A zsarolóvírus készítője nem csak adatokat zárol, hanem pénzhez próbál jutni ezzel a módszerrel. Mit tehetünk megelőzésként és akkor, ha áldozatul estünk?

Mik azok a zsarolóvírusok és hogyan ismerhetők fel?
A zsarolóvírusok (angolul ransomware) olyan kártékony szoftverek, melyek zárolhatják az eszközöket vagy titkosíthatják az eszközökön lévő adatokat annak érdekében, hogy pénzt csikarjanak ki a tulajdonostól. Ezért az incidens után általában egy váltságdíj követelő képernyő, vagy dokumentum jelenik meg az áldozatul esett eszköz kijelzőjén, melyben az elkövetők azt ígérik – természetesen bármiféle garancia nélkül –, hogy egy adott összegért cserébe visszaállítják a hozzáférést az érintett géphez vagy adatokhoz. A zsarolóvírusok számos variánsa a titkosított fájlok kiterjesztését is megváltoztatja.

Hogyan működik a zsarolóvírus?
A kártékony kód a rendszerbe leggyakrabban háromféleképpen szokott bekerülni: E-mailen keresztül, a mellékletben csatolt tömörített állományokban, amikor is a levél szövegében a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni a gyanútlan felhasználót, hogy nyissa meg a mellékletet vagy kattintson a levél törzsében lévő hivatkozásra. Elsősorban vállalatoknál, a távoli munkavégzéshez használt, az internet felé nyitott Távoli-asztal, azaz RDP (Remote Desktop Procedure) hozzáférések sok esetben gyenge, nem egyedi jelszavát feltörve szereznek olyan jogosultságot, amellyel bejutnak valamelyik számítógépbe, ahol ezután a kártékony kód futtatásával megkezdik az adott gép, illetve a hálózaton található többi eszköz támadását. Népszerű oldalakon elhelyezett reklámra vagy linkre kattintva töltődik le a kártevő a felhasználó eszközére.

Fizessünk vagy sem?
A zsarolóvírusok összes említett fajtája fizetési felszólítást alkalmaz: a leggyakrabban bitcoin-ban vagy más nehezen nyomon követhető kriptovalutában várják a kizsarolt összeget. Cserébe a kártevő, írói, terjesztői megígérik, hogy visszafejtik a titkosított adatokat vagy visszaállítják a hozzáférést az érintett eszközhöz. Ki kell hangsúlyoznunk, hogy nincs semmi garancia arra, hogy a kiberbűnözők teljesíteni fogják az alkuban vállalt kötelezettségeiket (néha egyébként is képtelenek erre, vagy szándékosan, vagy egyszerűen csak a nem hozzáértő programozás miatt). Következésképpen azt tanácsoljuk, hogy soha ne fizesse ki a követelt összeget, vagy legalább ne azelőtt, mielőtt felvette volna a kapcsolatot a technikai támogatási csoportjával, hogy megvizsgálják milyen lehetőségek vannak az elkódolt állományok visszafejtésre.

Magánszemélyként, kisvállalkozásként hogyan védekezzünk a zsarolókártevők ellen?

• Használjon megbízható vírusvédelmi megoldást eszközein.
• Biztonsági szoftvereinknél használjuk mindig a legfrissebb verzióját.
• Tartsuk naprakészen operációs rendszereink, böngészőink, illetve biztonsági szoftvereinket. A biztonsági szint maximalizálása miatt egyáltalán nem javasoljuk az operációs rendszer automatikus frissítésének kikapcsolását.
• A biztonsági szoftver beállításait minden esetben védje egyedi, erős jelszóval. Ezzel megakadályozhatja, hogy a támadók a kártékony kód futtatása előtt kikapcsolják az alkalmazást.
• Minden esetben használjon erős, legalább 15-20 karakter hosszú, egyszer használatos jelszavakat.
• Ismeretlen feladótól érkezett e-mailekben ne nyissa meg a mellékletet, főleg ha ez tömörített állomány.
• Készítsen rendszeresen úgynevezett offline biztonsági mentést adatairól, amelyek segítségével egy esetleges fertőzés esetén azok visszaállíthatóak. Biztonsági mentéseit olyan külső adathordozókon tárolja, amelyek csak a mentés ideje alatt vannak csatlakoztatva a számítógéphez.
• Gondolja át, mielőtt bármilyen hivatkozást megnyitna a közösségi média felületeken vagy csevegőkben.
• Ne nyissa meg a kettős kiterjesztésű fájlokat, pl.: tablazat.xlsx.scr
• Kapcsolja ki az operációs rendszer „Automatikus lejátszás” funkcióját. Ezzel megakadályozhatja az ártalmas folyamatok automatikus futtatását olyan külső adathordozókról, mint például az USB memória kártyák vagy a pendrive-ok.
• Ha gyanús viselkedést észlel a számítógépén, azonnal szakítsa meg az internetkapcsolatot. Ezzel megszakíthatja a kommunikációt a zsarolóvírus és vezérlőszerve között, így megakadályozva a fájljai titkosítását.
• Készítsen rendszervisszaállítási pontokat, melyekre könnyedén vissza tudja állítani a rendszert, abban az esetben pl., ha kizárnák fiókjából.
• Futtasson gyakran (hetente 2 alkalommal), ütemezett, teljes számítógép ellenőrzést, amely megtalálja azokat a kártevőket is, amiket esetleg a valós idejű ellenőrzés nem talált meg.

 

A Nemzeti Kibervédelmi Intézet szervezésében készült kisfilm a zsarolóvírus támadásokról:

Forrás: nki.gov.hu
Forrás: eset.com