"Az, hogy bekapcsolod, és Működik, nem jelenti azt, hogy hibátlan!"®           "A Számítógép füsttel működik. Ha az kijön belőle, mindennek vége!"           "Az elmélet, és a gyakorlat között elméletileg nincsen különbség, gyakorlatilag van"           "hacker gondolkodás: ha pingre ugat a kutya, nem matatsz a zárral."

2015. augusztus 26., szerda

Veszélyben az adataink - Adatainkat titkosítja az új Trójai


Figyelem!!!

E-Mailben terjedő kártevő!!!


Nem gondoltam volna, hogy ismét találkozom egy 26 éves kártevővel, bár időről-időre újra feltűnt. Jobban utána olvasva kiderült, hogy az utóbbi pár évben kezd csak igazán hódítani/terjedni és igazán veszélyes 2005 után lett, miután asszimetrikus kulcsú titkosítással kódolta le a fájlokat.
Innentől kezdve ezeket a titkosított állományokat nem tudták a vírusirtók helyreállítani.
Szigorúan véve nem is vírus, hanem kéretlen alkalmazás. Ez az új éppen trójai, (Cryzip) tehát nem mindegyik vírusirtó véd meg tőlük/tőle.
Az ilyen típusú zsaroló kártevőknek ransomware a neve.
Működése egyszerű. Elkezdi lekódolni az áldozata személyes fájljait, - Fotó, videó, hangfájl, dokumentumok (jelen esetben a Cryzip nevű kártevő a: JPG, PDF, DOC, XLS, XML és más gyakran használt fájlokat) - vagy lezárja a rendszert, hozzá nem férhetővé téve, néha azt állítja, hogy illegális letöltéseket, jogsértő szoftvereket, esetleg gyermek pornót talált a gépen, (Lényegtelen, hogy a vádak igazak-e, van jog sértett/törvénytelen tartalom, vagy nincsen) majd értesíti az áldozatot, hogy a fájlokért, vagy a feloldásért cserébe váltságdíjat követel.
Sokszor fenyeget feljelentéssel, főleg az illegális letöltések, nem jogtiszta szoftverek és a gyermek pornó esetén.
Olyan változat is ismert, ami az internetes pornózási szokásokról készít listát a személyes adatokkal, majd megjeleníti azt egy weboldalon. Ezek után az adatok levételéért kér pénzt...


Az írás apropója ez az új Trójai (Cryzip) és hogy most került hozzám egy HDD, amin többek között a tulajdonosának a gyerek születése után készült összes kép rajta van. Mondanom sem kell ugye, hogy ezek pótolhatatlan adatok, mekkora veszteség ilyesmit elveszteni!


Ilyenkor (SEM!) győzöm hangsúlyozni, hogy milyen fontos a megelőzés!!!

 A vírusirtó (Megbízható) használata, az operációs rendszer frissítése, (A biztonsági javításokat minden képen fel kell tenni!) és a féltett/fontos adataink rendszeres/időszakos mentése!

Ezt a kártevőt ismerve kevés esélyt láttam a fájlok visszaszerzésére, anélkül, hogy a károsult kifizetné a váltságdíjat, mégis megpróbáltam pár dolgot.

Sikerrel!

Nagyjából 20% adatot sikerült megmentenem, mert sajnos elsőként nem szakember kezébe került a gép! (Fontos személyes fájlok vesztek el, a gyerekről születése óta készült videók és képek! Amik pótolhatatlanok!!!)
Ez a cca. 20% kicsit több, mint a semmi. A Videók cca 60-80%-a van meg, viszont a képekből alig 5-10%. :(
Véleményem szerint lett volna esély 40-60 %-ot megmenteni, ha az üzenet megjelenése után azonnal lelövik a gépet, és nem kapcsolják be többet!
Ha nem kísérletezik rajta egy átlag felhasználó...
..tudom, hogy jót akarnak az emberek, de a jóakarat sajnos az ilyesmihez kevés!!!

Úgy szeretném, ha belátnák végre az emberek, hogy a felhasználó, az nem szakember! :(


Sokan azt hiszik, hogy ilyenkor ezt azért mondom, hogy sokkal több pénzt kereshessek.
Igazából most itt a példa:
Sokkal több adatot tudtam volna megmenteni, ha senki nem kísérletezik az adatok visszaállításával, hanem azonnal hozzám kerül a gép vagy HDD.

Innentől már csak az a választás maradt, hogy vagy kifizeti a károsult az igen drága váltságdíjat a többi adatért, vagy lemond azokról... :(
Ha fizet, sem biztos, hogy visszakapja!


Értelem szerűen a kis fájlokat (Tehát a képeket) volt könnyebb titkosítani, tehát előbb ezeket kódolta le, majd nekiállt a videóknak is...
.. és eddig jutott el a titkosító script.
Ezért vannak még menthető adatok.




Néhány jó tanács, ha belefutsz ebbe a kártevőbe!

  1. Amint az üzenet megjelenik, a legokosabb azonnal lelőni (áramtalanítani) a gépet és be sem kapcsolni azt!
  2. Az az operációs rendszer, amin az ártalmas kód fut, ezek után már ne fusson, azt ne indítsuk el többet!
  3. Keress olyan szakembert, aki nem óradíjban gondolkozik, tehát hajlandó egyáltalán foglalkozni a kérdéssel, nem egyből azt állítja, hogy nem lehet vele semmit kezdeni!!! Lehet! Csak akarni kell!
    Természetesen nem azt állítom, hogy a kódolt adatokat vissza lehet fejteni, mert azzal csak áltatnám a károsultakat! Arról van itt szó, hogy a még nem kódolt tartalmakat, ANNAK VESZÉLYEZTETÉSE NÉLKÜL!!! mentsük le, mielőtt a kártevő azokat is elérhetetlenné tenné!
  4. Éppen ezért Semmiképpen NE! a szomszédot kérd meg erre, sem a szakit 2 utcával lejjebb! Olyan ne nyúljon a géphez vagy az adatainkat tartalmazó HDD-hez, aki nem képes "Az adatmentés lehetséges módjai" című résznél leírtakat elvégezni!

Azt a rendszert, amin a Trójai is fut, azt semmiképpen nem szabad ilyenkor bekapcsolni!
Minden perc működéssel újabb fájlokat titkosít le....


Az adatmentés lehetséges módjai

  1. Az első lépés, mint írtam, azonnal lelőni a gépet/rendszert, amint az üzenet megjelenik!
  2. Azt az operációs rendszert, amin az ártalmas kód fut, ne indítsuk el többet!
  3. Lehetőleg ne azt a típusú operációs rendszert használjuk az adatok helyre állítására, amin a kártevő futott!!!
    Tehát ha Windowson futott az ártalmas kód, akkor semmiképpen ne használjunk Windowst az adatok helyreállítására! Legalábbis az első lépésekhez NE!
    Ugyanígy értelemszerű, hogy ha Androidon, vagy egyéb rendszereken találkozunk vele, akkor nem azokon fogunk dolgozni.
    Az alap, hogy igyekezzünk olyan rendszert választani, amin valószínűleg nem fut az éppen felismert káros kód.
  4. A második lépés, hogy ezzel az alternatív rendszerrel csak olvasás módban lemásoljuk az adatokat egy minimum ugyanolyan méretű másik adathordozóra!!!
    Tehát nem a forrás adathordozón fogunk dolgozni, így továbbra sem veszélyeztetjük még jobban az adatokat!
    Innentől a másolattal fogunk dolgozni!
  5. Első lépésként futtatunk egy vírusirtót, hogy megállítsuk a kártevőt!
    Bármelyik olyan vírusirtó megfelel, amelyik már ismeri a jelenleg felbukkant kódunkat. (Kis google-zás segít megtalálni a nevét.)
  6. Amint ezzel végzünk, el lehet kezdeni keresni, hogy vannak-e olyan fájlok, amiket még nem titkosított le az erre írt algoritmus.
  7. Ha találunk, mentsük le ezeket a fájlokat. Írhatunk listát is a sikerrel mentett és nem mentett fájlokról.
  8. Több szoftverrel nézzük át, találunk-e olyan fájlokat, amik már át lettek nevezve, de még nem lettek letitkosítva. Képnézegetővel megnyitva egy képeket tartalmazó mappát, felismeri a nem megfelelő kiterjesztésű kép fájlokat is és megjeleníti azokat.
    Ilyenkor elég a kiterjesztést visszaírni.
    Videókat tartalmazó mappa esetén szintén minden kijelölése és a lejátszóra való áthúzás után kiderül ugyanez.
  9. Ha készen vagyunk, akkor már csak a felhasználónak/károsultnak kell eldöntenie, hogy mit szeretne...

Alkalmas a feladatra, hogy átnézzük a HDD-t még használható, nem kódolt fájlok után egy CD-ről/DVD-ről futó Linux, ezek nem, vagy nehezen fertőződnek meg még a Linuxra szánt káros kódoktól is!
A Windows verziókat alapból nem ajánlanám erre a feladatra, - amin a vírus ismét futhat - még a Cd-ről/DVD-ről futókat sem...
Ha androidos vírus volt, akkor másik telefonban semmiképpen ne nézzük meg a memória kártyát!
Megfertőzhetjük azt a mobilt is!

Gondolom azt nem kell mondani, hogy erre a célra egy független gépet használunk, amin sem az egyébként használt rendszerünk nincsen rajta, sem fontos adatokat tartalmazó adathordozónk nincsen benne...



Mit szeretne a károsult felhasználó,

és mik a lehetőségei?

Természetesen mindenki szeretné visszakapni (Ingyen) az összes adatát, illetve el sem veszíteni azokat.
Sajnos csak rosz választása van.

  1. Minden adatot elveszít, nem fizet, nem keres szakembert.
  2. Fizet, de nem kapja vissza az adatokat. Nem keres szakembert.
  3. Egy szakember megmenti az adatok egy részét, de nem fizet, tehát a többi adatot elbukja.
  4. Egy szakember megmenti az adatok egy részét, ezután fizet és vagy visszakapja az összes adatot, vagy nem.
    Így viszont legalább az adatok egy része garantáltan megmarad.
  5. Vagy keres szakembert, vagy nem, de fizet és minden adatot visszakap.

Sajnos még nem találkoztam olyan esettel (És nem is hallottam, vagy olvastam róla) ahol sikerült volna a titkosított adatokat visszaállítani!



Szemezgetés - Információk erről a kártevőről

Egy régi hír:
http://avirus.hu/torrentlocker-virus/

Újabb hírek:
http://www.blikk.hu/blikk_aktualis/valtsagdijat-ker-a-gepert-a-virus-2327107

http://www.hwsw.hu/hirek/30953/titkositja-az-adatokat-es-valtsagdijat-ker-a-jelszoert-a-cryzip-trojai.html

http://nol.hu/mozaik/zsarolo-kartevo-tamadja-meg-a-magyarok-adatait-1449247

és igen, Androidon is megjelent már:
http://index.hu/tech/2014/06/05/ilyen_zsaroloprogramot_meg_a_szakertok_se_lattak/?token=d7d1fb01b30dd6344fdfa83505773200



Blog elkövetője: LordAthis napszak: 16:32 0 megjegyzés
Feliratkozás: Bejegyzések (Atom)