Hah, azt hiszem sikerült lenyúlni a kollegák elől a leglátványosabban kattintásvadász címért járó vállveregetést. De mi is lapul a blog profiljába nem vágó cím mögött? Egy kis morgás részemről, melynek alapját az elmúlt időszakban nem csak szakmai, de informatikával csak érintőlegesen kapcsolódó, egyéb célcsoportokat megszólító Facebook csoportokban gyakran felmerült kérdés adja. Az ok a CTB-Locker nevű vírus és annak hatásai.

(Disclaimer avagy előszó. A szerző nem virusvédelmi szakértő és nem informatikai biztonságtechnikai mérnök. Az alant megjelenő sorok inkább egyfajta, otthon is elérhető, egyszerűen megvalósítható megoldásra fókuszálnak, de nem tekinthetőek Szent Grálnak. Nincs szó benne, az egyébként alapvető titkosításról se, és jópár hasonlóan fontos terület se lesz érintve. Ez csak az első lépés egy hosszú úton, amely a felhasználó védelmére szolgál. Akit mélyebben is érdekel, az olvasgasson szakmai fórumokat, blogokat, ahol az igazi boszorkánykonyhát is bemutatják.)

Kis visszatekintő azok számára, akik idáig nem hallottak róla. A CTB-Locker alapjaiban változtatta meg a játékszabályokat. Konkrétan a legelterjedtebb zsaroló-vírus lett. Nagyon a részletekbe nem mennék bele, akár magyarul, akár angolul rengeteg információ áll a rendelkezésre. A lényeg, hogy a fertőzés a gépen biztosítja maga számára, hogy elinduljon (TaskScheduler) és szépen elkezdi titkosítani az adatokat. Itt jön az egyik trükkje, éspediglen az, hogy ECC-t (Elliptic Curve Cryprography) használ a titkosításra. Ez pediglen azért gond, mert ez nagyjából egészében lehetetlenné teszi az adatok decryptálást a kulcs ismerete nélkül. Tehát lefut a fertőzés, titkosodnak a fileok és megjelenik a zsaroló üzenet (ezért ransomware), melyben x dollárnak megfelelő bitcoint követlenek a kulcsért cserébe. Vagyis az adatainkért cserébe. Erre van 4 napunk. Persze az nyilvánvaló, hogy még ha fizetünk is (amit senkinek nem ajánlanak), akkor se biztos, hogy érdemben kapunk bármilyen megoldást, sokkal valószínübb, hogy se pénzünk, se adatunk nem lesz.

ctb_start

Persze a fertőzés próbál okos lenni, és kapásból megtámadja a felcsatolt hálózati meghajtókat is, valamint a Shadow Copy, lokális mentés vagy rendszer-visszaállítás másolatokat is titkosítja, csakúgy, mint a helyi tükrözéséket is. Mert egyébként ugye értelemszerűen triviális lenne a hibaelhárítás. Tovább nehezíti a helyzetet, hogy a tikosító algoritmus minden, betűjellel rendelkező meghajtóra hatással lesz. Legyen az egy bedugott USB pendrive, egy felmappelt hálózati megosztás vagy akár a szintén driveként felcsatolt felhős tárhelyünk. Nagyjából azt láthatjuk ezek után, hogy az adataink elvesztek. Nem a reaktív hibaelhárításra van itt szükségünk, hanem prokatívan megelőzni, hogy egyáltalán esélye legyen a CTB-nek és társainak a rombolásra.

Ökölszabály. Ismeretlen helyről származó fileokat nem nyitunk meg. Soha. Legalább is addig nem, amíg nem győződünk meg arról, hogy nem fertőzött. Ugyan így nem kattintunk weboldalon felugró ablakokra se, de ezekről késöbb. A CTB és eljövendő társai nem csak a web sötét oldalán terjednek és nem csak warez, torrent és pornó siteokon. Nyilván ha az ember valami miatt ilyen oldalakat látogat, akkor fokozottan oda kell, hogy figyeljen, de láttunk már kishazánkban CTB fertőzést ezeknél sokkal kevésbé szürke oldalon keresztül is.

'Well, I told you not to open that attachment!'

Fontos, hogy legyen egy naprakész operációs rendszerünk. A havonta egyszer kiadott javításokat igenis tessék telepíteni. Nem azért adják ki őket, hogy meglegyen a havi penzum, hanem azért, mert hibát javítanak. Ha nincs hiba, ha be van foltozva a lyuk, akkor azt nem lehet azt kihasználni galádságokra. Valóban volt már olyan, igaz nem túl gyakran, hogy egy patch visszahívásra került, majd javítás után adták ki újra. De ez egyrészt kb. évente egyszer történik meg, másrészt meg a keddi kiadás után tessék a megfelelő listákat, fórumokat elolvasni. Ha 2 napon belül nem jelennek meg hibabejegyzések, akkor nyugodtan telepíthető a javítás. Mondjuk a patch tuesdayt követő hétvégén. Ez a rész ingyen van.

Ha már van egy megfelelő állapotban levő Windowsunk, akkor kell egy vírusirtó is. Ez se kerül pénzbe, mert Windows Vista óra, vagyis az összes támogatott Windows verzióban, az operációs rendszer része. Elég ez? – merül fel leggyakrabban a kérdés. Persze, hogy elég. Lényeg, hogy naprakész legyen. És! És nagyon fontos, hogy a többi, a józan ész által diktált szabályt is betartsuk. Ez esetben a Defender bőven elég. Sokan követik el azt a hibát, hogy felraknak egyszerre 2-3 vagy akár több (személyes rekordom egy ügyfél, akinél 7 db (!) virusirtó, 3 anti-sypware és 5 rendszeroptimalizáló digitális szemét futott egyszerre. Gondolom az eredmény nem kell ecsetelnem.) vírusirtót, és után sopánkodnak, hogy szarawindows, lassúawindows. Pedig nem, a hiba nem a rendszerben, hanem a felhasználóban van. Egy vírusirtó programnál a legfontosabb a valós idejű védelem (aka. Real Time Scan – RTS). Amikor fogja és az éppen használatban levő file-t, az előre beállított szempontok alapján megvizsgálja. Ha két RTS fut egyszerre, akkor ez egyrészt duplán történik meg, másrészt a vírusirtók egymás processeit is figyelni fogják. Felesleges idő és erőforráspazarlás. Ez exponenciálisan rontható még több vírusirtó párhuzamos használatával. Egy legyen csak, de az legyen jó és, ami a legfontosabb: naprakész. Innentől kezdve hitvita lenne ha bármely vírusirtóra negatívumot vagy pozitívumot írnék, de legyen annyi elég, hogy nem érdemes ismeretlen vírusirtóval próbálkozni, mert ott nagyon sok a kamu alkalmazás. Megvan az a kb. 10-15 jónevű gyártó, akikben nem fog csalódni a felhasználó. Természetesen van köztük ingyenes, ámde teljesértékű is. Vagy olcsó, esetleg havi előfizetéssel megvásárolható is. Kevés szánalmasabb dolog van, mint a warezolt vírusirtó. Meg az ilyeneket használó userek. Felejtsük el bátran az ilyen-olyan weboldalakon, pop-up ablakokban ajánlott hiperszuper vírusirtókat, amik mindennél jobbak. Ezek majdnem biztosan egyszerű malware programok. Sok köszönet nem lesz a használatukban, viszont biztos, hogy kárt fognak okozni. (Rogue security programok listája)

ac18ef59a3b313573e9bf62696c552ea

Hol is tartunk? Van egy, a lehetőségehez képest hibamentesre patchelt operációs rendszerünk, van egy naprakész vírusdefiníciós adatbázissal rendelkező és racionálisan beállított vírusirtónk.

Hasznos lehet még egy tűzfal is. Ugyan a CTB ellen pont nem véd, de nagyon sok egyéb ellen igen. Mivel az ember általában nem közvetlenül kapcsolódik az internetre így szinte biztos, hogy már van a folyamatban valahol egy hardveres tűzfal, legkésőbb az otthoni routerben levő. Célszerű pár percet arra szánni, hogy ezt rendesen bekonfiguráljuk. Ezzel kapcsolatban két kaszt létezik. Az egyik, akik azt hiszik, hogy a hackerek az ő gépüket akarják feltörni, a másik akik azt állítják, hogy mivel úgysincs semmi érdekes a gépükön, így biztos, hogy nem ők a hackerek célpontjai. Természetesen mindkét oldal téved. Egyrészt az, hogy egy adat mennyire érdekes vagy értékes, az akkor derül ki, ha ellopják és felhasználják. Nagyon sokan titkosítás nélkül tárolják az adataikat. És lehet bennük banki adatoktól kezdve a jelszavakon át bármi. De a valóságban nem ezért támadják Átlag Józsika gépét (hisz egy, a föld másik oldalán élő hacker honnan tudná, hogy az adott gépen van-e valami használható adat vagy nincs? Ritka amikor célzottan törnek fel egy gépet), hanem az erőforrásai miatt. Könnyen válhat egy védtelen gép zombihálózat/botnet tagjává és lehet tevékeny részes egy már célzott DDoS támadásnak. Anélkül, hogy erről tudomása lenne. Tehát ártani nem árt, ha van egy tűzfalunk. A már említett hardveres tűzfal az alap funkciókat ellátja. Lenyeli a portscanneket, floodokat és hasonló zavaró “támadásokat”. Ezek mellett célszerű a Windows beépített tűzfalát is bekapcsolni és bekonfigurálni, mert ott alkalmazás szinten szabályozhatjuk a kifelé menő kommunikációt, míg a routerek tűzfalai általában SPI (Stateful Packet Inspection – állapotfűggő csomagszűrés) tűzfalak, és elsősorban a befelé, a gépünk fele irányuló forgalmat figyelik. Az alkalmazás szintű szűréssel viszont láthatjuk ha egy program szeretne az internet felé kommunikálni, és könnyedén kiszűrhetjük az olyan alkalmazásokat, amiknek nem kellene ezt tenniük. És például nem kezd spammelni a gépünk, vagy nem fog egy rejtőzködő program „hazabeszélni”. Itt is igaz, az ami a vírusirtóknál elhangzott. Egy elég, de az legyen jól bekonfigurálva. Továbbá itt is van ingyenes, az operációs rendszerbe beépített (és egyébként teljesen jól működő) megoldás. Ha pedig valami miatt 3rd party megoldást keresünk, akkor a nagyobb nevek közül válasszunk, akár ingyenes, akár fizetős megoldást, mert az ismeretlen tűzfalak sokszor egyszerű kamu programok, amik nemhogy nem tűzfalként funkcionálnak, de egyenesen adatlopásra kihegyezett darabok. Aminek ráadásul a felhasználó engedte a futást és ő biztosított neki jogokat.

Itt hoznám akkor kontextusba a címet. Több vírusiró és/vagy tűzfal egyidejű használata pont olyan felesleges, mint kurvázáskor 4-5 óveszert egymásra húzni. Több védelmet ugyan nem ad, de a rendeltetésszerű használatot erősen gátolja. Inkább válasszunk olyan partnert, akitől nem kapunk el semmilyen fertőzést 😉

2014-08-14-image-5

Ezek mellett nem szabad szó nélkül elmenni az ilyen-olyan rendszerkarbantartó és optimalizáló programok mellett. Amik szinte kivétel nélkül átverések. Főleg akkor gyanakodhatunk, amikor egy weboldal jelenti ki, hogy a gép fertőzött és/vagy lassú és majd ő jól megoptimalizálja, csak töltsük le az alkalmazást az oldalról. Ilyenkor 99.99%-os biztonsággal meg is fertőzzük a gépünket valamivel. Nemhogy nem lesz optimális a teljesítmény utána, de órákat fogunk eltölteni a helyreállítással. Ésszel használva a regedit, a defragmenter és maximum egy Hijackthis segítségével egyszerűen kigazolhatjuk felesleges dolgokat a gépről. De az ilyen-olyan Tweekerek, Cleanerek vagy Optimizerek használatától óvakodjunk.

Ezek után elmondhatjuk, hogy software oldalon rendben vagyunk. De van még egy nagyon-nagyon fontos lépés, amit meg kell tenni. Ez pediglen nem más, mint a biztonsági másolatok készítése. Az, hogy mit mentünk, az egyénenként változó. Általánosan elmondható, hogy mindent célszerű menteni, amit nem vagy csak nehezen tudnánk pótolni. Saját dokumentumok, digitális fényképek, videók és társaik. Ha meghatároztuk a menteni kivánt fileokat, akkor jön a következő kérdés, hogy hogyan mentsünk? Ez nagyban függ az adatmennyiségtől, bár egy jól kidolgozott mentési stratégia ugyan úgy fog működni kevés adat esetén is, mint több TB-nyi adathalomnál.

Mentésnél mindenképpen a geodiverzitásra kell törekedni. Vagyis a mentések ne ugyan ott legyenek, mint a forrás. Az adott gép másik partíciójára történő mentés sokminden csak nem üdvözítő. Valamint a mentésekre is igaz, az ami a sörre. Egy mentés nem mentés. Két mentés fél mentés. És így tovább. Minél több helyen tároljuk el, annál nagyobb az esélye, hogy nem fogunk örökre elveszteni adatot. Persze, azért mellette figyeljünk arra is, hogy ne fulladjunk bele az ilyen-olyan mentések végtelen listájába.

Ami mindenképpen fontos, hogy az adat később könnyedén visszaállítható legyen, a legkevesebb adatvesztéssel. Ott van a legáltalánosabban elterjedt CD-re/DVD-re történő mentés. Jó, mert gyors és olcsó. Ha szerencsénk van, akkor 5-10-15 év múlva is olvasható lesz a nyersanyag. Kiegészítő megoldásnak mindenképpen jó.

Kicsit drágább, de több szempontból jobb megoldás a külső merevlemezek használata. Pártízezer forintért már megkapunk egy 1 TB-os diszket, amire lementjük a fontos adatokat és jól elrakjuk a diszket. Ismételten. Geodiverzitás. Ha a laptoptáskánkban tároljuk a mentést, akkor a laptop esetleges ellopásakor a mentésünkre is keresztet vethetünk. Illetve a külső lemezre történő mentésnél nincs védelmünk az fizikai hibák, sérülések ellen.

Még egy kicsivel drágább, ámde sokkal biztonságosabb megoldás egy 2 vagy több merevlemezt kezelni képes NAS beszerzése. Maga a NAS ház már 20.000 Ft-tól beszerezhető. A két HDD-t tükrözve használjuk a NAS-ban, így ha valami miatt az egyik merevlemez megsérül, akkor se veszítjük el az adatainkat. És a hibás diszk cseréje után újra két, jó állapotú lemez áll a rendelkezésünkre. Ez persze tovább fokozható 4-6 vagy több lemezt kezelő NAS házakkal, ahol a tükrözés helyett már lehetőségünk van komolyabb RAID alrendszerek használatára.

Ezek mellett nagyon jó segítséget nyújthatnak az egyre több és több tárhelyet biztosító felhős megoldások (Microsoft OneDrive, Dropbox, Google Drive és társaik). Ahol egyedül a rendelkezésünkre álló tárhely mérete okozhat gondot.

A legjobb ezen rendszerek ésszerű kombinálása. A legtöbb NAS támogatja az egy gombnyomásos mentést és/vagy a felhőbe történő szinkronizálást. Tehát a napi szinten használt NAS-ra havonta egyszer felcsatolunk egy külső merevlemezt és arra készítünk mentést. Majd elzárjuk valahova a külső lemezt, míg a NAS tartalmát folyamatosan szinkronizáljuk mondjuk OneDrivera. A NAS-unk megosztásait meg csak akkor mappeljük fel írásra ha tényleg írni is akarunk rá, egyébként pedig egy csak olvasható (Read Only) megosztás bőven elegendő.

És a legfontosabb. A józan paraszti ész. Ahogy az elején is jeleztem. Ismeretlen helyről kapunk egy csatolmányt. Megnyitjuk? Nem. Egy weboldal javaslatot tesz a gépünk jobbá tételére. Elhisszük neki? Nyilván nem. Ha egy doksit akarunk letölteni, de egy .exe file jön le, lehetőleg Downloader.exe vagy hasonló néven, akkor elindítjuk? Nem, nem és nem. Nem kell felrakni Advanced System Cleanup toolokat, mert semmi hasznuk. Nem kell n+1 vírusirtó, mert nem lesz effektív hasznuk. Legyen mindenből egy, de az legyen naprakész és jól bekonfigurált. És mentsük a fontos adatainkat, mert az ördög nem alszik.

MEGOSZTÁS
Előző cikkÍme a Windows 10 újratervezett telepítőképernyője – videó
Következő cikkÉrkezik a Pinball FX2 Windows 10-re
1996 óta foglakozik hivatásszerűen informatikával. Microsoft támogatói vonalon dolgozott több világhírű magyar és külföldi cégnél. Elkötelezett híve a Microsoft termékeinek és megoldásainak, de élete során megismerkedett sok minden mással is az OS/2-től a Linux/Unix rendszereken át az OS X-ekig. Jelenleg egy Nokia Lumia boldog tulajdonosa, de a múltban kb. a létező összes okos és kevésbé okos mobiltelefonos OS-t használta. Szabadidejében (már ami a gyerekei mellett marad) szenvedélyes fotós és nagy sorozatjunkie.