Egyszer csak felugrik egy, a Mozilla Firefoxéhoz hasonló ikon a tálcán, majd nem sokkal később egy ablak, amely angol nyelven jelzi, hogy a számítógépünk (vagy mobilunk) veszélyben lehet, egy vírusszkennelés erősen ajánlott. Nincs lehetőség az ablak bezárására, nincs olyan válasz, hogy "Nem". "A legtöbb felhasználó pár perc próbálkozás után feladja, hogy folytathassa minél előbb a munkát, és végül rákattint az igenre" – mesélte olvasónk, Vígh Sándor, miként vált egy zsarolóvírus áldozatává.
Lefut egy ellenőrzés (látszólag), majd kiírja, hogy talált 67 fertőzött fájlt, közülük tíz nagyon veszélyes, ha el akarjuk távolítani őket, fizessünk. Az összeg különbözik, Sándor esetében 150 dollár, azaz negyvenezer forint volt, de nem ritka, hogy több százezer forintot követelnek.
Lehetőség van a fizetés későbbre halasztására is. "Mindennap újra felugrott ez az ablak, mint egy vírusirtó program esetében, amely figyelmeztetett a problémára, de mindig csak rákattintottam, hogy fizetés később, nem törődtem vele." A tizedik napon aztán egy képpel indult a gép, az operációs rendszer nem töltött be: a szervizben közölték, minden adat elveszett, semmi nem maradt rajta – mesélte Sándor.
"Többévnyi munkám, képek, videók, emlékek voltak rajta, gondoltam, kerül, amibe kerül, megpróbálom visszaszerezni őket." Sándor felhívta a Kürt Zrt. ügyfélszolgálatát, de amint kiejtette a CTB-Locker nevét, közölték, nincs értelme a beszélgetést folytatni, sajnos nem tudnak segíteni a visszaállításban.
Nem új keletű vírusról van szó, a CTB-Locker több hónapja szedi áldozatait, a Kaspersky Lab először 2014 júniusában észlelte. Az egyebek közt vírusirtó szoftvereket fejlesztő cég szakembere, Ghareeb Saad az Origónak elmondta, főként e-mailen keresztül terjed, egy tömörített fájlba csomagolva (például .zip vagy .rar) érkezik meg legtöbb esetben az áldozat gépére.
A levélben arra figyelmeztetik a felhasználót, hogy egy népszerű program, például a Chrome böngésző frissítést igényel, és csatoltan vagy egy linkre kattintva letölthetjük. Valójában viszont a Chrome.exe vagy egyéb fájl mögé bújva maga a vírus töltődik le, és települ a gépen.
Anonim módon zsarolnak a hackerek
A Curve Tor Bitcon Locker rövidítéséből tevődik össze a fertőzés neve. A Tor-hálózat ugyanis anonim internetezést biztosít a hackereknek. A kliensen zajló forgalom titkosított, az adatokat véletlenszerűen kiválasztott számítógépeken keresztül továbbítják a feladótól a címzettig. A digitális valuta is a zsarolók védelmét szolgálja: a Bitcoin egy anonim fizetésre alkalmas, minden államtól és pénzintézettől független fizetőeszköz.
Jelenleg már a CTB-Locker harmadik generációja fertőz, mondta az Origónak Kertész Zoltán, a Kürt Zrt. adatmentési üzletágának vezetője. A vírus egyik legfontosabb funkciója, hogy titkosítja a merevlemezen lévő fájlokat, így a felhasználó nem fér hozzájuk.
Az első generáció "csupán" megfertőzte a felhasználó számítógépét, továbbküldte magát ismerőseinknek, és titkosította a fájlokat, azonban a feloldáshoz szükséges kulcs még megtalálható volt a vírus kódjában. Mivel a titkosítási folyamat hosszú és időigényes, amikor a felhasználó észlelte a problémát, volt lehetősége megszakítani a folyamatot, így csökkentve az okozott kárt. Az ilyen típusú titkosítás jó eséllyel visszafejthető a megtalált kulccsal.
"A mostani generáció ennél sokkal kártékonyabb." Maga a vírus erős titkosítást tartalmaz, a visszafejtéshez szükséges kulcsot pedig a deep weben rejtik el, vagyis lehetetlen feltörni.
Az új kártevő nagyon könnyen feljut egy windowsos PC-re, mivel minden olyan fájlt, amely valamilyen tömörítést használ – így például egy sima PDF-dokumentumot is – meg tud fertőzni. "Egy közismert, megbízható internetes portálon is közzétehetnek egy olyan fájlt, amely fertőzött. Akár biztonsági cégek dokumentumai közé is rejthetik a kártékony kódot, ahol éppen azt írják le, hogyan kerülhetjük el a CTB-Lockert."
A vírus rejtőzködik, figyeli a felhasználó viselkedését, szokásait, felméri, hogy milyen állományokat ér el a jogosultságával. Ahhoz viszont élő internetkapcsolatra van szüksége, hogy életben maradhasson és terjedjen. Ha úgy ítéli meg, hogy már nincs mit felderítenie, csatlakozik egy adott szerverre, lekér egy kulcsot, amellyel aztán titkosítja az összes elérhető állományt: nemcsak a PC merevlemezén, hanem minden, hálózatról elérhető meghajtón is.
A titkosítási folyamat is fejlődött az első generáció óta Kertész Zoltán szerint. Az új kártevő már csak a fájlok fejlécét titkosítja, ami az állományok kereshetőségét és egyszerű megnyithatóságát biztosítja. "Ez olyan, mintha egy papírlapon letépnénk a felső két centimétert, ahol ott van a szerző, a cím, minden, ami alapján keresnénk azt a dokumentumot."
Mivel így nagyon kicsi tartalmat kell titkosítania, a folyamat felgyorsult: percek alatt több terabájtnyi adatot tehet elérhetetlenné, akár egy teljes céges hálózatot levadászhat pillanatok alatt.
"A helyzet megoldhatatlansága az erős titkosításban rejlik." Bizonyos fájlok esetében még fejléc nélkül is meg lehet menteni a tartalom egy részét, de ez csak a fájltípusok igen kis hányadát érinti. A CTB-Locker minden meghajtót képes megfertőzni, kivéve a szalagos adattárolókat, amelyeknél nem tud lefutni a titkosítási folyamat.
Alternatív megoldás lehet még a biztonsági mentés – a Kürt és a Kaspersky Lab is ezt ajánlotta –, amelynek segítségével a fájlok egy része talán visszahozható, de ez bizonyos szintű előrelátást, tudatosságot igényel a felhasználóktól. "Egy egészséges paranoia segíthet" – mondta Kertész Zoltán.
Arra a kérdésre, hogy vajon érdemes-e fizetni az adatainkkal zsaroló hackereknek, a szakember azt mondta, a Kürthöz beérkező visszajelzések alapján az áldozatok fele tudta megmenteni adatait fizetés után, a többieknél ez sem vált be. "Ráadásul, ha egy fertőzött gépre külső meghajtót vagy pendrive-ot csatlakoztatunk, a fertőzés továbbterjedhet."