Januárban a zsaroló kártevők új változata söpört végig Magyarországon, és több ezer magánfelhasználó, valamint több száz vállalkozás fájljait titkosította. A megfertőzött gépeken a felhasználók fájljait egyedi kulcsokkal titkosítják, ezeket egyesével töltik le a bűnözők által üzemeltetett szerverekről. Ez a gyakorlatban lehetetlenné teszi a fájlok visszafejtését, így ami titkosításra kerül, az úgy is marad, a fájlok tartalmát nem lehet visszanyerni.

Bonyolította a helyzetet, hogy amikor a CTB-Locker legújabb mutációja megjelent, akkor több ismert vírusirtó is átengedte a kártevőt, ami két tényezőnek köszönhető.

Az első, hogy készítői alaposan tesztelték a CTB-Lockert a vírusirtó szoftverek aktuális változatai ellen, és addig nem adták ki a kódot, amíg meg nem győződtek arról, hogy azt nem ismerik fel a népszerű védelmi programok. A második pedig, hogy egyszerre rendkívül nagyszámú mutáció jelent meg a kártevőből, így akadt olyan nap, amikor például 24 óra alatt 147 új változatot regisztráltak a Palo Alto Networks biztonsági cég munkatársai.

Szerencsére a vezető vírusirtók gyártói ebben az esetben is gyorsan reagáltak, a megjelenésük után szinte azonnal elkezdték felismerni és blokkolni az új CTB-Locker-változatokat. Így a fertőzés alapvetően vagy akkor következhetett be, ha egy gépre a legelső hullámban jutott el a kártevő, vagy pedig olyankor, ha a vírusirtó szoftver nem volt frissítve. A G Data képviselője szerint Magyarországon elsősorban az utóbbi okozott problémát.

Az egy hete lejárt vírusirtó szoftver az új kártevők ellen nem sokat ér, ilyen intenzív támadáskor óránkénti frissítésre van szükség a megfelelő védelmi szint garantálásához. A szakértő szerint vidéki oktatási intézményekben, kisebb gazdasági társaságokban különösen gyakran fordul elő, hogy a beszerzéseket több döntéshozónak kell jóváhagynia, így a licencek megújítása a rendszergazda sürgetése ellenére heteket vagy akár hónapokat csúszhat. Emellett természetesen az otthoni felhasználóknak is komolyan kellene venniük, ha a védelmi szoftverük jelzi, hogy a licencet meg kell újítani.

A vállalati felhasználóknak azt is tudniuk kell, hogy a kártevők képesek a helyi hálózaton keresztül terjedni, így egyesével az összes vállalati gépet megfertőzhetik. Utolsó mentsvárat ilyenkor az olyan külső mentések jelenthetik, amelyeket nem azonos hálózaton tárolnak a rendszergazdák. Fertőzés esetében pedig az első intézkedés az izoláció: az érintett gépek lehúzása a hálózatról.

Akár magán-, akár vállalati felhasználóról van szó, azt, hogy fizessünk a bűnözőknek azért cserébe, hogy esetleg megkapjuk a fájljaink visszafejtéséhez szükséges kulcsot, egyetlen biztonsági cég sem javasolja. A tapasztalatok szerint ugyanis a bűnözők egyáltalán nem bizonyultak eddig megbízható üzleti partnernek, a fizetés pedig csak tovább növeli az új változatok kifejlesztéséhez szükséges kedvüket.

Arra vonatkozóan nem áll rendelkezésre adat, hogy Magyarországon milyen anyagi károkat okozott a CTB-Locker. Ennek felmérése már csak azért sem egyszerű, mert a legtöbb cég nem tudja azonnal számszerűsíteni az elveszített üzleti adatok értékét. A Dell SecureWorks egy évvel ezelőtti becsléséből azonban sejthetjük, hogy nagy számokról van szó. A biztonsági cég akkor a CryptoLocker kártevővel kapcsolatban úgy becsülte, hogy az 250 ezer gépet fertőzött meg világszerte, az érintettek pedig átlagosan 300 dollár váltságdíjat voltak hajlandóak fizetni a bűnözőknek, akik így körülbelül 75 millió dollárral lettek gazdagabbak.