Riasztást adott ki a Kormányzati Eseménykezelő Központ egy zsarolóvírus miatt

000 Q04EX

Riasztást adott ki a Kormányzati Eseménykezelő Központ a Locky nevű zsarolóvírus új változatának megjelenése és terjedése miatt. Az elmúlt időszakban napi 23 millió, a Locky zsarolóvírus új variánsát tartalmazó kéretlen levelet küldhettek ki – írja központ pénteki, az MTI-hez eljuttatott közleménye. A levelek kártékony mellékletet (pdf vagy 7zip fájlt) vagy hivatkozást tartalmaznak, tárgyként megnyitásra ösztönző üzenettel a gyanútlan felhasználóknak (egyebek mellett “please print”, “documents”, “scans”, “images” vagy “Payment_201708-6165”).

A melléklet megnyitása, valamint az áldozat fájljainak titkosítása után a zsarolóvírus többféle, a visszafejtésre vonatkozó üzenetet helyez el a felhasználónak, például, hogy cserélje le hátterét, valamint egy “Lukitus.htm” nevű fájlt is kitesz az asztalra.

A titkosított állományok a “.lukitus” kiterjesztést kapják, visszafejtésükhöz a program készítője 0.5 Bitcoin virtuális fizetőeszközt vár (ez foruintban kb. félmillió). A legfrissebb vizsgálatok alapján egyelőre jelenleg nem áll rendelkezésre semmilyen ismert módszer a visszafejtésre.

A Kormányzati Eseménykezelő Központ a védelem első lépéseként azt ajánlja, hogy a felhasználók legyenek elővigyázatosak az emailekben csatolt dokumentumokkal, valamint a vírusvédelmi szoftverek frissítése mellett ellenőrizzék a mentőrendszerek helyes és megbízható működését, hogy ha megtörténik a fertőzés, visszaállíthatóak legyenek a dokumentumok.

Felhívták a figyelmet arra is, hogy ha bekövetkezett a fertőzés, nem javasolják a váltságdíj megfizetését, mert nincs rá semmilyen garancia, hogy valóban feloldják a titkosított dokumentumokat. Ilyenkor a rendszer újratelepítése javasolt, valamint az adatok visszaállítása biztonsági mentésből.

A központ jelezte, hogy a Locky zsarolóvírussal kapcsolatosan ezen a weboldalon tájékozódhatnak az érdeklődők. Az oldal – valószínűleg a sok érdeklődő miatt – elég instabil, ha éppen nem elérhető, a Google által tárolt verzió itt található.

Sehol nincs a WannaCry a PetrWraphez képest

Ahogy arról mi is beszámoltunk, kedden pusztító kibertámadás söpört végig több országon. Ukrajnában kezdődött, mostanra azonban már többek közt Oroszországot, Amerikát és Izraelt is elérte a legújabb zsarolóvírus, és az adottságait elnézve nem úgy tűnik, hogy a közeljövőben javulna a helyzet – írja a Forbes.

Újabb pusztító kibertámadás söpör végig több országon

Ukrajnában kezdődött, de az oroszokat és több más országot elért egy újabb zsarolóvírus. Magyarországi cég is érintett. Tovább

Az egész helyzet nagyban hasonlít a májusi WannaCry-hullámra, most azonban egy másik, PetrWrap nevű zsarolóvírus áll a háttérben, amely a tavalyról már ismert Petya nevű kártevő egy új és fejlettebb variánsa. Legalábbis első ránézésre, a szakértők szerint ugyanis bár hasonlít arra, de eléggé különbözik tőle ahhoz, hogy teljesen új szereplőként kezeljék. Bejött a képbe például az EternalBlue kódnevű, NSA-tól kiszivárgott biztonsági rés, amit májusban a WannaCry is kihasznált.

Ez azonban önmagában nem biztos, hogy segített volna Mutáns Petyának, a Microsoft ugyanis a botrány után még olyan rendszerekre is adott ki frissítést, amikre egyébként már nem szoktak, az elmúlt egy hónap pedig bőven elég volt arra, hogy minden cég szépen telepítse ezeket.

Mutáns Petya szuperereje

Ennek a vírusnak azonban ennél több van a tarsolyában, ami lényegében erősebbé teszi még a WannaCrynál is. Az EternalBlue sokat segített neki a terjedésben, hiszen nyilván nem frissített mindenki, de emellett egy korábbi NSA-elemző szerint képes például

jelszavakat megtalálni a fertőzött számítógépen,

amikkel aztán más rendszerekre költözik. Emellett a PsExec nevű programot hívja segítségül, ami szintén elég ijesztően hangzik. Ez az eszköz normális esetben arra való, hogy távolról tudunk vele bizonyos folyamatokat végrehajtani más rendszerekben, a PetrWrap viszont egyszerűen csak arra használja, hogy megfertőzzön minden más számítógépet, amit elér. Lényegében, ha a fertőzött gépnek van adminisztrátori hozzáférése egy hálózathoz, onnan az összes többi gépet is meg tudja fertőzni.

Mindössze egyetlen nem frissített gépre van szükség ahhoz, hogy bekerüljön a hálózatba, adminjogot adjon magának, és szétszórja a vírust az összes többi gépre

– mondta Robert Lipovsky, az ESET egyik kutatója. Szerinte ezeknek a dolgoknak az összessége vezetett ahhoz, hogy a vírus ilyen gyorsan és hatásosan tudott terjedni a WannaCry utáni botrány ellenére is.

Fontos hangsúlyozni tehát, hogy a vírus a legújabb frissítéssel rendelkező gépeket is megtámadja, míg elődje inkább a régebbi rendszerekben érezte jól magát. A Microsoft egyik szóvivője elmondta, hogy tudnak a bejelentésekről, és vizsgálják az ügyet.

Profi munka

A korábban felsorolt funkciók, illetve az, hogy a WannaCryjal ellentétben nincs tele hibával, és egyelőre úgy tűnik, hogy kihasználható vészleállító funkciója sincsen, mind arra utalnak, hogy a PetrWrapet egy profi csapat hozta létre, amelynek látszólag kellő pénze is volt a projekt megvalósításához.

Ez abból is adódhat, hogy ez a vírus a valódi alvilágban született, ugyanis a készítők korábban a darkweben egyfajta partnerségi megállapodásos rendszert hoztak létre hozzá. Ennek lényege, hogy akik beszállnak, azok megkapják a kifizetett váltságdíj 85 százalékát, míg a maradék 15 százalék a készítőkhöz vándorol. Ez a módszer egyébként egyre népszerűbb mostanában, ami aggodalomra adhat okot, hiszen így olyan emberek is beszállhatnak, akik a technikai részhez amúgy egyáltalán nem értenek.

Összességében egyébként egyelőre biztos nem jártak rosszul a projekt támogatói, ugyanis már több mint 20-an fizették ki a 300 dollárnak megfelelő mennyiségű bitcoint a készítőknek, azaz eddig nagyjából 5500 dollárt, vagyis durván 1,5 millió forintot kerestek már Mutáns Petyával. Most már ugyanakkor kár lenne fizetnie bárkinek, mivel a kulcsok kiküldésére létrehozott emailcímet letiltotta a szolgáltató, így jelenleg gyakorlatilag a meglévő biztonsági mentésen kívül nincs semmilyen mód a fájlok visszaszerzésére.

Így védekezzen a zsarolóvírusok ellen!

K  AP20170628025

A zsarolóvírusok abszolút slágertémának számítanak az utóbbi pár évben a kiberbűnözésben, világszerte egyre többen esnek áldozatul, és egyre több típus bukkan fel, tavaly például még egy magyar fejlesztésű változatot is találtak.

Az utóbbi pár hónapban viszont még ehhez képest is új szintre emelte a zsarolóvírus-parát két fél világon végigvonuló fertőzéshullám. Májusban a WannaCry, e hét kedden pedig a még durvább PetrWrap hozta a frászt cég- és intézményvezetők hosszú sorára.

Újabb pusztító kibertámadás söpör végig több országon

Ukrajnában kezdődött, de az oroszokat és több más országot elért egy újabb zsarolóvírus. Magyarországi cég is érintett. Tovább

Utóbbi a tavalyról már ismert Petya nevű kártevő egy új és fejlettebb variánsa, bár több szakértő szerint annyi mindenben meg is haladja, hogy érdemes külön típusnak tekinteni. Ezért aztán több néven is lehet vele találkozni: van, aki egyszerűen Petyázza, sőt a megkülönböztetés miatt a NoPetya név is terjedőben van. Mi maradjunk a PetrWrapnél, ahogy a magyarországi kormányzati rendszerek védelmét ellátó Kormányzati Eseménykezelő Központ (GovCERT) is teszi.

A PetrWrap részletes működéséről, és arról, hogy miért még durvább, mint a májusban pánikot okozoó WannaCry, ebben a cikkünkben olvashat részletesebben. Most inkább azt magyarázzuk el, úgy általában mi is ez az egész zsarolóvírusosdni, mit lehet tenni ellene, és konkrétan a PetrWrap ellen mire érdemes figyelni.

Mit is csinálnak a zsarolóvírusok?

Vannak különbségek az egyes típusok viselkedésében, de a lényeg, hogy a zsarolóvírusok vagy angol nevükön ransomware-ek olyan kártékony programok, amelyek egy számítógépre jutva titkosítják a fájlokat, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. (Innen a nevük is.)

A Petya és a PetrWrap különlegessége még ezen felül, hogy sok társukkal ellentétben nemcsak egyes fájlokat titkosítanak, hanem rögtön a teljes meghajtót elérhetetlenné teszik.

Hogyan terjednek, hogy tudnak megfertőzni?

Erre is többféle módszer van, de a leggyakoribb, hogy emailek csatolmányaiban rejtik el a kártevőt (vagy a letöltését elindító programot), vagy hogy fertőzött weboldalakra kattintva indul a letöltés. Rendszerint a működésbe lépéshez valamilyen sebezhetőséget is kihasznál a zsarolóvírus.

Az eredeti Petya állásjelentkezésnek álcázott emailben terjedt, és a csatolt önéletrajz megnyitásával aktiválódott. A PetrWrap is terjed emailben, emellett a kiindulópontjának számító Ukrajnában egy megfertőzött, könyvelési programokat fejlesztő cég szoftverfrissítésével kezdett terjedni.

A PetrWrap ezen kívül azért is különösen ügyes és veszélyes, mert módot talált arra is, hogy egy megfertőzött gépről, ha annak adminisztrátori jogai vannak a hálózatán, további, egyébként nem veszélyeztetett gépekre is átterjedjen.

Célpont vagyok én is?

Persze, alapvetően mindenki célpont és bárki sebezhető lehet, de mind a májusi, mind a júniusi hullám főleg cégekre, intézményekre utazott és az ő hálózataikat, gépeiket érintette. Közülük viszont a magyarországiak is igen sebezhetőek, ahogy ezt a tavaly nyári, magyar kórházakat ért zsarolóvírus-fertőzés kapcsán is írtuk.

Magyar kórházakat támadnak zsarolóvírusokkal

Több hazai kórház is megfertőződött a közelmúltban, de egyelőre mindenhol megoldották a krízist a váltságdíj kifizetése nélkül. A magyar intézmények informatikai rendszerei katasztrofális állapotban vannak, figyelmeztet a szakértő. Tovább

Mit tehetek, ha már megfertőződtem?

Sajnos általában nem sokat.

Annyi biztos, hogy fizetni nem érdemes, mert ez sose jelent garanciát arra, hogy valóban vissza is állítják a fájljait a hekkerek. Volt már rá példa, hogy állták a szavukat, meg arra is, hogy az áldozat bankszámláján kívül semmi nem változott.

Mindenki beállhat kiberterroristának

Pénteken tízmillió fertőzött webkamera megbénított egy rakás webes szolgáltatást, és ez még semmi, a szakértők 50 milliárd netes eszközt vizionálnak. Okos felhasználók kellenek, hogy biztonságban legyünk az okoseszközökkel. Tovább

Ráadásul ha fizet, visszaállnak a fájlok, és semmi mást nem tesz, később akár a fertőzés is visszatérhet. Magának a zsarolóvírusnak az eltávolítása ugyanis nem feltétlenül szüntetni meg a veszélyt, mert a hekkerek ritkán szokták elengedni azt a gépet, amelyiket egyszer már sikerült megfertőzni – mondta az Indexnek még tavaly Durmics Tamás biztonsági szakember. De még ha konkrét utófertőzés nem is történik, az ott maradó kártékony kóddal a gép becsatolható például egy zombihálózatba, amelyet aztán (akár zsarolóvírust terjesztő) levélszemét szétküldésére vagy túlterheléses támadásokhoz lehet használni.

Plusz végső soron a fizetéssel is bűnözőket finanszírozunk, és visszaigazoljuk, hogy működik az üzleti modelljük. (Bár ha valakinek a saját személyes fájljai kerülnek veszélybe, nyilván ez az utolsó dolog, ami érdekli, pláne, ha mondjuk minden perc számít, amíg nem fér hozzá fontos adatokhoz.)

A PetrWrap esetében pedig már csak azért sincs értelme fizetni, mert a német Posteo emailszolgáltató már letiltotta azt az emailfiókot, ahonnan fizetés esetén a hekkerek kiküldenék a kulcsokat. Vagyis hiába fizet, ebben az esetben már tuti, hogy nem kapja így vissza a fájljait. (Bár vannak arra utaló jelek is, hogy a PetrWrapnél nem is annyira a pénzszerzés, mint inkább a rombolás lehetett az elsődleges motiváció.)

Tehát ha bekaptam egy zsarolóvírust, bekaphatom?

Azért ez attól is függ, hogy pontosan mivel van dolga.

Tavaly nyáron biztonsági cégek az Interpollal és nemzeti rendőrségekkel együttműködve indítottak egy oldalt, amelyen segítségek nyújtanak a zsarolóvírusokkal kapcsolatban. Ehhez a No More Ransom! nevű projekthez tavaly ősszel a magyar Készenléti Rendőrség is csatlakozott.

Az oldal az általános tudnivalók és tanácsok mellett működtet egy Crypto Sheriff nevű eszközt, amely segít azonosítani, hogy melyik zsarolóvírussal is van dolga az áldozatnak. Jó pár korábbi zsarolóvírus titkosítását már sikerült ártalmatlanítani (például mert hibát találtak a titkosításában vagy a bűnbánó fejlesztő közzétette a titkosítási kulcsokat). A No More Ransom mindegyik ilyen legyűrt kártevőhöz egy helyre gyűjtötte a fájlok visszaállításához használható eszközöket. Ha szerencsétlen volt, mert megfertőződött, még lehet szerencséje, ha már van ellenszer.

És mit csináljak, hogy ne is fertőződjek meg?

Ez a legfontosabb a zsarolóvírusokkal kapcsolatban, minden biztonsági cég mantrája, hogy a megelőzéssel lehet leginkább védekezni ellenük. Ehhez összegyűjtöttük az általános tanácsokat, illetve azt is, konkrétan a PetrWrap ellen mit lehet tenni.

Általánosságban megelőzhető a zsarolóvírus-katasztrófa, ha:

  • Rendszeresen készít biztonsági mentést a fájljairól, akár a teljes rendszeréről, hogy ha beüt egy fertőzés, egyszerűen vissza lehessen állítani. Fontos, hogy a biztonsági mentést magától a rendszertől elkülönítve tárolja, különben azt is elérheti a kártevő, és akkor mehet az egész a kukába.
  • Ne nyisson meg ismeretlen vagy ismerősnek tűnő, mégis csanús emaileket, pontosabban a bennük érkező emailcsatolmányokat és linkeket.
  • Ugyanígy a gyanús weboldalakat is kerülje el, bár ebben manapság egész sokat segítenek a böngészők is.
  • Mindig frissítse az operációs rendszerét és a programjait. A májusi WannaCry-fertőzést például egy olyan sebezhetőség tette lehetővé, amelyre a Microsoft már márciusban kiadta a javítást. Hiába, ha a felhasználó vagy rendszergazda nem telepíti.
  • Használjon vírusirtót. Legalább azt, amelyik be van építve a rendszerébe, de még jobb, ha annál profibbat. Ezt is rendszeresen frissítse. (Vagyis ne legyen lusta újraindítani a gépét, ha egy frissítés ezt kéri.)

Ezen kívül a PetrWrap esetében van néhány extra tudnivaló is, amelyeket a GovCERT ajánlása is felsorol:

  • Telepítse a Windows SMB nevű protokoll sérülékenységét befoltozó javítást.
  • Kapcsolja le az SMB1-et. (Ehhez itt talál hivatalos segítséget.)
  • A levél csatolmányában lévő káros kód a következő domain címről tölti le a zsarolóvírust, amelyet érdemes letiltani a tűzfalon: french-cooking.com.
  • Részleges megoldás: készítsenek egy kiterjesztés nélküli “perfc” nevű fájlt a Windows telepítési mappájába (C:\Windows), és ezáltal a zsarolóvírus semmilyen kárt sem fog okozni. (Ez a pont arra az ellenszerre utal, amelyet egy izraeli kutató szúrt ki: el lehet hitetni a PetrWrappel, hogy már egyszer titkosította a gépet.)

És egyébként miért egyre több az ilyen támadás?

Mert a kiberbűnözők is egyre profibbak, illetve egyre könnyebb nem profit is beszállni némi profit reményében. Egész iparág épült rá a zsarolóvírusokra, a profi hekkerek szoftvert fejlesztenek és az üzleti modellt dolgozzák ki, a kisebb játékosok pedig építik a hálózatot és gyakorlatilag franchise-szerű rendszerben terjesztik százalékos részesedésért a kártevőt – magyarázta az Indexnek egy tavalyi interjúban Martin Lee, a Talos biztonsági cég egyik európai vezetője.

A zsarolóvírusoktól érdemes félni, nem az okostermosztáttól

Bár utóbbi is sok bajt okozhat még. A hekkerek egyre ügyesebbek, de rá is kényszerülnek. Martin Lee, a Talos európai vezetője mesélt a veszélyekről. Tovább

Emmellett a kiberhadviselés általában is fokozódik, és egyre kevésbé lehet éles határt húzni a kiberbűnözők és az őket nem ritkán saját céljaikra felhasználó állami kötődésű szereplők közé. Az se segít a helyzeten, hogy az állami szervek előszeretettel gyűjtögetik a nulladik napi (vagyis egyelőre ismeretlen) sebezhetőségeket, mert ezekre az elektronikus hírszerzésben értékes lehetőségként tekintenek: amíg maga a sebezhető eszköz gyártója se tudja, hogy van egy hiba, addig javítani se tudja, így nyugodtan ki lehet használni.

De ahol ajtó van, és nem csukják be, ott előbb-utóbb bárki beosonhat, ezért ha például az amerikai NSA vagy az orosz GRU megtalál egy hibát, és nem szól róla, ezzel ártatlan felhasználókat is veszélyeztet. Pontosan ez történt a WannaCry és részben a PetrWrap esetében is: egy eredetileg az NSA által felfedezett és kihasznált, EternalBlue kódnevű sebezhetőségen keresztül jutott be a gépekre, miután ezt a biztonsági rést az NSA-t feltörő Shadow Brokers nevű hekkercsoport kiszivárogtatta. Nem csoda, hogy a májusi eset után a Microsoft is megjegyezte, hogy a kormányoknak fel kell hagynia azzal, hogy sebezhetőségeket gyűjtenek saját célra, és nem közlik azokat az érintett cégekkel.

Van remény arra, hogy változik a helyzet?

Az állami ügynökségek hörcsögtempójában nem valószínű, ahogy a feltehetően a kiberbűnözők se terveznek lassítani. Hosszabb távon viszont egyetlen előnye azért lehet a zsarolóvírus-őrületnek.

Ács György, a Cisco regionális biztonsági szakértője például márciusban arról beszélt, hogy az addigi incidensek a magyar piacon érezhetően növelték a felhasználói tudatosságot és a cégek elhatározását, hogy jobban odafigyeljenek a biztonságra. Ez érthető, hiszen a zsarolóvírusok más fenyegetéseknél látványosabbak, a médiában is jól átadható veszélyt jelentenek, amelynek bárki áldozatául eshet. Ráadásul nem lehet rá úgy legyinteni, mint mondjuk egy adatszivárgásra, amely inkább a későbbiekben okoz fejfájást, hiszen a zsarolók azonnal váltságdíjat követelnek.

Persze, hogy kevés az informatikus, ha a kiberbűnözés jobban fizet

A Cisco szakemberei szerint reneszánszát éli a spam, és a zsarolóvírusok is, de azok legalább segítenek felnyitni a szemünket. Tovább

Úgyhogy ha értelmet keres az utóbbi hónapok zsarolóvírus-pánikjában, itt a tanulság: ha bosszankodva is, de szánja rá azt a pár percet a frissítésre, figyeljen oda, mire kattintgat, és amit igazán fontosnak tart, azt legalább két helyen őrizze meg.