Ransomware visszakódolása
A zsarolószoftver / zsarolóprogram (angolul ransomware) olyan kártékony szoftver, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná vagy elérhetetlenné teszi a számítógépen lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállító az eredeti állapot.
A 2010 elején megjelent DotTorrent trójai kilistázza a fertőzött gépen található, BitTorrentről letöltött fájlokat, és azt próbálja elhitetni a felhasználóval, hogy ha nem fizet büntetést utánuk egy fiktív szerzői jogvédő szervezetnek, be fogják perelni. A nem sokkal utána megjelent Kenzero a japán fájlcserélőkön terjed, és a felhasználó személyes adatainak megszerzése után egy weboldalon listázza az általa letöltött hentai filmeket (azaz pornográf rajzfilmeket), és pénzt kér a lista levételéért.
Jelenleg több ezer zsarolóvírust tartanak nyílván és ezek felhasználói szempontból a m,a ismert legveszélyesebb vírusok.
Itt ugyanis nem az operációs rendszer lassulása vagy rendellenes működése tapasztalható, hanem kőkemény adatvesztés! Ez különösen fájó lehet annak, aki a „fél életét” a gépén tartja mindenféle biztonsági mentés nélkül, mert pillanatok alatt oda lehet az összes családi fotója, videója, zenéje, dokumentuma ne adj isten az összes korábbi munkája.
Megelőzés….
A legjobb védekezés a megelőzés, ezt pedig a legkönnyebben olyan biztonsági megoldás használatával érhetjük el, mely dedikált zsarolóvírus-ellenes modullal rendelkezik.
A legismertebb vírusvédelmi megoldások teljes verziója (általában Internet Security) már tartalmaz védelmet ezen károkozók ellen is, de ne felejtsükel, hogy tökéletes védelem nem létezik! Sokkal fontosabb a tudatos, okos kattintgatás és a rendszeres adatmentés fontossága!!!
Ha bekövetkezett a baj…
Mindenképpen fordulj szakemberhez, ha a fenti képekhez hasonló fogad a rendszered indításakor.
Hazánkban az utóbbi években gombamód szeporodtak azok a megfertőzött számítógépek, amelyeken a köztársasági elnök fotójával tűzdelt felugró ablak arról tájékoztatta a gép tulajdonosát, hogy kis kedvencén illegális tartalmakat tártak fel (szerzői jogvédelem, gyermek pornográfia, stb.) és maradéktalanul fizessen be egy bizonyos összeget egy bizonyos számlára, mert addig nem férhet a fájljaihoz illetve komoly büntetésre számíthet.
A fenyegetés laikusok számára elsőre ílyesztő lehet – pláne, ha tényleg volt a gépén ilyesmi 🙂 – azonban jobban megnézve az oldalt könnyű rájönni, hogy itt valami nem stimmel, ugyanis a magyar fordítás eléggé gyatrára sikerült, a „váltságdíjat” bitcoinban kérték és az csak bizonyos típusú bankkártyákkal volt kiegyenlíthető, illetve ilyen súlyos jogsértés esetén hazánkban nem így üzengetne a mindenkori köztársasági elnök, hanem egyszerűen csak kiküldené a TEK-et. 🙂
Megoldás…
A váltságdj megfizetését SEMMIKÉPPEN nem ajánljuk. Még akkor sem, ha pótolhatatlan adatokról van szó, mert ezzel csak a bűnözők további ilyen tevékenységét erősítjük.
Koránt sem biztos, hogy ha fizetünk, kapunk ai visszafejtő kulcsot! Igaz lehetett hallani olyanról, hogy a busás összeg ellenében megkapta a kulcsot a felhasználó, de ez a ritkább eset.
Ilyen esetben érdemes elkülönítve megőrízni a fertőzött (elkódolt) adatokat, hátha az idő megoldja a gondot és lesz hozzá később legális, ingyenes visszafejtő kulcs.
A hírhedt Petya visszafejtő kulcsát például maga a készítőt tette közzé nemrégiben:
Congratulations! Here is our secp192k1 privkey: 38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
We used ECIES (with AES-256-ECB) scheme to encrypt the decryption password into the „Personal Code” which is BASE58 encoded.
Jelenleg a következő zsaroló vírusok visszafejtésére van lehetőség:
Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) version 3 and 4, Chimera, Crysis (versions 2 and 3), Jaff, Dharma and new versions of Cryakl ransomware, Rannoh, AutoIt, Fury, Cryakl, Crybola, CryptXXX (versions 1, 2 and 3), Polyglot aka Marsjoke, Shade version 1 and 2, CoinVault and Bitcryptor, Wildfire, Xorist, Vandev.
Amennyiben ezek közül vagy megfertőzve valamelyikkel, akkor oltári nagy szerencséd van, mert a visszefejtő programot letöltve hozzáférhetsz korábbi állományaidhoz. (Feltéve, hogy még megvannak.)
A Kaspersky Lab ingyenes megoldásait innen tudjátok letölteni: