Mit tegyünk zsarolóvírus-támadás esetén?

Számos megkeresés/megbízás érkezett már hozzánk ransomware-támadás témában, ezért tételesen összeszedtük, milyen forgatókönyv szerint érdemes eljárni egy ilyen kiberbiztonsági incidens esetén.

Ne essünk pánikba: Egyrészt nem segít, másrészt az illetékesek hajlamosak rossz és átgondolatlan döntéseket hozni krízishelyzetben. Abból kell kiindulni, hogy míg nem került egyértelműen megállapításra minden részlet, még semmi sincs veszve.


Azonnal állítsuk le az érintett rendszer(eke)t: A támadás után mindennemű adatmódosítás (értve ezalatt az operációs rendszer üresjáratban való futását is) egy-egy lépéssel közelebb visz ahhoz, hogy a visszaállításhoz szükséges információk megsemmisüljenek. Támadás esetén azonnal állítsuk le a rendszert, távolítsuk el az adattárolót, egy másik rendszerrel készítsünk róla minden bitre kiterjedő (egy-az-egyben, sector-copy) biztonsági mentést, az érintett szerverbe vagy munkaállomásba pedig helyezzünk egy harmadik, korábbi biztonsági mentésből helyreállított rendszert futtató adattárolót!


Kártevőirtás a többi eszközön: A modernebb zsarolóvírusok már képesek a belső hálózatokon való terjedésre is, így az előző lépésekkel párhuzamosan végezzünk mélyreható kártevőirtást az általunk menedzselt eszközökön és munkaállomásokon!


Biztonsági mentések visszaállítása: Felelős felhasználóként és/vagy rendszergazdaként rendelkeznünk kell(ene) friss és érintetlen biztonsági mentésekkel az adatokról, amiknek visszaállításával megoldódhat a probléma nagy része és a továbbiakban csak azokkal az adatokkal kell(ene) foglalkoznunk, amikről nem készült offline mentés.


Ne kísérletezzünk: Számos, zsarolóvírus áldozatául esett felhasználó saját maga próbálja megoldani a problémát, mindenféle letöltött szoftverrel és internetes leírással. Sajnos ezek a próbálkozások az esetek többségében nemcsak nem járnak sikerrel, de még károkat is okoznak, aminek következtében még a szakemberek számára is ellehetetlenítik a fontos információk visszaszerzését.


Bízzuk a szakemberre: A legtöbb magánszemély és szervezet nem rendelkezik azokkal az eszközökkel és vizsgálati környezetekkel, amikkel egyértelműen azonosítható lenne a kártevő és a visszaállíthatóak lennének a titkosított adatok a sokmilliós váltságdíj kifizetése nélkül. Keressen minket az Árajánlat gombbal és megvizsgáljuk a visszaállítási lehetőségeket!


Vizsgáljuk felül az incidenst: A zsarolóvírusok az esetek jelentős részében valamilyen emberi mulasztás eredményeként jutnak a rendszerekbe. Megnyitott e-mail csatolmány, hiányzó frissítések, hiányzó védelmi szoftverek, nem-védett hálózati infrastruktúra és még sorolhatnánk azokat az okokat, amiknek kihasználásával sikeressé válik egy ilyen támadás. Egy szakszerű incidensvizsgálat viszont fényt derít az okokra, hogy a jövőben ne vezethessenek ismét támadáshoz!


Informatikai szabályzat szigorítása: Egy szervezeti ransomware-incidens esetén egyértelmű, hogy az aktuális informatikai biztonsági szabályzattal (IBSZ) problémák vannak: Vagy nem rendelkezett egyértelműen a kibertámadások elleni védekezési módszerekről; vagy rendelkezett, de hiányosan; vagy hiánytalanul rendelkezett, de kirakatszabályzatként nem volt betartva/betartatva. Hiányosság esetén szigorítsuk az informatikai biztonsági szabályzatot és/vagy szankciókkal kényszerítsük ki annak betartását.


Védelmi megoldások alkalmazása: Egy hatékonyan működő és megfelelően üzemeltetett (valósidejű védelem, rendszeres frissítések, ütemezett vizsgálat) kártékony kód elleni megoldás és egy hardveres tűzfal képes megvédeni adatainkat a potenciális kártevők túlnyomó többségétől. Természetesen ez sem nyújt 100 százalékos megoldás, de kötelező kiegészítő intézkedésnek tekinthető, aminek hiányában védtelenek vagyunk például a sérülékenységek útján automatikusan terjedő kártevőkkel szemben.

Fizessünk-e a zsarolóvírusoknak?

A témában ez a legmegosztóbb kérdés és mi is úgy gondoljuk, hogy nincs egyértelmű válasz rá.

A zsarolóvírusok készítőinek az a célja, hogy minél több váltságdíjra tegyenek szert, így sok kiberbűnöző a fizetés után megadja a visszaállító kódot, hogy másoknak is „megérje” fizetni.

Ezek a kártevők jellemzően bitcoinban (BTC) kérik a váltságdíjat, aminek darabonkénti árfolyama jelenleg 2,5 millió forint körül mozog, átlagosan pedig 1-5 millió forintnak megfelelő összegű bitcoint követelnek – esetenként megadott határidőn belül.

Ugyanakkor vannak olyan ransomware-terjesztők is, akik a kifizetett váltságdíj cserébe sem állítják vissza az adatokat, és olyan esettel is találkoztunk már, amikor a szándék megvolt, de egy programozási hiba következtében a visszaállítás meghiúsult.

Ezek fényében még csak százalékos valószínűséget sem lehet magabiztosan adni arra, hogy mi történik akkor, ha kifizetjük a rendkívül magas összeget.

Mit tegyünk, ha zsarolóvírus áldozatává váltunk?

Ha már bekövetkezett a baj, szakértőink még mindig ismernek néhány módszert, amivel megkísérelhetik az adatok visszaállítását.

Nem szabad késlekedni a segítségkéréssel, ugyanis számos zsarolóvírus időkorlátot szab a fizetésre, így 24-48 órán belül végleg megsemmisülhetnek értékes adataink.

Kattintson az Árajánlat gombra, és mi további részletekkel, valamint árakkal szolgálunk a témával kapcsolatban!

Hogyan működnek a zsarolóvírusok, ransomware-ek? Incidensek vizsgálata, nyomelemzés és intézkedési terv Kiberbiztonsági Fenyegetésfigyelő Csoport Antivírus, vírusirtó szoftverek Zsarolóvírus, ransomware és hackertámadás elleni védelem