthatjuk azt az állapotot, amikor még volt esélyünk visszanyerni fájljainkat.

Több oldalon találkoztam azzal, hogy milyen módon tudjuk letakarítani gépünkről a kártevőt, de ne feledje, ha egyszer letakarította a kártevőt, valószínűleg többé nem lesz esélye a fájlok visszaállítására! Mindenki döntse el maga, hogy mennyire nagy veszteség érte, érdemes e egy plusz merevlemezre beruházni a cél érdekében.

Mit tegyek ha úgy döntök, hogy lemondok a fájlokról, hiszen van róla másolatom?

Mint az imént írtam róla, nagyon sok oldal ír különböző trükköket arra, hogyan tudjuk elpusztítani a vírust a gépünkön, így erről én nem írnék a továbbiakban. Vannak oldalak, ahol a visszaállítási pontok alapján történő korábbi számítógépes állapot visszaállítására biztatnak. Ehhez csak annyit fűznék hozzá, hogy a számítógép visszaállítása egy korábbi állapotába, az a gépen lévő személyes fájljainkat nem bántja, azaz a fertőzött állományokat sem távolítja el. A Windows alaphelyzetbe történő állítása törli a személyes fájljainkat is, de én biztos ami biztos alapon inkább a merevlemez formázásával kezdenék, s a Windows teljes újratelepítésével oldanám meg a problémát.

Windows fan vagy? Csak azért, mert nem használtál még Linuxot!

Hadd ragadjam meg az alkalmat, hogy legalább egy kósza gondolat erejéig szóljak pár szót a Linux mellett.
Az átlagember mire is használja a számítógépet? Filmek, zene, játék, internet, levelezés, böngészés, dokumentumok kezelése. Csupa olyan dolog, ami elérhető Linuxra is. Manapság a Linux grafikus felülettel rendelkező verziói annyira hasonlítanak a Windowsban megszokott mindennapi dolgainkhoz, hogy apró különbségekben mérhető a felhasználóbarátsága a két operációs rendszernek.
Pár érv, ami a Linux mellett szól: kevesebb vírus van rá, kevesebb erőforrást igényel, gyorsabb, stabilabb, megbízhatóbb, ingyenes, stb.

ubuntu.jpg

Mit tehet az, aki szeretné elkerülni a vírusokat? Tessék, 7 jó tanács, amit érdemes megszívlelni.

1. Készítsen biztonsági mentést a fájlokról! Lehetőség szerint ez egy külső merevlemez legyen, amely merevlemezt mindig annyi időre csatlakoztat a géphez, amíg a biztonsági másolat elkészül. Bizonyos fájlokat akár a felhőbe is menthet, hiszen erre egyre többféle lehetőség elérhető. (Flickr, Dropbox, Picasa, Google Drive)
Arra vigyázzon, hogy az automatikus fájl-szinkrozinálás nem minden esetben jön jól, ha biztonsági másolatról beszélünk.

2. Tartsa az operációs rendszer biztonsági frissítéseit naprakészen! Gyakran fedeznek fel a szakemberek biztonsági réseket az operációs rendszereken, melyekhez ilyenkor kiadnak biztonsági frissítéseket is. Érdemes ezeknek a frissítéseknek a telepítését mihamarabb elvégezni.

3. Ne látogasson megbízhatatlan weboldalakat! A pornó oldalak, az ingyenes programokat kínáló oldalak, a fizetős programokhoz ingyenes kulcsokat kínáló oldalak látogatása gyakran jelentős veszélyeket hordoz magában.

4. A böngészőjét és annak kiegészítőit is tartsa naprakészen! A böngészők és a kiegészítők, mint pl Java, Flash is tartalmazhatnak biztonsági réseket. Alapesetben a rendszertől mindig kap értesítést a felhasználó, ha ezekhez frissítés érhető el, hát telepítse őket!

5. Váltson levelező szolgáltatót ha szükséges! A Gmail.com például fejlett spam-szűrővel rendelkezik, a levelek csatolmányaiba is belenéz, s nem engedi hogy futtatható állományokat tartalmazó leveleket küldjünk, illetve kapjunk. A fiókhoz tartozó Google Drive szolgáltatás keretében képek, dokumentumok, táblázatok és sok egyéb fontos fájlunk tárolható biztonságosan, s nem utolsó sorban bárhonnan elérhetjük őket.

6. Szerezzen be egy jó vírusirtó programot! Ha gyakran frissíti a vírusirtó program adatbázisát, akkor a legtöbb támadást jó eséllyel elkerülheti.

7. Engedélyezze gépén a rendszer-visszaállítási pontokat! A rendszerkép, mint a rendszer biztonsági másolata tartalmazza a rendszerfájlok korábbi verzióit és személyes beállításokat is. Figyelem, a rendszer-visszaállítási pont illetve a rendszerkép nem készít biztonsági másolatot személyes fájljairól. A Windows 8 operációs rendszer viszont már képes a fájlelőzmények szolgáltatás segítségével külső meghajtóra biztonsági mentést készíteni személyes fájljairól is.

8. Ne hagyja becsapni magát! Ha valami nagyon olcsó, nagyon érdekes, még ha az ismerősünktől is érkezik, legyünk résen. Idegenektől érkező email-eket pedig mindig fogadjuk fenntartással. Ha annyi pénzt nyertem volna életem során, amennyit mindenféle email-ekben ígértek nekem, akkor mostanra már igen gazdag ember lennék.
Ha gyanús levelet kap ismerősétől, mielőtt kinyitná kérdezzen rá: ezt tényleg te küldted nekem?

 

Tovább nyomozunk a Zsaroló vírus ügyében, s amint újabb híreink lesznek, ismét jelentkezem.

 

 

 

 

Zsaroló vírus, azaz 1 CTB hány BTC, ez itt a kérdés!

Jött, látott, s győzött a zsaroló vírus.

Kétes győzelmet aratott egy új vírus, mely CTB-locker néven mutatkozik be nekünk, ha bejut a gépünkre. Miért kétes a győzelme? Mert bár e vírus megzsarolt minket, de mi nem fizettünk neki, s cserébe buktuk azokat a képeinket, dokumentumainkat, melyek akár fontosak is lehettek volna. A fontos fájlokról volt biztonsági mentésünk így azokat nem veszítettük el, de mi van azokkal a számítógép tulajdonosokkal, akik nem tárolják biztonságosan képeiket, dokumentumaikat? Ebben a cikkben bemutatok egy valós veszélyt jelentő új vírust, melyet e-mailben küldhetnek számunkra az elszánt kiber-zsarolók.

Így néz ki az e-mail, melyben a vírus érkezik.

ctb-locker_00.jpg

Most biztos jó páran felhördültek: Na én biztosan nem nyitnék meg egy ilyen üzenetet! Nem ismerem a feladót, fura az üzenet szövege, ez csak valami spam lehet.
Az eset áldozatának nem volt ennyire egyértelmű, hogy ez a levél esetleg spam lehet, hiszen gyakran kap idegenektől, akár angol nyelven írt e-maileket, amiben számára értékes információ is érkezhetett. Pár kattintás, a ZIP fájl már ki is van bontva, s megpróbálta megnyitni a benne lévő fájlt, hátha megtudja mi lehet benne.

Első pillantásra úgy tűnt semmi nem történik, tán egy pillanatra felbukkanó ablak megjelent, de mivel ezen túl semmi nem történt, úgy döntött, ez az e-mail nem tartalmaz semmi fontos információt, s törölte az üzenetet. A háttérben persze elindult egy megállíthatatlannak tűnő folyamat.

Végzett a vírus a háttérben a munkával, így itt az idő, hogy zsarolni kezdjen.

Az alábbi programnak a képernyője fogad minket, ami tájékoztat róla hogy a dokumentumaink (txt, xls, doc, pdf), a képeink (jpg, jpeg), adatbázis fájljaink és minden fontos fájlunk titkosítva lett és mindössze 96 órát adnak a váltságdíj megfizetésére.

ctb-locker_01.jpg

Győzött a kíváncsiságom, ha már vírusos a gépünk vizsgálódjunk kicsit.

Elöljáróba azért annyit elmondanék, hogy ilyenkor a gép internet kapcsolatát illik azonnal megszakítani, illetve bontani a kapcsolatát az egyéb hálózati eszközeinkkel!

Ha a View gombra kattintunk, akkor a következő oldalon további instrukciókat kapunk a teendőkről, illetve kilistázza azon fájlok listáját, amelyeket titkosított.

ctb-locker_02.jpg

A titkosított fájlok listája:

Bizony a megosztott hálózati meghajtóra is bejutott a vírusunk, s mivel volt írási jogunk ezen a meghajtón, így ki is használta a helyzetet.
Ilyenkor érdemes elgondolkozni azon, hogy az otthoni gépeink, hiszen egy családban nem ritka a 2-3 gép azonos hálózaton történő használata, a legtöbb esetben a megosztott mappák tartalmát nem csak olvasni, de írni is tudják. Érdemes lehet a megosztásnál csak olvasási jogot adni a másik gép tulajdonosának.

ctb-locker_03.jpg

Ha a Next gombra kattintunk, akkor felajánlják nekünk, hogy tesztelhetjük visszaállítási képességüket.

A fájljaink közül véletlenszerűen kiválasztott 5 db-ot hajlandóak visszaállítani nekünk így demonstrálva a képességüket, hogy valóban vissza tudják állítani fájljainkat.
Természetesen ezt is kipróbáltuk.

ctb-locker_04.jpg

Kicsit zavarba jöhetett a kereső, hiszen a külső hálózati helyeket már nem találta meg, így majdnem 3 percig keresgélt 5 db visszaállítható fájl után.

ctb-locker_05.jpg

Rosszabb volt az esély, mint az 5-ös lottón, hiszen itt több ezer fájlból választottak ki 5 db-ot.

Kiválasztás és visszafejtés előtt:

ctb-locker_06.jpg

Visszafejtés után:

ctb-locker_07.jpg

Eljátszották a bizalmunkat, így nem hittük el első blikkre, hogy tényleg visszaállították e fájljainkat.

Gyors ellenőrzés és kiderült, hogy tényleg visszaállították a kiválasztott 5 db fájlt. Ennek ellenére senkit nem biztatnék a váltságdíj megfizetésére, hiszen nincs arra garancia, hogy az összes fájlunkat valóban visszakaphatjuk, ráadásul igen borsos áron dolgoznak a zsarolóink, de erről kicsit később még beszélünk.

Mint az ellenőrzés után kitűnt, az egyik jpg képet visszakaptuk épségben:

ctb-locker_08.jpg

A fenti képen látható egyébként, hogy a vírus tevékenysége könnyen kiszúrható.

Persze eszükben sincs rejtegetni, hogy mennyi fájltól fosztottak meg minket, hiszen minél nagyobb kárt okoztak, annál nagyobb az esély arra, hogy van aki fizetni fog. A titkosított fájlok saját kiterjesztése után egy 7 betűből álló véletlenszerű karaktersorozatot fűztek, ami minden gépen más és más.

Jöhet a lényeg gondolták a zsarolók, hiszen elérkeztünk a piszkos anyagiakhoz.

Olcsón dolgoznak a zsarolóink gondolhattuk volna elsőre, hiszen mindössze 8 Bitcoin (BTC) az ára a fájljainknak, de ha kicsit jobban utána nézünk az áraknak, akkor kiderül, hogy 1 BTC kb 180 Euro-ba kerül.
Az alábbi képen látható címre kellett volna "postázzuk" a zsarolók által kért összeget, s ha valakinek a zsebében nem lapul ennyi BTC, akkor ellátnak minket tanácsokkal is, hogy hol tudjuk beszerezni azt.

ctb-locker_09.jpg

Tessék-tessék, Bitcoin-t vegyenek!

Na lássuk, hol kapható ez a különleges valuta, amire annyira fáj a foga a zsarolóknak.

ctb-locker_10.jpg

Bár a zsarolók megtippelték az összeget USA dollárban, az egyik oldalon leellenőriztük az aktuális árakat.

Úgy néz ki van némi ingadozás az árakban, mert 8 BTC 3 napja még 1503,77 Euróba került volna, most a cikk írásának idején már 1698,18 Euróba kerülne. Elgondolkodtató, hogy a kereslet megnövekedett e vajon a zsarolók "áldásos" munkájának köszönhetően, s ettől mennek e így fel az árak.. Mindenesetre, ami 450e Ft volt a minap, az ma már több mint 520e Ft-ba kerülne.

ctb-locker_11.jpg


Biztos sokakat érdekel, hogy mi történik ha lejár az idő, amit a váltságdíj megfizetésére adtak.

Mi is kíváncsiak voltunk, így kivártuk azt a bizonyos 96 órát, s ez a képernyő fogadott.

ctb-locker_12.jpg

Elveszítettünk mindent, sohasem kaphatjuk vissza már a fájljainkat, s hasonló szörnyűségek.

Bizony így jár a zsarolók szerint aki nem fizet időben. Na jó, azért nehogy lecsússzanak némi potya pénzről, az utolsó esély lehetőségét még felkínálják nekünk, amiről egy txt fájlban tájékoztatnak minket.

Na de ez a cikk eddig még csak a problémát tárta fel, bemutatott egy új vírust, ami ellen látszólag tehetetlenek vagyunk. Most bizonyára sokakban felmerül a kérdés, hogy mit lehet tenni ellene, mi a megoldás.
Következő cikkünkben ezzel foglalkozunk majd.

 

süti beállítások módosítása