Zsarolóvírusok egy újabb platformon

Az elmúlt év végén és az idei év elején több nagyobb zsarolóvírus kampány történt. A támadás lényege, hogy egy sebezhetőségen keresztül, vagy malware segítségével a kártékony kód bejut a számítógépre és ott egy titkosítási eljárást használva, elérhetetlenné teszi a fontos fájlokat. A dekódolásért cserébe pedig pénzt követelnek, vagy megsemmisítik a titkosító kulcsot, így az adatok örökre elérhetetlenek maradnak. Az ilyen jellegű kártevőket Ransomware-eknek nevezzük, igen komoly problémákat képesek okozni.

Ransomware, CryptoLocker

Az ilyen jellegű támadásokkal kapcsolatban az év elején tartottunk egy szemináriumot, ahol részletesen bemutattuk az ilyen támadások menetét, fejlődését, amennyiben igény van rá, szívesen tartunk részletes elméleti és technikai oktatást, hogy mindenki megismerhesse az ellenséget.

Mi is az új platform?

Linux és FreeBSD rendszerek érintettekNem olyan rég a támadható célpontok köre bővült, eddig leginkább a Microsoft Windows alapú gépek voltak veszélyben, ott már igen szofisztikált megoldások jelentek meg, míg néhány variáns feltűnt már Android eszközökre is, azonban most felütötte a fejét a Linux.Encoder.1 nevű Ransomware(CryptoLocker), amely Linux és FreeBSD rendszereken fut.

A támadás a Magento webáruház tartalomkövető rendszerének a sebezhetőségét használja ki, majd AES titkosítás segítségével kódolja az olyan mappákat, amelyek értékes információkat tartalmaz(hat)nak, de a rendszer működéséhez nem szükségesek(/home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2, /var/log). A mappák titkosítása után a gyökér könyvtártól kezdve titkosít minden olyan mappát, amely a következő szövegek valamelyikét tartalmazzák: public_html, www, webapp, backup, .git, .svn. A titkosítás során a következő kiterjesztéssel rendelkező állományok vannak veszélyben: “.php”, “.html”, “.tar”, “.gz”, “.sql”, “.js”, “.css”, “.txt” “.pdf”, “.tgz”, “.war”, “.jar”, “.java”, “.class”, “.ruby”, “.rar” “.zip”, “.db”, “.7z”, “.doc”, “.pdf”, “.xls”, “.properties”, “.xml” “.jpg”, “.jpeg”, “.png”, “.gif”, “.mov”, “.avi”, “.wmv”, “.mp3″ “.mp4″, “.wma”, “.aac”, “.wav”, “.pem”, “.pub”, “.docx”, “.apk” “.exe”, “.dll”, “.tpl”, “.psd”, “.asp”, “.phtml”, “.aspx”, “.csv”

A sikeres titkosítás után a kulcsokat aszimmetrikus titkosítással(RSA) védi le a kártevő, az adatok elérhetetlenek, az operációs rendszer működik tökéletesen.

A Ransomware készítői egy komoly hibát vétettek, amelynek hála a titkosított fájlok visszaállíthatóak. A kulcs generálásához nem véletlen számokat használ a program, hanem a fájl titkosításának a pontos dátumát. Emiatt, bár az AES titkosítás erős, de maga a kulcs „gyenge”, a titkosított állományok visszaállíthatóak. A dekódoló alkalmazás már elkészült, így a fertőzött gépeken nem szükséges az 1 bitcoin váltságdíj kifizetése, a rendszer helyreállítható, könnyedén. Azonban, ha egy gépen többször lefutott a kártevő, valamilyen oknál fogva, akkor a megoldás nem működik, az adatok nem nyerhetőek vissza ilyen könnyen.

Bár ezen fertőzés visszaállítható anélkül, hogy fizetni kellene, az eddigi tapasztalatok alapján a közeljövőben elképzelhető egy olyan variáns felbukkanása, amely ennél összetettebb lesz és nem ad esélyt a dekódolásra, így minden esetben szükséges intézkedéséket tenni, hogy biztonságban legyenek az adataink.

Mit tehetünk?

Védekezés a kártékony kód ellenA Ransomware-ek ellen a védekezés a legjobb megoldás. Mindenképpen szükséges a hálózat minden pontján kellően erős védelmet elhelyezni, legyen szó tűzfalról, tartalomszűrőről, vagy levelezés szűrőről. Nagyon hatékony megoldást jelenthet egy sandbox technológiát használó határvédelmi eszköz használata, sajnos ezek gazdasági okokból nem elég elterjedtek. Ami a legfontosabb a végpont védelme, szükséges minden frissítést telepíteni, ezzel megszüntetni a sebezhetőségeket, egy megfelelő végpontvédelmi szoftverrel pedig a támadások könnyen kiszűrhetőek, léteznek hatékony végponti sandbox technikák, amelyek időben felismerek a kártevőt és megállítják. Ezen felül javasolt megfelelő offline mentéssel rendelkezni az adatainkról, hiszen egy fertőzés után egy adat visszaállítás sokkal jobb financiális megoldás, mint fizetni azokért.

Sok tapasztalattal rendelkezünk ilyen kártevőkkel szemben, így cégünk munkatársai szívesen állnak rendelkezésre, a Ransomware-ek működésének a bemutatásában, egy esetleges megelőző megoldás kidolgozásában, vagy fertőzés esetén a károk minimalizálásában.

KL

Kérlek szavazz

Back to Top