[Grem] Figyelmeztetés egy vírusra: CryptoLocker

[Rita Kunsay-Sipos]

Ezt a levelet olyan ismerősömtől kaptam, aki  rendszergazda egy kórháznál.*
Ma: 2015. jan. 22*.* Üdv: Rita*


FIGYELMEZTETÉS! KÉRLEK OLVASD EL!

Sziasztok!



Előre szeretném leszögezni, hogy a levél célja, hogy sokkal óvatosabbak
legyetek, ennek ellenĂŠre ez valĂłs fenyegetĂŠs. J



Szeretnélek tájékoztatni titeket egy igen veszélyes „kártevőről”, melynek
neve Cryptolocker avagy a „zsaroló vírus”, mivel az utóbbi időben igencsak
megszaporodtak az ilyen jellegű fertőzések.

Sajátossága, hogy a legtöbb vírusírtó, sem spamszűrő nem fogja meg.



*Hogy terjed: *

*A CTB Locker vírus terjedése első sorban emailben zajlik*. A leendő
áldozat kap egy álcázott fertőzött dokumentumot emailben. Ami általában egy
csomag nyomkĂśvetĂŠsĂŠt, nem fizetett adĂł vagy szĂĄmla, illetve gyorshajtĂĄsi
bĂźntetĂŠsnek lehet ĂĄlcĂĄzva. Persze ez mindĂśssze megtĂŠvesztĂŠs mivel a
melléklet vírust tartalmaz. Minden esetben a csatolmányok megnyitása előtt
ĂŠrdemes tĂĄjĂŠkozĂłdni annak megbĂ­zhatĂłsĂĄgĂĄrĂłl a feladĂłnĂĄl.



*Mit csinĂĄl: *

Az áldozat számítógépének megfertőzése után a háttérben RSA (un.
aszimmetrikus, kétkulcsos) titkosítási algoritmussal, nyilvános („public
key”) kulccsal titkosítja a számítógépen található „személyes fájlokat”
(Word, Excel, PowerPoint, kép és videó-fájlokat, stb…). Végül a ransomware
egy felbukkanĂł ablakban (angol nyelven) tĂĄjĂŠkoztat a szĂĄmĂ­tĂłgĂŠpen talĂĄlhatĂł
dokumentumok titkosĂ­tĂĄsĂĄrĂłl ĂŠs pĂŠnzt kĂśvetel a helyreĂĄllĂ­tĂĄshoz feltĂŠtlenĂźl
szükséges egyedi titkos-kulcsért („private key”). A felbukkanó ablak bal
oldalĂĄn megjelenik egy szĂĄmlĂĄlĂł is, ami 72 ĂłrĂĄtĂłl visszafelĂŠ szĂĄmol 0-ig,
ami a váltságdíjfizetés határidejének leteltéig hátralévő, fennmaradó időt
mutatja.

Külön „érdekes” hogy *minden hálózati meghajtót **IS** titkosít!*

A fenyegetés szerint a 72 órás határidő letelte után törlik a szerverükről
a titkosított „személyes fájlok” helyreállításához szükséges egyedi
„private key”-t és ezzel az érintett adatok örökre elvesznek. CryptoLocker
verziótól függően a fizetendő „váltságdíj” 0,5-2 bitcoin, vagy 100-300 USD,
vagy EUR Ăśsszeg. Sajnos a jelenlegi informatikai technikĂĄval ez a
2048/4096bites RSA titkosítás (katonai/banki „erősségű”) nem törhető fel,
így akinek pótolhatatlan adatait érintette a fertőzés és szeretné
helyreállítani azokat, az kénytelen kifizetni a „váltságdíjat” és bízni
abban, hogy ezutĂĄn a zsarolĂłk elkĂźldik a dekĂłdolĂĄshoz szĂźksĂŠges egyedi,
titkos-kulcsot.





Amit tudni lehet mĂŠg rĂłla:

NormĂĄl indĂ­tĂĄskor betĂślt a Windows, de csĂśkkentett mĂłdban kĂŠk halĂĄl fogad.

A registry egy rĂŠszĂŠt is olvashatatlannĂĄ teszi. A kĂłdolt kĂśnyvtĂĄrakba
belĂŠpni nem lehet.

RendszerkonfigurĂĄciĂłs segĂŠdprogram (msconfig) -ba is beĂŠpĂźl.

Az Ăźtemezett feladatoknĂĄl is be van ĂĄllĂ­tva hogy rendszerindĂ­tĂĄskor fusson.





VĂŠdekezĂŠs ellene:

fokozott ĂłvatossĂĄg, gyanĂşs e-mailek csatolmĂĄnyait mĂŠg vĂŠletlenĂźl sem szabad
megnyitni, inkĂĄbb kuka!

! Ismeretlen feladótól, gyanús tartalmú e-mailekben érkező (zip)
csatolmĂĄnyokat nem szabad megnyitni!!
Megelőzés

1.      *Vírus vÊdelem*: Állítólagosan a Kaspersky Ês ESET legfrissebb
változata képes felismerni és megakadályozni a fertőzést.

2.      *Windows update*: Windows operĂĄciĂłs rendszer frissĂ­tĂŠseket
rendszeresen telepĂ­tsĂźk

3.      *Window XP*: mivel ez a rendszer 2014. ĂĄprilisĂĄban lejĂĄrt Ă­gy NE
hasznĂĄljuk, telepĂ­tsĂźnk ujabb rendszert vagy akĂĄr linuxot ahol nem tĂĄmad a
CTB Locker!

4.      Ne nyisson meg ismeretlentől származó emaileket és annak
mellĂŠkleteit!

5.      Lehetőleg kerüljük a warez és pornográf jellegű oldalakat!

6.      A pendriveokkal szemben is legyĂźnk bizalmatlanok!

7.      FrissĂ­tsĂźk rendszeresen egyĂŠb szoftvereinket. (Chrome, Firefox,
Internet Explorer, Java stb)



*LehetsĂŠges megoldĂĄsok*

1.      Sajnos jelenleg a kĂłdolt fĂĄjlok dekĂłdolĂĄsĂĄra az egyetlen mĂłd
ha megfizetjük a váltságdíjat és ezt követően megkapjuk a titkos kulcsot.
Amennyiben e melett dĂśntĂźnk Ăşgy minĂŠl hamarabb fizetni kell, ĂŠs kĂśvetni a
dekĂłdolĂĄshoz szĂźksĂŠges lĂŠpĂŠseket. A fizetĂŠs virtuĂĄlis pĂŠnzzel tĂśrtĂŠnik, mĂĄs
nĂŠven bitcoinnal. 1 bitcoin ĂĄra kb 60ezer Ft.

2.      A kódolt fájlokat korábbi mentésből lehet vissza állítani, feltéve
ha volt ilyen. A vĂ­rus eltĂĄvolĂ­tĂĄsa teljes mĂŠrtĂŠkben a merevlemez
formĂĄzĂĄsĂĄval ĂŠs a rendszer ĂşjratelepĂ­tĂŠsĂŠvel lehetsĂŠges.





Csatoltan küldök egy bővebb ismeretanyagot, tájékoztatásul.



Üdv, Krisztina
--------- következő rész ---------
Egy csatolt HTML ĂĄllomĂĄny ĂĄt lett konvertĂĄlva...
URL: http://turul.kgk.uni-obuda.hu/pipermail/grem/attachments/20150122/b910c476/attachment.html 
--------- következő rész ---------
Egy nem text tĂ­pusĂş csatolt ĂĄllomĂĄny ĂĄt lett konvertĂĄlva...
NĂŠv: CryptoLockerInfo.pdf
TĂ­pus: application/pdf
MĂŠret: 135136 bytes
Leírás: nem elérhető
Url : http://turul.kgk.uni-obuda.hu/pipermail/grem/attachments/20150122/b910c476/attachment.pdf