Ki ne hallott volna az utóbbi időben napvilágot látott zsaroló vírus által okozott problémáról, ami magyarországi rendszereket is érintett (pl. a veszprémi vagy győri kórház esete). Nézzük is meg egyáltalán mi is a zsarolóvírus, mit tehetünk az elkerülése érdekében.
A ransomware vagy másképpen zsarolóprogram az elnevezése az olyan rosszindulatú programok csoportjának, amelynek célja a felhasználói adatokhoz való hozzáférés megakadályozása különféle eszközökkel és ezekből valamiféle haszon húzása a program alkotói számára. Ezen programok általában a rendszer adatokat nem érintik.
Amikor a felhasználói adatok titkosításra kerültek, akkor értesítést kapunk arról, hogy hol és milyen számlaszámon, elérhetőségen lehet a titkosítás feloldásához szükséges információkat megkapni. Ne dőljünk be ezeknek, mert ha fizetünk is érte, nem biztos, hogy megkapjuk azokat az információkat, amikkel a titkosítás feloldható.
A zsarolóprogramok számos fejlődésen mentek át az utóbbi évtizedben. Egyre kifinomultabb módszerekkel juthatnak be az óvatlan felhasználó számítógépére.
Hogyan védekezzünk az ilyen kártevők ellen?
Legfontosabb, hogy legyen a gépünkön mindig friss adatbázissal rendelkező vírusvédelmi eszköz, és ha van rá lehetőség, akkor a kémprogramok elleni védelemre is rendelkezzünk be.
A kártevők elleni védekezés hatékony módja az is, ha az internet szolgáltatók az ilyen zsarolóprogramokat általában terjesztő csatolmányokat tartalmazható levelekből a gyanús csatolmányokat kiszűrik, vagy ezeket legalábbis átvizsgálják.
Gyanús csatolmányok az operációs rendszer, vagy valamilyen telepített program számára futtatható fájlok, például: .com, .exe, .bat, .vbs, .msi, .doc, .xls, .ppt, .xml stb.
Ugyanígy gyanús csatolmány lehet a tömörített állományt tartalmazó program, vagy állomány, mint pédául: .zip, .arj, .gz, .jar, stb.
A védekezés további formája a felhasználók oktatása, tudatos számítógép használatra való nevelése. Ezekben az iránymutatásokban mindenképpen tájékoztatni kell őket arról, hogy, ismeretlen személyekről érkező e-maileket ne nyissanak meg, a csatolmányokat csak körültekintően használják, ne töltsenek le mindenféle programokat az internetről, stb.
Mit tegyünk, ha mégis bekövetkezett a baj?
Akár mennyire is körültekintőek vagyunk, a zsaroló vírusok és kártevők készítői mindig előrébb járnak, mint a védekező eszközök gyártói ezért aztán mégis bekövetkezhet a baj, hogy az adatainkat titkosították, vagy más okból nem férünk hozzá.
Hogyan tudunk mégis ilyen esetben eljárni? Elsősorban úgy, hogy van a számítógépünkről rendszeres biztonsági mentés. Nem csak a személyes és fontos adatokat tartalmazó fájlokat érdemes rendszeresen elmenteni, hanem magát az egész számítógépet is. Erre rengeteg eljárás létezik, de ennek ismertetése nem része ennek a cikknek.
A biztonsági mentést természetesen egy olyan eszközre érdemes végezni, ami nincs állandóan felcsatolva a számítógépünkre, csak a mentés idejére fér hozzá a gépünk, így megakadályozható, hogy az azon levő adatok is titkosításra kerüljenek. Ha bekövetkezett a baj, akkor a gépet újra telepítve az adatok a mentésből visszaállíthatóak.
Néhány az utóbbi időben elterjed zsaroló vírus:
-
Trojan.Ransomcrypt.AM
A Ransomcrypt.AM az Asztal háttérképének módosításával, illetve szöveges fájlok létrehozásával tudatja a felhasználóval azt, hogy mit is kell tenni a károk felszámolása érdekében.
-
Dogspectus Ransomware
Androidos készülékekre fejlesztették és számos sérülékenységet kihasználva rejtve, a háttérben telepíti a zsaroló programot telefonokra, táblagépekre.
-
Win32/Takabum
A Takabum zsaroló program abból a célból terjed, hogy a fertőzött számítógépeken minél több állományt titkosítson, és a helyreállításhoz szükséges fájlokért váltságdíjat követeljen. RTF-kiterjesztésű fájlokban is terjed.
-
Petya trojan
A Petya nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó merevlemezét titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
-
Locky Ransomware
A Locky egy olyan Cryptolocker variáns (Cryptolocker.AF), amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.
Források:
http://blog.talosintel.com/2016/04/ransomware.html
http://tech.cert-hungary.hu/tech-blog/150511/zsarolo-kartevok-eltavolitasa