Otthoni
Mobilos
Vállalati

Zsarolóvírusok számítógépeken és okostelefonokon

Az elmúlt 1-2 évben a kiberbiztonsági incidensek túlnyomó többségét a zsarolóvírusok, vagy más néven ransomware-ek okozták, amik bejutva egy-egy eszközre (személyi számítógép, okostelefon, céges hálózat, stb.) letitkosítják az azokon tárolt és a hálózati megosztásokon elérhető fájlokat, majd rendkívül magas, akár milliós nagyságrendű váltságdíjat követelnek a helyreállító kódért cserébe.

Tartalom

Milyen eszközök válhatnak zsarolóvírus áldozatává?

A legtöbb zsarolóvírus Windowsra érhető el, de egyre több változat jelenik meg Androidra is, így kijelenthető, hogy a digitális eszközeink többsége érintett az ügyben.

2016-ban pedig már linuxos szervereket célzó zsarolóvírusok is megjelentek a piacon, tehát legyen az egy otthoni eszköz, vagy egy céges infrastruktúra, minden eszköz potenciális célpontnak tekinthető.

Hogyan fertőznek a számítógépes és okostelefonos vírusok?

Az egyik leggyakrabban felmerülő kérdés a témában az, hogy mégis hogyan, milyen módon juthatnak vírusok az eszközeinkre. Bár rengeteg módszer létezik, van néhány tipikus, ami egyszerűségükből és hatékonyságukból fakadóan közkedveltek a kiberbűnözők körében.


E-mail csatolmány: Lassan lerágott csont, hogy ne nyissuk meg az ismeretlen feladóktól származó e-mailek csatolmányát. Csakhogy a bűnözők egyre ravaszabbak és olyan feladóként küldenek e-maileket, amikről gyakran még a szakértők is csak hunyorogva képesek megállapítani, hogy valójában egy fertőzött küldeményről van szó – és akkor még nem is beszéltünk az e-mailek hivatalosnak tűnő formázásáról, ami mögé már csak a vírusvédelmi szoftverek képesek érdemben belátni.


Fertőzött szoftver: A különböző szoftvergyűjteményekkel az a legnagyobb probléma, hogy nem a szoftverek hivatalos weboldalaira irányítanak minket, így felmerül az esélye, hogy a letöltött szoftverben valamilyen hátsókapu vagy kártevő rejtőzik – ennek lehetősége hatványozottan növekszik, ha feltört (alapból fizetős) szoftverváltozatok használatával kísérletezünk. Az utóbbi időben pedig már a megbízhatónak tűnő áruházakban (pl.: Google Play) sem bízhatunk feltétlenül, ugyanis az ellenőrzések ellenére is rengeteg kártevő kerül a kínálatba.


Fertőzött weboldal: A fertőzött weboldalak két csoportjával fontos foglalkoznunk. Az egyik csoport tagjai azok a weboldalak, amiket kifejezetten azért hoztak létre, hogy átverjék a felhasználókat és digitális kártevőket terjesszenek. A másik csoport még az előzőnél is trükkösebb, ugyanis hivatalos, nem támadásra létrehozott weboldalakból áll, amiknek tartalmát a kiberbűnözők úgy módosították, hogy azok kártevőket terjesszenek.


Online reklám: Már a legnagyobb hírportálokkal is előfordult, hogy olyan reklámokat jelenítettek meg, amik vírust juttattak a látogatók készülékére, gyakran felhasználói közbeavatkozás nélkül. A reklámblokkolók ugyan segíthetnek a problémán, de a legtöbb megoldás futtatásához több erőforrás szükséges, mint a reklámok megjelenítéséhez, így sokak számára nem a legmegfelelőbb választás.


Hamis antivírus: A kiberbűnözők gyakran verik át a felhasználókat hamis antivírus ajánlásokkal. A módszer lényege, hogy valamilyen figyelmeztetés (weboldal, reklám, e-mail, stb.) arra hívja fel a potenciális áldozatok figyelmét, hogy vírust érzékelt a készüléken, a probléma orvoslásához pedig a figyelmeztetés által felajánlott védelmi szoftvert kell telepíteni és futtatni. Csakhogy ezek 99 százaléka hamis, fertőzött szoftvert rejt – még akkor is, ha az ajánlott antivírus neve ismerősen hangzik. Semmilyen ajánlást ne fogatjunk el, helyette megbízható forrásból (pl.: makay.net/hacker/termekek.html) válasszunk védelmi megoldást!


Sebezhetőség: A közelmúltban már nem egy (több százezer felhasználót érintő) esetről hallhattunk, amikor a kártevők nem igényeltek semmilyen felhasználói segítséget, elegendő volt, ha a készüléken futó szoftverek valamilyen sérülékenységben szenvednek, amiknek kihasználásával a támadók akár az éjszaka folyamán is eljuttathatták a kártevőket az áldozatok eszközeire.

Hogyan védekezhetek a zsarolóvírusok ellen?

Bár egyre több változat jelenik meg újabbnál újabb támadási módszerekkel, a zsarolóvírusok ellen is lehet hatékonyan védekezni, elég tisztában lennünk a ransomware-ek általános viselkedésével.

Bizalmatlanság: Attól, hogy egy ismerősünktől kaptunk e-mailt vagy üzenetet, még nem jelenti azt, hogy ő is küldte. Vigyázzunk a váratlan tartalmakkal, különösen, ha azt javasolja, hogy kattintsunk rá a linkre (legyen az bármilyen megbízható is), vagy nyissunk meg egy (ZIP, EXE, JS, HTA, DOC, DOCX, stb.) csatolmányt, ugyanis jó eséllyel kártevőt rejtenek.


Minimum elve: Az eszközeinket felhasználói jogosultságokkal használjuk és rajtuk kizárólag olyan szoftverek fussanak és azok a portok legyenek nyitva, amik feltétlenül szükségesek a mindennapi tevékenységünkhöz. Számos kártevő ugyanis olyan csatornákon (SSH, Telnet, Távsegítség, Java, Adobe Flash, böngészőbővítmények, stb.) próbál bejutni a rendszerünkbe, amiket nem, vagy csak alig használunk. Távolítsuk el, vagy tiltsuk le ezeket a potenciális veszélyforrásokat!

Biztonsági frissítések: A 2017 májusában indított WannaCry zsarolóvírus több mint 150 ország több százezer számítógépét fertőzte meg, mindössze 48 óra alatt. A sikeressége viszont nem a fejlettségében rejlett, hanem abban, hogy egy olyan Windows-sebezhetőséget használt ki a terjedéshez, amire ugyan a Microsoft már hónapokkal korábban kiadta a javítást, a felhasználók/üzemeltetők mégsem telepítették.


Védelmi szoftverek: Bár a biztonságtudatosság is szükséges, az igazi védelem megalapozásánál nem feledkezhetünk meg egy hatékony védelmi szoftver kiválasztásáról és alkalmazásáról sem, amik folyamatosan figyelik az eszközön végzett tevékenységet és futó folyamatokat, hogy a szükséges pillanatban közbeavatkozzanak, ezzel megakadályozva a kártevők és az illetéktelenek munkáját.


Kétlépcsős azonosítás: Amennyiben egy adott online szolgáltatás (Facebook, Google, bank, stb.) lehetőséget biztosít a kétlépcsős (kétfaktoros) azonosítás bekapcsolására, éljünk vele! Az SMS-es azonosítás ugyanis számos esetben képes megakadályozni a kiberbűnözőket belépési adataink sikeres felhasználásában a különböző bejelentkező felületeken.


Titkosított archívum: Mivel a zsarolóvírusok túlnyomó többsége kizárólag közismert és népszerű fájlformátumokat (DOC, DOCX, XLS, XLSX, JPG, PDF, stb.) céloz, sokat segíthet a kártevők elleni védekezésben, ha egy egyedi kiterjesztéssel ellátott, titkosított archívumot használunk. Erre a VeraCrypt az egyik legmegfelelőbb eszköz, amivel nagyon erős titkosítású, meghajtóként csatoltható archívumokat hozhatunk létre, nem-létező fájlkiterjesztésekkel (pl.: CsaladiFotok.horvat)


Biztonsági mentések: A zsarolóvírusok sikeres fertőzés esetén záros határidőn belül elkezdik tevékenységüket, pusztításuk pedig azonnal felfedezhető az általuk feldobott figyelmeztetésnek és a titkosított (olvashatatlan) fájloknak köszönhetően. Ugyanakkor tudnunk kell, hogy kizárólag azokat a fájlokat titkosítják, amikhez a fertőzési folyamat során hozzáférnek. Készítsünk rendszeresen biztonsági mentéseket adatainkról manuálisan, csak a mentés idejére csatlakoztatott tárhelyre vagy kliensszoftver nélkül a felhőalapú (DropBox, Google Drive, Google Photos, Microsoft OneDrive, Amazon Drive) megoldásokra!


Kiberbiztonsági oktatás: A kártevők többsége felhasználói közreműködés eredményeként jut a rendszerbe, így a megfelelő kibervédelmi oktatás elengedhetetlen a biztonság maximalizálása érdekében.


Linux operációs rendszer: Természetesen itt nem a Linux-alapú Androidra kell gondolnunk, hanem olyan desktop rendszerekre, mint az Ubuntu, a Linux Mint, vagy a blackPanther OS, amikre jelenleg még meglehetősen kis számban készülnek vírusok. Ez persze nem jelenti azt, hogy egy manuálisan indított, linuxos zsarolóvírus ne lenne képes a felhasználói fájlok titkosítására, hiszen technikailag minden jogosultsága meg lesz rá.

Mit tegyünk zsarolóvírus-támadás esetén?

Számos megkeresés/megbízás érkezett már hozzánk ransomware-támadás témában, ezért tételesen összeszedtük, milyen forgatókönyv szerint érdemes eljárni egy ilyen kiberbiztonsági incidens esetén.

Ne essünk pánikba: Egyrészt nem segít, másrészt az illetékesek hajlamosak rossz és átgondolatlan döntéseket hozni krízishelyzetben. Abból kell kiindulni, hogy míg nem került egyértelműen megállapításra minden részlet, még semmi sincs veszve.


Helyezzük biztonságba az adatok: A támadás után mindennemű adatmódosítás (értve ezalatt az operációs rendszer üresjáratban való futását is) egy-egy lépéssel közelebb visz ahhoz, hogy a visszaállításhoz szükséges információk megsemmisüljenek. Támadás esetén azonnal állítsuk le a rendszert, távolítsuk el az adattárolót, egy másik rendszerrel készítsünk róla minden bitre kiterjedő (egy-az-egyben) biztonsági mentést, az érintett szerverbe vagy munkaállomásba pedig helyezzünk egy harmadik, korábbi biztonsági mentésből helyreállított rendszert futtató adattárolót!


Kártevőirtás a többi eszközön: A modernebb zsarolóvírusok már képesek a belső hálózatokon való terjedésre is, így az előző lépésekkel párhuzamosan végezzünk mélyreható kártevőirtást az általunk menedzselt eszközökön és munkaállomásokon!


Biztonsági mentések visszaállítása: Ha alkalmaztuk az előző fejezetben felsorolt praktikákat, rendelkeznünk kell friss és érintetlen biztonsági mentésekkel, amiknek visszaállításával megoldódhat a probléma nagy része és a továbbiakban csak azokkal az adatokkal kell foglalkoznunk, amikről nem készült offline mentés.


Ne kísérletezzünk: Számos, zsarolóvírus áldozatául esett felhasználó saját maga próbálja megoldani a problémát – mindenféle letöltött szoftverrel és internetes leírással. Sajnos ezek a próbálkozások az esetek többségében nemcsak nem járnak sikerrel, de még az adatokat is megsemmisítik, aminek következtében még a szakemberek számára is ellehetetlenítik a fontos információ visszaszerzését.


Bízzuk a szakemberre: A legtöbb magánszemély és szervezet nem rendelkezik azokkal az eszközökkel és vizsgálati környezetekkel, amikkel egyértelműen azonosítható lenne a kártevő és a visszaállíthatóak lennének a titkosított adatok. Keressen minket az oldal tetején található Árajánlat gombbal és megvizsgáljuk a visszaállítási lehetőségeket!


Vizsgáljuk felül az incidenst: A zsarolóvírusok az esetek jelentős részében valamilyen emberi mulasztás eredményeként jutnak a rendszerekbe. Megnyitott e-mail csatolmány, hiányzó frissítések, hiányzó védelmi szoftverek, alacsony biztonságú hálózati infrastruktúra – és még sorolhatnánk azokat az okokat, amiknek kihasználásával sikeressé válik egy ilyen támadás. Vizsgáljuk meg, mik vezettek a ransomware-támadás eredményre jutásához!


Informatikai szabályzat szigorítása: Egy szervezeti ransomware-incidens esetén egyértelmű, hogy az aktuális informatikai biztonsági szabályzattal (IBSZ) problémák vannak: Vagy nem rendelkezett egyértelműen a kibertámadások elleni védekezési módszerekről; vagy rendelkezett, de hiányosan; vagy hiánytalanul rendelkezett, de kirakatszabályzatként nem volt betartva/betartatva. Hiányosság esetén szigorítsuk az informatikai biztonsági szabályzatot és/vagy szankciókkal kényszerítsük ki annak betartását.


Védelmi megoldások alkalmazása: Egy hatékonyan működő és megfelelően üzemeltetett (valósidejű védelem, rendszeres frissítések) kártékony kód elleni megoldás képes megvédeni adatainkat a potenciális kártevők túlnyomó többségétől. Természetesen ez sem nyújt 100 százalékos megoldás, de kötelező kiegészítő intézkedésnek tekinthető, aminek hiányában védtelenek vagyunk például a sérülékenységek útján automatikusan terjedő kártevőkkel szemben.

Fizessünk-e a zsarolóvírusoknak?

A témában ez a legmegosztóbb kérdés, mi viszont úgy gondoljuk, hogy nincs egyértelmű válasz rá.

A zsarolóvírusok készítőinek az a célja, hogy minél több váltságdíjra tegyenek szert, így a legtöbb kiberbűnöző a fizetés után megadja a visszaállító kódot, hogy másoknak is „megérje” fizetni.

Ezek a kártevők jellemzően bitcoinban (BTC) kérik a váltságdíjat, aminek darabonkénti árfolyama jelenleg 1,9 millió forint körül mozog, átlagosan pedig 2-4 millió forintnak megfelelő összegű bitcoint követelnek – esetenként megadott határidőn belül.

Ugyanakkor vannak olyan ransomware-ek is, amik a kifizetett váltságdíj cserébe sem állítják vissza az adatokat, de olyan esettel is találkoztunk már, amikor a szándék megvolt, de egy programozási hiba következtében a visszaállítás meghiúsult.

Ezek fényében még csak százalékos valószínűséget sem lehet magabiztosan adni arra, hogy mi történik akkor, ha kifizetjük a rendkívül magas összeget.

Keressen minket! Mi még segíthetünk Önnek

Ha már bekövetkezett a baj, szakértőink még mindig ismernek néhány módszert, amivel megkísérelhetik az adatok visszaállítását.

Nem szabad késlekedni a segítségkéréssel, ugyanis számos zsarolóvírus időkorlátot szab a fizetésre, így 24-48 órán belül végleg megsemmisülhetnek értékes adataink.

Kattintson az Árajánlat gombra, és mi további részletekkel, valamint árakkal szolgálunk a témával kapcsolatban!