Az egyik esetemben – a Megbízót természetesen meg nem nevezve – egy zsaroló vírus által megtámadott számítógépet kellet megvizsgálnom, mint it biztonsági szakértő. Előre bocsájtom: nem végződött happy enddel a történet… A zsaroló vírus a Megbízó fájljait lekódolta, és elhelyezett egy csomó üzenetet, hogyan lehet – váltságdíj megfizetése után – a fájlokat dekódolni. A váltságdíjat bitcoinban kérte. Aki nem tudná, a bitcoin az egy úgynevezett „Cryptocurrency”, azaz olyan digitális pénzeszköz, amely kriptográfiát használ az értékének megteremtéséhez, megőrzéséhez, és nem áll semmilyen központi hatóság felügyelete alatt. Anonim pénzügyi tranzakciókhoz ideális, nem felderíthető. Ilyen tulajdonságok mellett láthatjuk, hogy váltságdíj beszedésére jó választás.
A Megbízóban persze ott a kíváncsiság: nem lenne egyszerűbb kifizetni a váltságdíjat? Ez is egy járható út. A weben böngészve számos olyan történet bújik elő, ahol „boldog” felhasználók számolnak be arról, hogy fizettek, és 4 óra múlva már ott voltak a fájljaik.
Hiszünk nekik? Tényleg dekódolják a fájljainkat? Visszaadják a pénzt, ha mégsem? Vagy ez is csak ügyes marketing a milliódolláros üzlethez? Gondoljunk bele: az a csoport, aki meg tud fertőzni számítógépek tízezreit, az ne tudna néhány ezer blogbejegyzést előállítani, amelyekben a fizetés mellett érvelnek?
Mit tehet egy IT biztonsági szakértő?
A Megbízóm nem fizetett, IT biztonsági szakértő segítségét kérte.
Az IT biztonsági szakértő tevékenység a „szokásos” módon indult: bitazonos másolatot készítettem a Megbízó adathordozóiról. Mindenképpen el kell kerülni ilyenkor, hogy a számítógép bekapcsolását. Egyrészt a rosszindulatú kód további károkat okozhat a számítógépen. Vagy éppen teljesen ellehetetleníti a vizsgálatot.
Hamar megtaláltam a lekódolt fájlokat. Hamar sikerült beazonosítani a rosszindulatú kód típusát. Megállapítottam, hogyan és mikor került az adathordozókra a vírus. Egy felhasználó volt gyanútlan. Egy e-mailben érkezett üzenetet nyitott meg gyanútlanul. Az email átjutott a vírusellenőrzésen, és a felhasználónak nem esett le időben, hogy ő nem is rendelt csomagot attól a cégtől, ahonnan visszaigazolást kapott a küldeményéről. (Csak érdekességképpen: én is kaptam az e-mail címemre azokban a napokban hasonló levelet, de én nem nyitottam meg azt).
Megállapítottam, milyen kódolási eljárást használt a vírus. Megvizsgáltam ezek után, hogy a dekódoláshoz szükséges kulcsokat tartalmazta-e a számítógép. Megvizsgáltam, van-e olyan eljárás, amivel a kulcs nélkül visszafejthető a kódolás.
Aznap a zsarolóvírus nyert.
A Megbízómnak kis szerencséje: a legfontosabb adatairól volt biztonsági másolata. Nem volt teljes az adatvesztés.
Utólag okos az ember: ezt az esetet megelőzni kellett volna. A Megbízómnak akkor lett volna szüksége rám, amikor még nem volt rám szüksége.