Zsarolóvírus támadás - Mit tegyek?

2020-06-23


Zsarolóvírus támadás - Mit tegyek?

Olyan napnak indult, mint az összes többi, aztán egyszer csak jött egy e-mail valami régi számlával. Nem igazán rémlett, hogy vártunk volna ilyesmit, de talán a mellékletből kiderül, mi lehet ez… Innen pedig már csak egy pillanat, hogy elsötétül a képernyő, hogy egy angol nyelvű felirat jelenjen meg: a winchester zárolva, és innen már csak sok-sok Bitcoinért cserébe lehet megmenteni az adatokat. Így néz ki nagyjából egy zsarolóvírus támadás. De mit lehet tenni ebben az esetben?

Mi az, hogy zsarolóvírus?

A zsarolóvírus vagy ransomware egy kártékony szoftver. Ha a program bejut a gépre, akkor valamilyen módon zárolja vagy titkosítja az ott található fájlokat. Ez több módszerrel történhet. Vannak olyan szoftverek, amelyek tényleg megváltoztatják a file formátumát és sokszor a kiterjesztését is. Vannak, amelyek simán csak zárolják a winchestert, és vannak ennél jóval trükkösebb megoldások is.

Sok zsarolóvírus zárolja az adatokat. Szerencsére van, amelyik csak látszólag titkosít.

Miután megtörtént a baj, a vírus valamilyen üzenetet küld a felhasználónak, például felugró ablak, vagy elsötétített képernyő formájában. Ebben az üzenetben pénzt próbálnak kérni a file-ok visszaállításáért. A fizetést többnyire egy BTC (Bitcoin pénztárca) címére, vagy valamilyen e-tárcára (pl. Skrill) kell küldeni.  Hogyan került a gépre a zsarolóvírus? A zsarolóvírus általában egy trójai vírussal érkezik a gépre vagy akár az okostelefonra is. Ez általában így történik:

[1.] E-mail üzenetben érkezik egy csatolmány, amelyet az e-mail furcsa tartalma miatt a felhasználó letölt. 

[2.] Valamilyen fertőzött weboldal egy fájlt telepít a gépre. 

[3.] Nem ellenőrzött forrásból, például szoftvergyűjtő oldalról telepítünk programot a gépre.

[4.] Gyenge jelszóval védett RDP, vagyis távoli asztal lehetőséget biztosító adminisztrációs fiókon keresztül telepítik az eszközre.

[5.] Valamilyen hirdetésre kattintva (sőt, néha akár e nélkül) kerül a meghajtóra a fájl.

[6.] Egyszerűen csak kihasznál valamilyen ismert hátsó kaput.

A zsarolóvírusok nem jelentéktelen része az ember gyengeséget használja ki. Vannak olyan szoftverek, amelyek vírusirtónak álcázzák magukat, de arra is volt példa, hogy a vírus listázta a torrentről származó fájlokat és pénzt követelt egy képzeletbeli jogvédő nevében.

Előfordulhat, hogy a zsarolóvírus céges gépeket támad meg. Mivel a dolgozók jó része a tiltások ellenére is használja a gépet magáncélokra, ők tartanak a következményektől, és inkább fizetnek a zsarolónak. 

Mit lehet tenni, ha már megfertőződtünk?

Ha gyanús file töltődik a gépre, haladéktalanul szüntessük meg az internetkapcsolatot a gépen és válasszuk le a gépet a hálózatról. A legtöbb vírus sajnos már képes a belső hálózatokon keresztül terjedni, de akár a csatlakoztatott külső meghajtót, pendrive-ot is megfertőzheti. 

Amint lehet, állítsuk le a gépet vagy telefont, és fizikailag is válasszuk le róla az adattárolókat - tehát vegyük ki például a SIM-kártyát, vagy a mobil rack fiókot.  Ezek után ellenőrizzük a hálózatot és végezzünk kártevőirtást a rendszerben. Ez azonban már többnyire szakember segítségét igényli.

Fontos, hogy azonnal tegyük biztonságossá a felhőtárhelyeket és a szervereket is. Szüntessük meg a kapcsolatot a gép és a tárhelyek között, és cseréljünk le minden jelszót egy biztonságos rendszerből. Fizessünk-e a zsarolónak? Ez egy bonyolult kérdés, de a legtöbb esetben a válasz: NEM. Ez nem egy szolgáltatás, amelyről számlát kapunk, tehát egyáltalán nem lehetünk biztosak abban, hogy a zsaroló visszaállítja-e az adatokat. Számos olyan eset is olvasható, ahol az adatokat nem sikerült visszakódolni, bár a hacker tett rá kísérletet - kódolási hiba miatt a file-okat már nem lehetett visszaalakítani. 

A zsarolás hátterében általában nem hivatalos cégek állnak. A fájlok visszaállítása nem szolgáltatás.

A zsaroló programok egy része valójában nem titkosít vagy zárol semmit. Szép számmal vannak köztük, amelyek csak ráijesztenek a felhasználóra, de az általuk okozott változásokat viszonylag egyszerűen vissza lehet állítani. 

A zsaroló programok egy része milliós váltságdíjat is követelhet. A 2017-ben elszabadult WannaCry esetében 300-600 amerikai dollárnyi, tehát 100-200 ezer forintnyi Bitcoint kértek a visszaállításért. Az adataink a legtöbb esetben nem érnek ennyit, a gép pedig a teljes újratelepítéssel még menthető.  Mit lehet tenni a titkosított adatokkal? Az adatok jelentős része visszafejthető, vagy valamilyen biztonsági mentésből, felhő tárhelyről, vagy más forrásból visszanyerhető. Ha felelősen kezelt rendszerről van szó, a zsarolóvírus legfeljebb komoly bosszúságot okozhat, igazán nagy kárt nem tud tenni. 

Egy-egy ilyen támadás után kulcsfontosságú megkeresni a nyomokat és visszafejteni azt,  hogy milyen szoftver okozta a problémát. Ez segít a kibertámadások visszafejtésében, de abban is, hogy legközelebb ne fussunk bele ebbe a problémába. 

A kibertámadások után fontos lenyomozni, hogyan jutott a kártékony szoftver a rendszerbe

Hogyan lehet elkerülni a zsarolóvírus támadást?

Természetesen a szabályosan üzemeltetett hálózat, a jól konfigurált routerek és más hálózati eszközök használata, a fejlett szoftveres és hardveres védelem, a tűzfalak használata alapvető követelmény ahhoz, hogy biztonságos maradjon a munkavégzésünk. 

Emellett azonban nagyon fontos az emberi tényezővel foglalkozni. A BYOD-ról, vagyis a saját számítógépen végzett munkáról szóló cikkünkben több olyan megoldást is mutatunk, amelyekkel segíthetjük a hálózaton dolgozók tudatos és biztonságos működését. 

A zsarolóvírusok nem ritkán valamilyen szoftver “hátsó kapuján” jutnak be a rendszerbe. Mi többek között ezért szoktuk a szabad szoftver használatát javasolni. A Linux operációs rendszerek fejlesztői közössége például nagyon erős. Ez a rendszer sokkal kevésbé van kitéve a támadásoknak, mint a két legnagyobb konkurens.

Ha munkaállomásról van szó, kezeljük a gépet tényleg munkaállomásként! Törekedjünk arra, hogy a gépeken csak azokat az adatokat tároljuk, amelyekre feltétlenül szükség van a munkavégzéshez, a “maradékról” készítsünk rendszeres biztonsági mentést.

A családi számítógépen is hasonló a helyzet, de a lehetőségek itt korlátozottak. Itt is érdemes folyamatos biztonsági mentést készíteni, például egy külső merevlemezre, amit csak akkor csatlakoztatunk a géphez, amikor adatátvitel történik. 

Érdemes tudni, hogy a zsarolóvírusok egy része csak a népszerűbb kiterjesztésű fájlokkal boldogul. Előszerettel támadnak meg .doc dokumentumokat vagy a tervező programok fájljait, azt remélve, hogy ezekkel elég nagy kárt okozhat. Segíthet, ha az archívumokat és biztonsági mentéseket nem ilyen kiterjesztésekkel készítjük. a VeraCrypt nevű program például “fantázia” kiterjesztéseket hoz létre, amelyek kicsi eséllyel válnak áldozattá. 

Ha rendszeres biztonsági mentés történt, és a hálózat biztonságosan működik, a vírusok aránylag kevés kárt tudnak okozni. Érdemes már a munkahelyi rendszer kialakítását is erre szakosodott céggel végeztetni. Kibertámadás esetén a kártékony szoftver visszafejtésében is tudunk segíteni. Forduljon hozzánk bizalommal!