A Ransomware

Ki ne hallott volna az utóbbi időben napvilágot látott zsaroló vírus által okozott problémáról, ami magyarországi rendszereket is érintett (pl. a veszprémi vagy győri kórház esete). Nézzük is meg egyáltalán mi is a zsarolóvírus, mit tehetünk az elkerülése érdekében.

A ransomware vagy másképpen zsarolóprogram az elnevezése az olyan rosszindulatú programok csoportjának, amelynek célja a felhasználói adatokhoz való hozzáférés megakadályozása különféle eszközökkel és ezekből valamiféle haszon húzása a program alkotói számára. Ezen programok általában a rendszer adatokat nem érintik.

Amikor a felhasználói adatok titkosításra kerültek, akkor értesítést kapunk arról, hogy hol és milyen számlaszámon, elérhetőségen lehet a titkosítás feloldásához szükséges információkat megkapni. Ne dőljünk be ezeknek, mert ha fizetünk is érte, nem biztos, hogy megkapjuk azokat az információkat, amikkel a titkosítás feloldható.

A zsarolóprogramok számos fejlődésen mentek át az utóbbi évtizedben. Egyre kifinomultabb módszerekkel juthatnak be az óvatlan felhasználó számítógépére.

Hogyan védekezzünk az ilyen kártevők ellen?

Legfontosabb, hogy legyen a gépünkön mindig friss adatbázissal rendelkező vírusvédelmi eszköz, és ha van rá lehetőség, akkor a kémprogramok elleni védelemre is rendelkezzünk be.

A kártevők elleni védekezés hatékony módja az is, ha az internet szolgáltatók az ilyen zsarolóprogramokat általában terjesztő csatolmányokat tartalmazható levelekből a gyanús csatolmányokat kiszűrik, vagy ezeket legalábbis átvizsgálják.

Gyanús csatolmányok az operációs rendszer, vagy valamilyen telepített program számára futtatható fájlok, például: -com, .exe, .bat, .vbs, .msi, .doc, .xlx, .ppt, .xml stb.

Ugyanígy gyanús csatolmány lehet a tömörített állományt tartalmazó program, vagy állomány, mint pédául: .zip, .arj, .gz, .jar, stb.

A védekezés további formája a felhasználók oktatása, tudatos számítógép használatra való nevelése. Ezekben az iránymutatásokban mindenképpen tájékoztatni kell őket arról, hogy, ismeretlen személyekről érkező e-maileket ne nyissanak meg, a csatolmányokat csak körültekintően használják, ne töltsenek le mindenféle programokat az internetről, stb.

Mit tegyünk, ha mégis bekövetkezett a baj?

Akár mennyire is körültekintőek vagyunk, a zsaroló vírusok és kártevők készítői mindig előrébb járnak, mint a védekező eszközök gyártói ezért aztán mégis bekövetkezhet a baj, hogy az adatainkat titkosították, vagy más okból nem férünk hozzá.

Hogyan tudunk mégis ilyen esetben eljárni? Elsősorban úgy, hogy van a számítógépünkről rendszeres biztonsági mentés. Nem csak a személyes és fontos adatokat tartalmazó fájlokat érdemes rendszeresen elmenteni, hanem magát az egész számítógépet is. Erre rengeteg eljárás létezik, de ennek ismertetése nem része ennek a cikknek.

A biztonsági mentést természetesen egy olyan eszközre érdemes végezni, ami nincs állandóan felcsatolva a számítógépünkre, csak a mentés idejére fér hozzá a gépünk, így megakadályozható, hogy az azon levő adatok is titkosításra kerüljenek. Ha bekövetkezett a baj, akkor a gépet újra telepítve az adatok a mentésből visszaállíthatóak.

Néhány az utóbbi időben elterjed zsaroló vírus:

  • Trojan.Ransomcrypt.AM

A Ransomcrypt.AM az Asztal háttérképének módosításával, illetve szöveges fájlok létrehozásával tudatja a felhasználóval azt, hogy mit is kell tenni a károk felszámolása érdekében.

  • Dogspectus Ransomware

Adroidos készülékekre fejlesztették és számos sérülékenységet kihasználva rejtve, a háttérben telepíti a zsaroló programot telefonokra, táblagépekre.

  • Win32/Takabum

A Takabum zsaroló program abból a célból terjed, hogy a fertőzött számítógépeken minél több állományt titkosítson, és a helyreállításhoz szükséges fájlokért váltságdíjat követeljen. RTF-kiterjesztésű fájlokban is terjed.

  • Petya trojan

A Petya  nevű, Windows operációs rendszereket támadó, trójai típusú káros kód vált ismertté, amely a felhasználó merevlemezét titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

  • Locky Ransomware

A Locky egy olyan Cryptolocker variáns (Cryptolocker.AF), amely a felhasználó egyes fájljait titkosítja, majd megpróbálja eladni a titkosítás feloldásához szükséges jelszót.

Források:

http://blog.talosintel.com/2016/04/ransomware.html

http://tech.cert-hungary.hu/tech-blog/150511/zsarolo-kartevok-eltavolitasa

http://tech.cert-hungary.hu/taxonomy/term/9888

Hasznos volt a bejegyzés?

Kapcsolódó bejegyzések