Kiberbiztonsági hónap – röviden a zsarolóvírusokról

2019.10.11.

A zsarolóvírus készítője nem csak adatokat zárol, hanem pénzhez próbál jutni ezzel a módszerrel. Mit tehetünk megelőzésként és akkor, ha áldozatul estünk?

Mik azok a zsarolóvírusok és hogyan ismerhetők fel?
A zsarolóvírusok (angolul ransomware) olyan kártékony szoftverek, melyek zárolhatják az eszközöket vagy titkosíthatják az eszközökön lévő adatokat annak érdekében, hogy pénzt csikarjanak ki a tulajdonostól. Ezért az incidens után általában egy váltságdíj követelő képernyő, vagy dokumentum jelenik meg az áldozatul esett eszköz kijelzőjén, melyben az elkövetők azt ígérik – természetesen bármiféle garancia nélkül –, hogy egy adott összegért cserébe visszaállítják a hozzáférést az érintett géphez vagy adatokhoz. A zsarolóvírusok számos variánsa a titkosított fájlok kiterjesztését is megváltoztatja.

Hogyan működik a zsarolóvírus?
A kártékony kód a rendszerbe leggyakrabban háromféleképpen szokott bekerülni: E-mailen keresztül, a mellékletben csatolt tömörített állományokban, amikor is a levél szövegében a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni a gyanútlan felhasználót, hogy nyissa meg a mellékletet vagy kattintson a levél törzsében lévő hivatkozásra. Elsősorban vállalatoknál, a távoli munkavégzéshez használt, az internet felé nyitott Távoli-asztal, azaz RDP (Remote Desktop Procedure) hozzáférések sok esetben gyenge, nem egyedi jelszavát feltörve szereznek olyan jogosultságot, amellyel bejutnak valamelyik számítógépbe, ahol ezután a kártékony kód futtatásával megkezdik az adott gép, illetve a hálózaton található többi eszköz támadását. Népszerű oldalakon elhelyezett reklámra vagy linkre kattintva töltődik le a kártevő a felhasználó eszközére.

Fizessünk vagy sem?
A zsarolóvírusok összes említett fajtája fizetési felszólítást alkalmaz: a leggyakrabban bitcoin-ban vagy más nehezen nyomon követhető kriptovalutában várják a kizsarolt összeget. Cserébe a kártevő, írói, terjesztői megígérik, hogy visszafejtik a titkosított adatokat vagy visszaállítják a hozzáférést az érintett eszközhöz. Ki kell hangsúlyoznunk, hogy nincs semmi garancia arra, hogy a kiberbűnözők teljesíteni fogják az alkuban vállalt kötelezettségeiket (néha egyébként is képtelenek erre, vagy szándékosan, vagy egyszerűen csak a nem hozzáértő programozás miatt). Következésképpen azt tanácsoljuk, hogy soha ne fizesse ki a követelt összeget, vagy legalább ne azelőtt, mielőtt felvette volna a kapcsolatot a technikai támogatási csoportjával, hogy megvizsgálják milyen lehetőségek vannak az elkódolt állományok visszafejtésre.

Magánszemélyként, kisvállalkozásként hogyan védekezzünk a zsarolókártevők ellen?

  • Használjon megbízható vírusvédelmi megoldást eszközein.
  • Biztonsági szoftvereinknél használjuk mindig a legfrissebb verzióját.
  • Tartsuk naprakészen operációs rendszereink, böngészőink, illetve biztonsági szoftvereinket. A biztonsági szint maximalizálása miatt egyáltalán nem javasoljuk az operációs rendszer automatikus frissítésének kikapcsolását.
  • A biztonsági szoftver beállításait minden esetben védje egyedi, erős jelszóval. Ezzel megakadályozhatja, hogy a támadók a kártékony kód futtatása előtt kikapcsolják az alkalmazást.
  • Minden esetben használjon erős, legalább 15-20 karakter hosszú, egyszer használatos jelszavakat.
  • Ismeretlen feladótól érkezett e-mailekben ne nyissa meg a mellékletet, főleg ha ez tömörített állomány.
  • Készítsen rendszeresen úgynevezett offline biztonsági mentést adatairól, amelyek segítségével egy esetleges fertőzés esetén azok visszaállíthatóak. Biztonsági mentéseit olyan külső adathordozókon tárolja, amelyek csak a mentés ideje alatt vannak csatlakoztatva a számítógéphez.
  • Gondolja át, mielőtt bármilyen hivatkozást megnyitna a közösségi média felületeken vagy csevegőkben.
  • Ne nyissa meg a kettős kiterjesztésű fájlokat, pl.: tablazat.xlsx.scr
  • Kapcsolja ki az operációs rendszer „Automatikus lejátszás” funkcióját. Ezzel megakadályozhatja az ártalmas folyamatok automatikus futtatását olyan külső adathordozókról, mint például az USB memória kártyák vagy a pendrive-ok.
  • Ha gyanús viselkedést észlel a számítógépén, azonnal szakítsa meg az internetkapcsolatot. Ezzel megszakíthatja a kommunikációt a zsarolóvírus és vezérlőszerve között, így megakadályozva a fájljai titkosítását.
  • Készítsen rendszervisszaállítási pontokat, melyekre könnyedén vissza tudja állítani a rendszert, abban az esetben pl., ha kizárnák fiókjából.
  • Futtasson gyakran (hetente 2 alkalommal), ütemezett, teljes számítógép ellenőrzést, amely megtalálja azokat a kártevőket is, amiket esetleg a valós idejű ellenőrzés nem talált meg.

 

A Nemzeti Kibervédelmi Intézet szervezésében készült kisfilm a zsarolóvírus támadásokról:

Forrás: nki.gov.hu
Forrás: eset.com

Vissza