Egy hetünk maradt visszaszerezni az adatainkat
Egy hetünk maradt visszaszerezni az adatainkat

Pintér Mónika 24.hu | Híreink, 1699 olvasás

Tech 24

Egy hetünk maradt visszaszerezni az adatainkat


A kiber- és nemzetbiztonságiaknak egy hete maradt arra, hogy megtalálják az elkövetőt, s főleg a zárolt adatokat feloldó kulcsot. Utána a zsarolóvírus által megfertőzött gépeken törlődik minden érintett fájl. Miközben egy nap után csendesedni látszik a kibertámadási hullám, a szakértők arra figyelmeztetnek: ez még messze nem a vége!

Sosem örültem még ennyire annak, hogy zsarolóvírus áldozata lettem. Képzeljenek el egy felnőttet, ahogy izgatottan ugrál egy szobában. Na, ez voltam én!

írta blogbejegyzésében @MalwareTech, avagy a brit Nemzeti Kiberbiztonsági Központ szakértője, akit a sajtó és a közvélemény csak úgy emleget, mint a véletlen hőssé vált megmentő.

Neki köszönhető ugyanis, hogy szombat reggelre felére csökkent a zsarolóvírus terjedésének mértéke, majd 24 órával a világszintű támadáshullám után csend állt be: egyelőre leállt a terjedés.

A brit kiberbiztonsági szakértő szerint ugyanakkor korai lenne örülni, még messze nincs vége a történetnek.

Az elkövetők (vagy akár más bűnözők) rájönnek, hogyan állítottuk meg a rohamot, változtatnak a kódon, s kezdődik minden elölről. Aki még nem fertőzödött meg, az frissítse a Windowst és a programokat, s indítsa újra a gépet minél előtt.

HÁROM JÓ TANÁCS

  1. Frissítse a Windowst és a programokat!
  2. Szerezzen be egy megbízható vírusirtót!
  3. Készítsen biztonsági mentést az adatairól!

Ahogy én magam is végigkövettem laikusként, ahogy mintegy 100 országban szedi áldozatait a WannaCry zsarolóvírus, addig a profik szakértői szemmel estek neki a nyomozásnak.

A 22 éves szakértő eredetileg a vírus terjedését akarta elemezni, akkor fedezett fel egy “beépített kikapcsolót” (kill switch), melyet a készítő azért hoz létre, hogy ha szükséges, meg tudja állítani a kártevő terjedését. Eszerint a kód tartalmazott egy domaint, melyhez a kártevő megpróbál csatlakozni – csak úgy, mint amikor meg akarunk nyitni egy honlapot – ha sikerül, akkor leállítja magát, és nem terjed tovább, ha azonban nem sikerül a kapcsolódás, akkor megfertőzi az adott gépet.

(Nehezítés, hogy elég egyetlen gépre eljutnia, hogy utána a hálózat többi eszközét is megfertőzze, azaz nem kell minden felhasználónak megnyitnia egy fertőzött csatolmányt tartalmazó levelet vagy oldalt.)

A brit szakértő leellenőrizte az elképesztő hosszúságú, fura címet, s beregisztrálta 10,69 dollárért, azaz körülbelül 3 ezer forintért. Mint posztjában írja, akkor még fogalma sem volt, hogy milyen domaint is regisztrált. “Csak azt láttuk, hogy bárki, akit a zsarolóvírus megfertőzött, az ehhez a címhez próbál csatlakozni.”

Ez alapján tudták aztán létrehozni azt a folyamatosan frissülő világtérképet, melyet Twitteren osztott meg, s melyről a The New York Times készített látványos animációt. Ekkor már látszódott, hogy világszintű problémáról van szó, s hogy a legnagyobb elszenvedője a támadáshullámnak Oroszország és Európa – köztük hazánk sem úszta meg.

Pár órával később újra leellenőrizték a kártevő kódját. Előfordulhat ugyanis, hogy egy algoritmus segítségével változik az abban szereplő domain, a szakértő pedig tudni szerette volna, mit kell legközelebb regisztrálni, hogy tovább követhessék a vírus terjedésének útját. Azonban az URL továbbra is ugyanaz volt.

Ekkor jött egy miniszívroham: a brit szakember azt az információt kapta kollégájától, hogy a regisztráció által mindenki fájlait titkosítják, aki megpróbál a domainhez csatlakozni. Ehhez képest Darian Huss, a ProofPoint biztonsági cégtől épp az ellenkezőjét állította: a regisztrációval megállítják a zsarolóvírust, s lassul annak terjedése.

@MalwareTech úgy döntött hát, ellenőrzött körülmények között maga próbálja ki, mi az igazság. A végeredmény pedig tudjuk: ujjongva örült, hogy a zsarolóvírus megfertőzte, azaz sikerült a regisztrációval megállítani a terjedést.

Üröm az örömben

Ne feledkezünk el azonban azon cégekről és magánszemélyekről, akiknél már beütött a krach. A zsarolóvírus ugyanis zárolta a gépen található, sokszor bizalmas, vagy éppen érzékeny adatokat. Egy felugró ablakban 28 nyelven zsarolja meg a felhasználót, s követel váltságdíjat: 300 és 600 dollár közötti összeget, azaz 85-171 ezer forintot.

Annak a felhasználónak rögtön törlik az összes zárolt adatát, aki a figyelmeztetés ellenére megpróbálja frissíteni az oprendszert, vagy a vírusirtót telepíteni.

A biztonsági szakértők szerint a megadott számlára péntek délután óta folyamatosan csorog be a sok bitcoin, ők maguk azonban azt vallják: ne fizessünk a bűnözőknek, főleg, hogy semmi sem garantálja, így visszakapjuk szeretett dokumentumainkat.

Az elkövetők május 19-20-at adták meg határidőnek, ameddig fizethetünk, miközben folyamatosan strompfolják feljebb az árat, majd ezt követően törlik az összes zárolt adatot. Azaz gyakorlatilag egyetlen hete van a kiber- és persze nemzetbiztonságiaknak arra, hogy megtalálják az elkövetőt, s még ennél is fontosabb, hogy a feloldókulcsot.

A nyilvánosságra hozott adatok alapján a pénzt útvonalát próbálják követni, hogy a bűnöző nyomára bukkanjanak, de ez a bitcoin miatt nem egyszerű feladat.


Címkék: