Hírek

Zsarolóvírus

2020.10.14.

Hogyan védjük meg számítógépünket ezektől a kártékony szoftverektől?

Mik azok a zsarolóvírusok és hogyan ismerhetők fel?

A zsarolóvírusok (angolul ransomware) olyan kártékony szoftverek, melyek zárolhatják az eszközöket vagy titkosíthatják az eszközökön lévő adatokat annak érdekében, hogy pénzt csikarjanak ki a tulajdonostól. Ezért az incidens után általában egy váltságdíj követelő képernyő, vagy dokumentum jelenik meg az áldozatul esett eszköz kijelzőjén, melyben az elkövetők azt ígérik – természetesen bármiféle garancia nélkül –, hogy egy adott összegért cserébe visszaállítják a hozzáférést az érintett géphez vagy adatokhoz.

A zsarolóvírusok számos variánsa a titkosított fájlok kiterjesztését is megváltoztatja.

Hogyan működik a zsarolóvírus?

A trójai bejuttatása a rendszerbe leggyakrabban háromféleképpen szokott történni:

  • E-mailen keresztül, a mellékletben csatolt tömörített állományokban, amikor is a levél szövegében a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni a gyanútlan felhasználót, hogy nyissa meg a mellékletet vagy kattintson a levél törzsében lévő hivatkozásra.
  • Elsősorban vállalatoknál, a távoli munkavégzéshez használt, az internet felé nyitott Távoli-asztal, azaz RDP (Remote Desktop Procedure) hozzáférések sok esetben gyenge, nem egyedi jelszavát feltörve szereznek olyan jogosultságot, amellyel bejutnak valamelyik számítógépbe, ahol ezután trójai program futtatásával megkezdik az adott gép, illetve a hálózaton található többi eszköz támadását.
  • Népszerű oldalakon elhelyezett reklámra vagy linkre kattintva töltődik le a kártevő a felhasználó eszközére.

A zsarolóvírus állományainak bejuttatása után, még a trójai futtatása előtt a támadók igyekeznek kikapcsolni az adott eszközön található biztonsági megoldást, hiszen ellenkező esetben az leleplezné és meggátolná a kártékony kódok tevékenységét.

Ezután kezdik meg az összes elérhető állomány titkosítását. Ilyenkor minden csatlakoztatott meghajtón, tárhelyen található állomány titkosításra kerül, melyhez jogosultságot tudott szerezni a támadó. Tehát a támadás ideje alatt elérhető hálózati meghajtókon, pendrive-okon, külső merevlemezeken, felhős tárhelyeken található adatok is elkódolásra kerülhetnek.

Fizessünk vagy sem?

A zsarolóvírusok összes említett fajtája fizetési felszólítást alkalmaz: a leggyakrabban bitcoin-ban vagy más nehezen nyomon követhető kriptovalutában várják a kizsarolt összeget. Cserébe a kártevő, írói, terjesztői megígérik, hogy visszafejtik a titkosított adatokat vagy visszaállítják a hozzáférést az érintett eszközhöz.

Ki kell hangsúlyoznunk, hogy nincs semmi garancia arra, hogy a kiberbűnözők teljesíteni fogják az alkuban vállalt kötelezettségeiket (néha egyébként is képtelenek erre, vagy szándékosan, vagy egyszerűen csak a nem hozzáértő programozás miatt). Következés képpen azt tanácsoljuk, hogy soha ne fizesse ki a követelt összeget, vagy legalább ne azelőtt, mielőtt felvette volna a kapcsolatot a technikai támogatási csoportunkkal, hogy megvizsgálják milyen lehetőségek vannak az elkódolt állományok visszafejtésre.

Magánszemélyként, kisvállalkozásként hogyan védekezhetünk a zsarolókártevők ellen?

  1. Használjunk valamilyen megbízható vírus védelmi megoldást az eszközeinken.
  2. A naprakész, maximális védelem eléréséhez kiemelten fontos:
  • Biztonsági szoftvereinknél a legújabb frissítéseket telepítsük, valamint a legújabb termékverziót használjuk
  • Az operációs rendszer (Windows, Linux, macOS), böngészők és a további telepített szoftverek frissítése, naprakészen tartása. A biztonsági szint maximalizálása miatt egyáltalán nem javasoljuk az operációs rendszer automatikus frissítésének kikapcsolását.
    1. A biztonsági szoftverünk beállításait minden esetben védjük egyedi, erős jelszóval. Ezzel megakadályozhatjuk, hogy a támadók a kártékony kód futtatása elött kikapcsolják az alkalmazást.
    2. Minden esetben használjunk erős, legalább 15-20 karakter hosszú, egyszer használatos jelszavakat.
    3. Ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg, ha ez tömörített állomány.
    4. Készítsünk rendszeresen úgynevezett offline biztonsági mentést adatainkról, amelyek segítségével egy esetleges fertőzés esetén azok visszaállíthatók. Biztonsági mentésünket olyan külső adathordozókon tároljuk, amelyek csak a mentés ideje alatt vannak csatlakoztatva a számítógéphez.
    5. Gondoljuk át, mielőtt bármilyen hivatkozást megnyitnánk a közösségi média felületeken vagy csevegőkben.
    6. Ne nyissuk meg a kettős kiterjesztésű fájlokat, pl.: tablazat.xlsx.scr
    7. Kapcsoljuk ki az operációs rendszer „Automatikus lejátszás” funkcióját. Ezzel megakadályozhatjuk az ártalmas folyamatok automatikus futtatását olyan külső adathordozókról, mint például az USB kártyák vagy a pendrive-ok.
    8. Ha gyanús viselkedést észlelünk a számítógépünkön, azonnal szakítsuk meg az internetkapcsolatot. Ezzel megszakíthatjuk a kommunikációt a zsarolóvírus és vezérlőszervere között, így megakadályozva a fájljai titkosítását.
    9. Készítsünk rendszervisszaállítási pontokat, melyekre könnyedén vissza tudjuk állítani a rendszert, abban az esetben pl., ha kizárnák fiókjából.
    10. A Windows beállításainál az UAC-ot (User Account Control = Felhaszálói fiókok felügyelete) hagyjuk bekapcsolva.
    11. Vírusvédelmi eszközünkön mindig kapcsoljuk be vagy hagyjuk bekapcsolva a Behatolásmegelőző rendszert, a Zsarolóprogram elleni védelmet, a speciális memória ellenőrzést, az Exploit blokkolót, a Veszélyes alkalmazások keresését, a dokumentumvédelmet és a felhő alapú védelmi rendszert.
    12. Futtassunk gyakran (hetente 2 alkalommal), ütemezett, teljes számítógép ellenőrzést, amely megtalálja azokat a kártevőket is, amelyeket esetleg a valós idejű ellenőrzés nem talált meg.
    13. Kapcsoljuk ki az éppen nem használt vezeték nélküli kapcsolatokatmint pl. a Bluetooth vagy az infra portok.
    14. Állítsuk be a Windowsban a fájl kiterjesztések megjelenítését. Ezáltal csökkenthetjük az esélyét olyan mellékletek megnyitásának, amelyek potenciális zsarolóvírust tartalmazhatnak (pl. exe, vbs, scr, zip)

Tudatosan a zsarolóvírusok ellen: Ne feledkezzünk meg mobil eszközeink védelméről sem!

A zsarolóvírusok a 2018-as év folyamán globális szinten kb. 8 milliárd dolláros (kb. 2400 milliárd forint) kárt okoztak. Mértéktartó előrejelzések szerint is ez az összeg a 2021-re pedig eléri majd a 20 milliárd dollárt.

A fenti összegek elsősorban különböző méretű cégeket, illetve állami szervezeteket ért támadásokkal kapcsolatban értelmezendőek, de a mértékük és a tendencia jól mutatja, hogy a bűnözők számára ez már most is hatalmas, egyre csak növekvő üzlet.

A támadások azonban nem csak a vállalati infrastruktúrákra terjednek ki, hanem a magánszemélyek eszközeit, ezen belül pedig természetesen a mobilkészülékeket is fenyegeti. Jól érzékelteti a helyzetet, hogy csak a 2018-as év folyamán kb. 60 ezer (!!!) féle mobilkészülékeket támadó zsarolóvírust azonosítottak. Az internetezési szokások egyre inkább a mobileszközök felé történő eltolódásával, a közeljövőben sajnos nem számíthatunk arra, hogy az androidos kártevők száma jelentős mértékben csökkeni fog. Bár a jelenlegi mobileszközöket támadó zsarolóvírusok még viszonylag kezdetlegesnek mondhatók – sok esetben a kártevő által titkosított fájlok helyreállíthatók –, az ellenük való védekezést, megelőzést komolyan kell venni, mivel minél nagyobb bevételre számíthatnak a bűnözők a támadásokból, annál nagyobb energiát fognak befektetni a kártékony kódok fejlesztésébe.

Hogyan védje mobil eszközeit a zsarolóvírus támadástól?

  1. Mindig tartsuk naprakészen eszközünket. A legjobb megoldás, ha beállítjuk, hogy a rendszerfrissítések automatikusan települjenek.
  2. Használjunk megbízható, valós idejű védelmet nyújtó mobil biztonsági megoldást készülékünkön.
  3. Lehetőleg csak a Google Play-ről telepítsünk alkalmazásokat készülékünkre. Tiltsuk le az ismeretlen forrásból származó alkalmazások telepítésének lehetőségét készülékünkön!
  4. Egy alkalmazás telepítése előtt szánjunk rá időt, hogy megnézzük az alkalmazásboltban található értékeléseket is, főleg a negatívokra koncentrálva. A negatív kommentek sokszor hozzáértő felhasználóktól származnak, míg pozitív véleményeket gyakran maguk a támadók jegyzik be.
  5. A telepítendő alkalmazás letöltése elött nézzük meg, hogy milyen engedélyeket kér a működéséhez. Amennyiben olyan területekhez is kér hozzáférést, amit az alkalmazás fő funkciója nem indokol, ne telepítsük a készülékünkre.
  6. Mindig telepítsük a használt alkalmazások legfrissebb verzióit, lehetőleg akkor, amikor a készülék jelzi nekünk, hogy frissítés elérhető.
  7. Ne használjon root-olt készüléket, mert ezek olyan biztonsági funkciók is kikapcsolásra kerülhetnek, amely hiánya még inkább kiszolgáltatottá teszi az eszközt a zsarolóvírusnak és más kártevőknek.
  8. Fontos adatainkat rendszeresen mentsük el külső adattárolóra!
  9. Ne kattintsunk olyan linkre, amelyeket e-mailben vagy szövegekben kapunk (pl.: közösségi oldalakon vagy csevegőalkalmazásokban) ismeretlen feladótól.
  10. Mielőtt letöltünk bármilyen fájlt az internetről készülékünkre, nézzük meg a fájlnév kiterjesztését. Ne töltsünk le olyan fájlokat, amelyek kiterjesztése nem egyezik meg az ígért tartalommal, mert ebben az esetben valószínűleg valamilyen kártevő kerülne az eszközünkre. Például, ha egy írásos dokumentumot szeretne letölteni, amely végül .apk kiterjesztéssel rendelkezik a várható .doc vagy .pdf helyett, akkor inkább ne töltsük le.

forrás: eset.com

Vissza