Tech

Egy hetünk maradt visszaszerezni az adatainkat

Pintér Mónika
Pintér Mónika

techtud rovvez. 2017. 05. 13. 18:37

A kiber- és nemzetbiztonságiaknak egy hete maradt arra, hogy megtalálják az elkövetőt, s főleg a zárolt adatokat feloldó kulcsot. Utána a zsarolóvírus által megfertőzött gépeken törlődik minden érintett fájl. Miközben egy nap után csendesedni látszik a kibertámadási hullám, a szakértők arra figyelmeztetnek: ez még messze nem a vége!
Korábban a témában:

Sosem örültem még ennyire annak, hogy zsarolóvírus áldozata lettem. Képzeljenek el egy felnőttet, ahogy izgatottan ugrál egy szobában. Na, ez voltam én!

írta blogbejegyzésében @MalwareTech, avagy a brit Nemzeti Kiberbiztonsági Központ szakértője, akit a sajtó és a közvélemény csak úgy emleget, mint a véletlen hőssé vált megmentő.

Neki köszönhető ugyanis, hogy szombat reggelre felére csökkent a zsarolóvírus terjedésének mértéke, majd 24 órával a világszintű támadáshullám után csend állt be: egyelőre leállt a terjedés.

A brit kiberbiztonsági szakértő szerint ugyanakkor korai lenne örülni, még messze nincs vége a történetnek.

Az elkövetők (vagy akár más bűnözők) rájönnek, hogyan állítottuk meg a rohamot, változtatnak a kódon, s kezdődik minden elölről. Aki még nem fertőzödött meg, az frissítse a Windowst és a programokat, s indítsa újra a gépet minél előtt.

Itt megtalálja, hogy a melyik Windowshoz mit kell telepíteni, frissíteni 

HÁROM JÓ TANÁCS

  1. Frissítse a Windowst és a programokat!
  2. Szerezzen be egy megbízható vírusirtót!
  3. Készítsen biztonsági mentést az adatairól!

(Forrás)

Ahogy én magam is végigkövettem laikusként, ahogy mintegy 100 országban szedi áldozatait a WannaCry zsarolóvírus, addig a profik szakértői szemmel estek neki a nyomozásnak.

A 22 éves szakértő eredetileg a vírus terjedését akarta elemezni, akkor fedezett fel egy “beépített kikapcsolót” (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, meg tudja állítani a kártevő terjedését. Eszerint a kód tartalmazott egy domaint, melyhez a kártevő megpróbál csatlakozni – csak úgy, mint amikor meg akarunk nyitni egy honlapot – ha sikerül, akkor leállítja magát, és nem terjed tovább, ha azonban nem sikerül a kapcsolódás, akkor megfertőzi az adott gépet.

(Nehezítés, hogy elég egyetlen gépre eljutnia, hogy utána a hálózat többi eszközét is megfertőzze, azaz nem kell minden felhasználónak megnyitnia egy fertőzött csatolmányt tartalmazó levelet vagy oldalt.)

A brit szakértő leellenőrizte az elképesztő hosszúságú, fura címet, s beregisztrálta 10,69 dollárért, azaz körülbelül 3 ezer forintért. Mint posztjában írja, akkor még fogalma sem volt, hogy milyen domaint is regisztrált. “Csak azt láttuk, hogy bárki, akit a zsarolóvírus megfertőzött, az ehhez a címhez próbál csatlakozni.”

» www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com «

Ez alapján tudták aztán létrehozni azt a folyamatosan frissülő világtérképet, melyet Twitteren osztott meg, s melyről a The New York Times készített látványos animációt. Ekkor már látszódott, hogy világszintű problémáról van szó, s hogy a legnagyobb elszenvedője a támadáshullámnak Oroszország és Európa – köztük hazánk sem úszta meg.

Hozzánk is elért Forrás: Malwaretech

Pár órával később újra leellenőrizték a kártevő kódját. Előfordulhat ugyanis, hogy egy algoritmus segítségével változik az abban szereplő domain, a szakértő pedig tudni szerette volna, mit kell legközelebb regisztrálni, hogy tovább követhessék a vírus terjedésének útját. Azonban az URL továbbra is ugyanaz volt.

Ekkor jött egy miniszívroham: a brit szakember azt az információt kapta kollégájától, hogy a regisztráció által mindenki fájlait titkosítják, aki megpróbál a domainhez csatlakozni. Ehhez képest Darian Huss, a ProofPoint biztonsági cégtől épp az ellenkezőjét állította: a regisztrációval megállítják a zsarolóvírust, s lassul annak terjedése.

@MalwareTech úgy döntött hát, ellenőrzött körülmények között maga próbálja ki, mi az igazság. A végeredmény pedig tudjuk: ujjongva örült, hogy a zsarolóvírus megfertőzte, azaz sikerült a regisztrációval megállítani a terjedést.

Üröm az örömben

Ne feledkezünk el azonban azon cégekről és magánszemélyekről, akiknél már beütött a krach. A zsarolóvírus ugyanis zárolta a gépen található, sokszor bizalmas, vagy éppen érzékeny adatokat. Egy felugró ablakban 28 nyelven zsarolja meg a felhasználót, s követel váltságdíjat: 300 és 600 dollár közötti összeget, azaz 85-171 ezer forintot.

Annak a felhasználónak rögtön törlik az összes zárolt adatát, aki a figyelmeztetés ellenére megpróbálja frissíteni az oprendszert, vagy a vírusirtót telepíteni.

Forrás: SecureList

A biztonsági szakértők szerint a megadott számlára péntek délután óta folyamatosan csorog be a sok bitcoin, ők maguk azonban azt vallják: ne fizessünk a bűnözőknek, főleg, hogy semmi sem garantálja, így visszakapjuk szeretett dokumentumainkat.

Az elkövetők május 19-20-at adták meg határidőnek, ameddig fizethetünk, miközben folyamatosan strompfolják feljebb az árat, majd ezt követően törlik az összes zárolt adatot. Azaz gyakorlatilag egyetlen hete van a kiber- és persze nemzetbiztonságiaknak arra, hogy megtalálják az elkövetőt, s még ennél is fontosabb, hogy a feloldókulcsot.

A nyilvánosságra hozott adatok alapján a pénzt útvonalát próbálják követni, hogy a bűnöző nyomára bukkanjanak, de ez a bitcoin miatt nem egyszerű feladat.

vissza a címlapra

Kommentek

Legfrissebb videó mutasd mind

German Chancellor and CDU party leader Angela Merkel (C) addresses supporters after exit poll results were broadcasted on public television at an election night event at the party's headquarters in Berlin during the general election on September 24, 2017.
Germany voted in a general election expected to hand Chancellor Angela Merkel a fourth term, while the hard-right Alternative for Germany (AfD) party is predicted to win its first seats in the national parliament. / AFP PHOTO / Odd ANDERSEN
Nézd meg a legfrissebb cikkeinket a címlapon!
24-logo

Engedélyezi, hogy a 24.hu értesítéseket
küldjön Önnek a kiemelt hírekről?
Az értesítések bármikor kikapcsolhatók
a böngésző beállításaiban.