A zsarolóvírus (ransomware) napjaink egyik legfenyegetőbb információs-technológiai rákfenéje, amely nem csak magánembereket, de adott esetben világcégeket is érint. Legutóbb a Media Markt weboldala halt le napokra épp az ajándékvásárlási csúcsszezont jelentő novemberben egy ilyen kártevő miatt. Azonban a számok sem éppen szívmelengetőek: évente 20 milliárd dollárt tesz ki a zsarolóvírusok által okozott kár, és tavaly 304 millió ilyen támadást jelentettek, ami 62 százalékkal haladta meg az előző évit.

Habár a zsarolóvírus név többféle kártékony szoftvert is takar, ezeknek azért akad néhány közös jellemzője. Az első ilyen, melyből a kártevő neve is ered, hogy valamilyen úton-módon mintegy „túszul ejti” az adatainkat, és ezeket csak bizonyos összeg után teszi elérhetővé (illetve akkor sem feltétlen, de erről később). A zsarolóvírusok további közös vonásai, amint azt a Nemzeti Kibervédelmi Intézet listázza:

• Titkosítják az állományokat.
• Zsaroló üzenetet jelenítenek meg.
• Határidőt szabnak a váltságdíj kifizetésére.
• Törlik az állományok egy részét.
• Az idő múlásával egyre több állományt tesznek végleg visszaállíthatatlanná.

Ezek tehát azok a masszív károkat okozó következmények, amelyekkel számolnunk kell, ha egy ilyen szoftver átcsúszott valahogy a számítástechnikai eszközeink védelmi vonalain. Az említett károk pedig voltaképp pénzben alig kifejezhetőek, hiszen az adataink annyit érnek, amennyire fontosak nekünk. Most hogy egyre több számunkra fontos emléket, hosszas munka eredményét őrizzük így vagy úgy a digitális térben, az ilyen szempontból vett sérülékenységet és fenyegetést is annak szem előtt tartásával kell komolyan vennünk, amennyire értékesek számunkra ezek az adatok. Ami tehát a Media Markt vagy más nagy cég esetén fájó bevételkiesés, nekünk egy régi kedves emlék elvesztése is lehet.

A zsarolóvírus azonban nem csak az általa okozott pusztítás miatt veszélyes, hanem mert több módon, akár relatíve könnyedén is képes a terjedésre. A ransomware-ek ugyanis kéretlen e-mail üzenetek káros csatolmányaival, illetve akár fertőző weboldalak felkeresésével terjednek a leggyakrabban. Ám az sem ritka, hogy a támadók hibás konfigurációt, esetleg sérülékenységet kihasználva jutnak be a rendszerbe. A támadás súlyosságát pedig tovább növeli a zsarolóvírusok működése: mivel ezek a szoftverek általában aszimmetrikus titkosító algoritmusokat alkalmaznak, így nehezen törhetőek – emiatt az állományok visszafejtésére csak akkor nyílik lehetőség, ha a vírus készítői valamilyen programozási hibát vétettek, esetleg önként nyilvánosságra hozzák a titkosítás feloldásához szükséges mester kulcsot. Mindezt csak tetézi, hogy hiába is fizetjük ki a „váltságdíjat”, egyáltalán nem biztos, hogy ténylegesen is kapunk kódot az adataink visszaállítására, vagy az a kód valóban működni fog. Többször előfordul ugyanis, hogy vagy szándékosan vagy programozói hiba folytán, de eleve nem is lehet többé a titkosított állományokat visszafejteni. A Nemzeti Kibervédelmi Intézet egyebek mellett épp ezért tanácsolja azt, hogy soha ne fizessünk a bűnözőknek.

Sajnos tehát el kell fogadnunk a gyorsuló digitalizáció, az okos-megoldások és az életünket egyre inkább behálózó, de jellemzően megkönnyítő internet egy újabb árnyoldalát, a zsarolóvírusok mind fokozottabb jelenlétét. Szerencsére azonban nem vagyunk teljesen eszköztelenek, hiszen a megelőzés, valamint a helyreállítás frontján egyaránt sokat tehetünk azért, hogy adataink végleges elvesztését megakadályozzuk.

A védekezés esetén a legegyszerűbb annak megakadályozása, hogy egy ilyen szoftver egyáltalán beférkőzzön a gépünkre, amit két módon érhetünk el. Az első a „biztonságtudatos” internethasználat – tehát sose nyissuk meg ismeretlen feladótól érkezett e-mailek mellékletét, különösen akkor ne, ha azok tömörített vagy dupla kiterjesztésű (.doc.exe) állományokat tartalmaznak, de ne kattintsunk rá a gyanús e-mailekben szereplő linkekre sem.

A második módszer alá voltaképp két eljárás tartozik: az eszközeink védelme, valamint az adataink megőrzésére tett erőfeszítések. Mint arról szó volt, a zsarolóvírusok előszeretettel használják ki a hibás konfigurációkat, biztonsági réseket, így mind az operációs rendszer, mind pedig az alkalmazások hibajavításainak a folyamatos frissítése elkerülhetetlen. Emellett pedig nem sikkadhat el a vírusvédelmi megoldások, valamint az egyéb kiegészítő, védelmi megoldások használata. Ez utóbbiak ugyanis képesek lehetnek a gyanús viselkedésminták alapján azonosítani és blokkolni a zsaroló kártevőket, és így megelőzni a fertőzést.

Az említett védelmi megoldások bár elég színesek, a Synology termékei ezt a teljes palettát lefedik. Az egyik legfontosabb eszközünk a kártevővel szemben, ha már bejutott a gépre, az a terjedés megakadályozása. Ezt a fájl-, alkalmazás- és hozzáférési engedélyek beállításával, valamint biztonságos bejelentkezési hitelesítő adatok konfigurálásával érhetjük el, amiben rengeteget segíthetnek a Secure SignIn és a C2 Password szolgáltatások. A Synology MailPlus pedig nem csak a rosszindulatú programoktól védi meg az e-mailjeinket, de a levélszemét ellen is beválik. A fent említett, folyamatos frissítéseket teszi könnyebbé és átláthatóbbá a Synology CMS, amellyel az összes NAS eszközt (ezekre is kitérünk mindjárt) egyszerre tudjuk frissíteni, míg a többi eszköz védelméről a Synology Directory Server és a C2 Identity csoportszabályzatának használatával gondoskodhatunk.

Azonban elsősorban nem is az eszközt védjük, hanem a zsarolóvírus célpontját, vagyis az adatainkat. Így a legfontosabb védelmi intézkedés, hogy az adatainkról egy elkülönített, valamint fizikailag is leválasztható meghajtóra rendszeresen mentéseket készítünk a 3-2-1 elv alapján – ez utóbbi pedig a következőt takarja: a biztonsági mentésből legalább három példány álljon a rendelkezésünkre kétféle adathordozón, amelyből egyet teljesen offline tárolunk. Így aztán ha minden védelmi intézkedésünk el is bukott, helyre tudjuk állítani az adatainkat. Hogy ez utóbbi folyamat mennyire lesz könnyű és fájdalommentes, az azon is múlik, hogy adataink megőrzésére milyen módszert alkalmaztunk. A Synology viszont ebben is segít: a Synology NAS eszköze hatékony biztonsági mentési funkciókkal rendelkezik, így a leállás után gyorsan helyreállíthatóak a szolgáltatások.

A NAS (hálózati adattároló, Network Attached Storage) az otthoni vagy irodai hálózathoz csatlakoztatható, intelligens adattárolási megoldás, amely egyetlen helyen fogja össze az adatainkat, és beilleszthető tehát a 3-2-1 elv alapján történő adatvédelembe. Annyiban jobb, mint a felhőalapú szolgáltatások, hogy ez utóbbiak esetén más kezébe kerülnek az adatainkat, ráadásul sokszor havi előfizetési díjat is kell fizetnünk, ami időnként akár elég magas összeget is jelenthet. Az offline adattárolásnak (mint az USB-meghajtók) pedig bár szintén helye van tehát a 3-2-1 alapú adatvédelemben, de ezek hátránya, hogy folyamatos szinkronizálás híján nem feltétlen a legfrissebb verziókat őrzik meg, ami tehát adatvesztéshez vezethet.

A Synology NAS rendszere viszont az összes digitális eszközünk számára tökéletes biztonsági mentési helyként funkcionál, tehát nem kell eszközönként mentegetni az adatokat. A valós idejű verziókezelés és az ütemezett biztonsági mentések beállításával elkerülhetjük, hogy a rendszer kizárjon minket a fájlokból és mappákból. További előny, hogy a NAS eszközön akár 32, bármely számítógépről származó korábbi fájlverzió is megőrizhető, és ezeket a mappákat egy esetleges rosszindulatú titkosítás sem érinti. A NAS eszközökre ráadásul nem csak a fizikai számítógépek, de virtuális környezetek vagy SaaS alkalmazások adatai is elmenthetőek.

Ha még teljesebbé tennénk adataink védelmét, akkor pillanatfelvételeket készíthetünk a NAS-eszközzel megosztott mappákról vagy LUN-okról és ezeket a biztonsági másolatokat akár másik eszközön, akár távoli kiszolgálókon vagy felhőbeli célhelyeken is megőrizhetjük. A felhőszolgáltatások esetén pedig a hatékony testreszabási lehetőségekkel még akár a tárhelyigényt is csökkenthetjük. Mivel a Synology mindenben segít, hogy adatainkat megfelelően körbebástyázzuk, így felhőalapú mentési szolgáltatást is kínálnak.

Ez utóbbi a 3-2-1 alapú védekezésnek szintén egyik hatékony összetevője lehet, mivel a felhőalapú biztonsági mentések nem csatlakoznak közvetlenül a helyszíni megtámadott eszközökhöz, így ezek biztonságos és védett forrásként működhetnek rosszindulatú titkosítás esetén. A C2 Backup segítségével teljes számítógépeket vagy egyedi fájlokat állíthatunk vissza, a C2 Storage for Hyper Backup pedig a NAS eszközön lévő fájlok és rendszer-konfigurációk másolatát tárolja el. A Synology által kínált titkosított, biztonságos felhőalapú infrastruktúra további szexepilje, hogy ezen korlátlan számú biztonsági másolatot őrizhetünk meg.

Ha tehát kiépítettünk egy ilyen többszintű védvonalat, akkor még ha a támadás meg is valósult, a NAS eszközön vagy a külső helyszínen tárolt biztonsági másolatainkból könnyen és fájdalommentesen helyreállíthatjuk az adatainkat és alkalmazásokat.

Végül pedig nézzük át, hogy mik azok a lépések, melyeket mindenképp meg kell tennünk a Nemzeti Kibervédelmi Intézet iránymutatása alapján, ha zsarolóvírus fertőzte meg valamely eszközünket:

• Mielőbb válasszuk le az adott eszközt a hálózatról!
• A hálózaton állítsuk le a kifelé nyitott szolgáltatásokat és a belső fájlmegosztást is!
• A fertőzött munkaállomás(ok)on a meghajtó teljes formázása javasolt. Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után lehet az adatokat az archív mentésekből helyreállítani.
• Hordozható adattárolót (pendrive, külső merevlemez) sem ajánlott csatlakoztatni, hiszen ezzel a fertőzést tovább lehet vinni egy másik számítógépre.

A cikk elkészítésében együttműködő partnerünk volt a Synology.

(Fotó: Donat Sorokin/TASS via Getty Images, Piaxabay)