Külön figyelmet kell fordítani a zsaroló vírusokra (angolul
ransomware) is, amelyek sajnos már Magyarországon is elég nagy számban előfordulnak. A Kaspersky
Lab legújabb jelentése szerint a zsaroló vírusok jelenléte leginkább 2015-ben
tetőzött. Először valamikor 2013-ban fedezték fel őket, és már mobileszközökön
is teret nyertek, főleg az Android operációs rendszereken. A tavalyi évben szám
szerint 753 684 számítógépen fedezték fel a Kaspersky víruskereső
szoftvereivel, ebből 179 209 gépet ténylegesen meg is fertőztek. Valószínű
azonban, hogy a fertőzött számítógépek száma tovább fog nőni, én pedig ezért
szeretném, hogy mindenki tisztában legyen a dolog súlyosságával és a megfelelő
védekezéssel.
A vírusról
A fertőzés általában úgy kezdődik, hogy váratlanul megjelenik egy ablak, amely angol nyelven azt írja, hogy számítógépünk vagy mobilunk vírusos, ezért víruskeresést javasol. Csakhogy nincs nemleges válasz, az ablakot pedig nem lehet bezárni. Erre a gyanútlan felhasználó rákattint az „Igenre”, látszólag lefut az ellenőrzés, majd a számítógép kiírja, hogy fertőzött fájlokat talált, amelyeket fizetés ellenében hajlandó eltávolítani. Rosszabb esetben, vagy többszöri halasztás után (merthogy bizonyos esetekben lehetőség van a fizetés késleltetésére) teljesen lezárja a számítógépet vagy mobileszközt, vagy sem tölt be az operációs rendszer, mert semmilyen adat nem maradt rajta. A zsarolóvírusok kifejlesztői határidőt és megadott összeget szoktak megszabni, az összeg pedig változhat: forintban kifejezve negyvenezertől több százezerig terjedhet. Általában bitcoin nevű virtuális pénzt követelnek, mert ez anonim, útja pedig nem követhető. Az egyik legszomorúbb dolog az egészben, hogy nincs garancia arra, hogy a titkosítást a követelt összeg megfizetése után fel is oldják. A zsarolóvírus egyik legfontosabb funkciója, hogy a merevlemezen lévő fájlokat erősen titkosítja, ami miatt a felhasználó nem fér hozzájuk. A zsarolók jelenleg már a harmadik generációs, könyörtelen CTB-Lockert használják, amellyel még a legnevesebb számítógépes biztonsággal foglalkozó cégek szakemberei is nehezen birkóznak meg, magyarán lehetetlen feltörni őket. Ez a fajta kártevő minden olyan fájlt képes megfertőzni, amely valamilyen tömörítést használ, például átlagos PDF-dokumentumokat is. Akár népszerű, megbízható internetes oldalakra is képes beférkőzni, ahonnan a felhasználók észrevétlenül letölthetik őket. Amint felkerült mondjuk egy Windowsos PC-re, még nem kezd rögtön „zsarolni”, hanem észrevétlenül lappang, hogy megfigyelje a felhasználó viselkedését, és megvizsgálja a számítógépen lévő fájlokat. Ha már nincs mit kémkednie, csatlakozik egy adott szerverre, ahonnan lekér egy kulcsot, hogy titkosítsa az összes elérhető állományt. Már hálózathoz csatlakozott meghajtókat is el tud érni, így egy céges hálózatot rövid idő alatt le tud vadászni.
A fertőzés általában úgy kezdődik, hogy váratlanul megjelenik egy ablak, amely angol nyelven azt írja, hogy számítógépünk vagy mobilunk vírusos, ezért víruskeresést javasol. Csakhogy nincs nemleges válasz, az ablakot pedig nem lehet bezárni. Erre a gyanútlan felhasználó rákattint az „Igenre”, látszólag lefut az ellenőrzés, majd a számítógép kiírja, hogy fertőzött fájlokat talált, amelyeket fizetés ellenében hajlandó eltávolítani. Rosszabb esetben, vagy többszöri halasztás után (merthogy bizonyos esetekben lehetőség van a fizetés késleltetésére) teljesen lezárja a számítógépet vagy mobileszközt, vagy sem tölt be az operációs rendszer, mert semmilyen adat nem maradt rajta. A zsarolóvírusok kifejlesztői határidőt és megadott összeget szoktak megszabni, az összeg pedig változhat: forintban kifejezve negyvenezertől több százezerig terjedhet. Általában bitcoin nevű virtuális pénzt követelnek, mert ez anonim, útja pedig nem követhető. Az egyik legszomorúbb dolog az egészben, hogy nincs garancia arra, hogy a titkosítást a követelt összeg megfizetése után fel is oldják. A zsarolóvírus egyik legfontosabb funkciója, hogy a merevlemezen lévő fájlokat erősen titkosítja, ami miatt a felhasználó nem fér hozzájuk. A zsarolók jelenleg már a harmadik generációs, könyörtelen CTB-Lockert használják, amellyel még a legnevesebb számítógépes biztonsággal foglalkozó cégek szakemberei is nehezen birkóznak meg, magyarán lehetetlen feltörni őket. Ez a fajta kártevő minden olyan fájlt képes megfertőzni, amely valamilyen tömörítést használ, például átlagos PDF-dokumentumokat is. Akár népszerű, megbízható internetes oldalakra is képes beférkőzni, ahonnan a felhasználók észrevétlenül letölthetik őket. Amint felkerült mondjuk egy Windowsos PC-re, még nem kezd rögtön „zsarolni”, hanem észrevétlenül lappang, hogy megfigyelje a felhasználó viselkedését, és megvizsgálja a számítógépen lévő fájlokat. Ha már nincs mit kémkednie, csatlakozik egy adott szerverre, ahonnan lekér egy kulcsot, hogy titkosítsa az összes elérhető állományt. Már hálózathoz csatlakozott meghajtókat is el tud érni, így egy céges hálózatot rövid idő alatt le tud vadászni.
Javaslatok
Kertész Zoltán, a KÜRT adatmentési üzletágának vezetője
szerint sajnálatos módon még a legfejlettebb adatmentő eljárásokkal sem lehet
minden esetben visszaszerezni az elérhetetlenné vált vagy megsemmisült
fájlokat. Bár bizonyos fájlokat valamennyire vissza lehet nyerni, ez azonban nem
jelent valódi megoldást. Ezért tulajdonít kiemelt jelentőséget a megelőzésnek. Mint ahogy arról ebben a fejezetben szó volt korábban, fontos fájljainkról
biztonsági mentéseket kell készíteni, ami a megelőzés egyik formája.
A szakember
javaslatai alapján pontokba szedtem, hogy miképpen vehetjük elejét a
problémának:
- Készítsünk több biztonsági mentést több offline adathordozóra (DVD-re, külső meghajtóra).
- Minden számítógépes eszközre, akár PC-re, akár mobilra legyen telepítve legalább egy biztonsági szoftver, amelynek vírusleíró adatbázisát rendszeresen frissítsük, hogy a védelmi rendszer a folyamatosan változó vírusok korában a hatékony védelem érdekében folyamatosan naprakész legyen.
- Érdemes többrétegű védelemmel ellátott biztonsági szoftverbe (anti-malware-be) fektetni, amelynek a következő funkciókat kell tartalmaznia: hálózatibehatolás-megelőző (intrusion detection), víruskereső, vírusvédelem, viselkedéselemző, illetve karantén vagy törlő funkció. Természetesen ezt is rendszeresen kell frissíteni.
- Telepítsünk tűzfalat is, hogy ha a ransomware programnak sikerül kicseleznie az anti-malware szoftvert, tűzfalunk figyelmeztethessen bennünket, és megakadályozhassa a kártevőt abban, hogy szerveréhez kapcsolódjon, és utasításokat fogadjon el a fájlok zsaroló célú kódolásához.
- Tegyünk róla, hogy a számítógépen be legyen állítva a „Visszaállítási pont létrehozása” funkció, amely bár nem ad valódi megoldást, némileg javítja esélyeinket, mivel bizonyos esetekben segíthet egyes fájltípusokat helyreállítani a rossz szándékú titkosítás után.
- Mindenképpen fedjük fel a rejtett fájlkiterjesztéseket (a Windows alapbeállítás szerint elrejti őket), mert a zsaroló vírusok gyakran érkeznek az e-mailhez csatolt, „PDF.EXE” kiterjesztésű fájlokban. Ha engedélyezzük ezek megjelenítését, időben észrevehetjük a gyanús fájlokat.
- A zsaroló vírusok sok más kártékony programhoz hasonlóan gyakran az operációs rendszer, a böngésző és a különböző böngészős bővítmények sérülékenységét használják ki, ezért ezeket is frissítsük rendszeresen.
- Tiltsuk le a távoli asztal kapcsolatot (az RDP-t), mivel a fájlkódoló szoftverek (cryptolocker-ek) gyakran e kapcsolaton keresztül fertőznek. Állítsuk le, ha nincs szükségünk erre a funkcióra.
A zsarolóvírusokkal kapcsolatos aktuális híreket a Kaspersky Lab blogoldalán is érdemes követni, mely a következő címen megtalálható angol nyelven: „https://blog.kaspersky.com/tag/ransomware/”.
Azzal is tisztában kell lennünk, hogy sajnálatos módon a
ransomware vírusok fejlődnek, így a közeljövőben egyre brutálisabb és
hatékonyabb fajtáikkal kell szembesülnünk. Nem lehet eléggé hangsúlyozni, hogy
alapvető fontosságú a körültekintő magatartás az interneten, ha nem akarunk
búcsút venni értékes digitális javainktól.
Nincsenek megjegyzések:
Megjegyzés küldése