Mik is pontosan a zsarolóvírusok?

Maga a ransomware, azaz zsarolóvírus kifejezés a váltságdíj és a szoftver szavak angol megfelelőinek szóösszetételéből származik, és egy olyan kártevőre utal, ami titkosítja az adatokat, visszaállításukért cserébe pedig váltságdíjat követel. A módszer alapjáraton nem sokban különbözik a klasszikus emberrablástól, bár ez esetben a számunkra vagy a számítógép működése szempontjából fontos fájlok (dokumentumok, multimédia- és rendszeralkalmazások) kerülnek veszélybe. A zsarolóvírusok kézi eltávolítása nehéz feladat, amit érdemes szakemberre bízni, mert a kétségbeesett próbálkozások még több kárt, sőt akár további adattitkosítást okozhatnak. Alkalmanként megesik, hogy a zsaroló próbálkozás mögött nincs valódi fenyegetés, mivel a zsarolók sokkal inkább áldozataik félelemeire, tájékozatlanságára alapozva próbálnak pénzt kicsalni, vak tyúk is talál szemet alapon pedig már pár sikeres megtévesztés után is több százezer dollár landolhat a zsebükben.

Hogy kerülnek vírusok a gépre?

A zsarolóprogramok többnyire kéretlen e-mailek vagy csatolmányok formájában érkeznek az eszközre; a támadók gyakran hivatalos dokumentumokra hivatkoznak a levélben, és egy csatolmány, vagy a levélben szereplő hivatkozás megnyitását kérik a felhasználóktól. Kártékony szoftverek torrentoldalakon keresztül is bejuthatnak a rendszerbe, ahogy fertőzött weboldalak szintén terjeszthetik azokat. Utóbbiaknál léteznek olyan weblapok, amiket kifejezetten átverésre készítettek, másik csoportjuk azonban még veszélyesebb; ezek eredetileg ártalmatlanok, ám a kiberbűnözők módosíthatják kódolásukat, ami szabad utat enged a vírusnak a rendszerbe. Illetve ott vannak a fertőzött online reklámok, amik szintén fenyegetést jelentenek.

A vírus bejutása után a bűnözők megpróbálják kiiktatni az eszköz biztonsági rendszerét, hogy az ártalmas kódok zavartalanul végezhessék tevékenységüket. Ezután kezdődhet az elérhető fájlok titkosítása minden olyan meghajtón, amihez a támadók sikeresen hozzáfértek, beleértve a pendrive-ot, a külső merevlemezt és a felhős tárhelyet is. A szélhámosok célja a vírusok minél szélesebb terjesztése, akár üzleti, akár magán a célpont. A lényeg, hogy gyorsan megkaparintsák a váltságdíjat. Bizonyos iparágak ennélfogva kitüntetett figyelmet 'élveznek', ezért gyakrabban esnek zsarolóvírusok áldozatául. Ilyen például az egészségügy, ahol nagymennyiségű adatkezelés történik.

2016-ban erre már volt példa hazánkban is, amikor a veszprémi Csolnoky Ferenc kórház rendszerét blokkolta egy zsarolóprogram. Az eset kapcsán Dr. Dávid Gyula igazgató a Veszprém Kukacnak azt nyilatkozta, hogy a rendszert nem érte közvetlen támadás, a vírus valószínűleg elektronikus levelezés során jutott a kórházba. A betegek adatait külön tárolták, így azok biztonságban voltak, de a vírus továbbterjedése miatt a teljes hálózatot leállították.

Minden egy hajlékonylemezzel kezdődött

A világ első zsarolóvírusát szó szerint a postás hozta. Az áldozat, Eddy Willems, kiberbiztonsági szakember akkoriban egy belga biztosítónál dolgozott, mígnem egy napon ingyenes floppy érkezett a nevére. Az adathordozó mindössze egy HIV/AIDS-ről szóló kérdőívet tartalmazott, amit Willems jóhiszeműen kitöltött, és többet nem foglalkozott vele. A váratlan 'meglepetés' csak később, a számítógép kilencvenedik újraindításánál jelentkezett, merthogy ekkor egyszeriben lezárta magát, majd felvillant egy 189 dolláros befizetésről szóló figyelmeztetés egy panamai postafiók cím kíséretében.

A szálak egy bizonyos Dr. Joseph Popp biológushoz vezettek, akit a média korának ördögi tudósának titulált. A hatóságok két érdekességet is kiderítettek a biológus kihallgatása során: kiderült, hogy a doktor személyes bosszúnak szánta az akciót, amiért a WHO elutasította korábbi álláspályázatát, mindennek a tetejében pedig kilencven országban húszezer személynek okozott kárt a fertőzött floppyk kiküldésével. Popp vírusát (amit egyszerűen AIDS-re kereszteltek) a Virus Bulletin 1990-es elemzése zseniálisnak értékelte, a programozást kezdetlegessége miatt viszont gyengének. Ez a program ugyanis még nem titkosította a fájlokat, csak módosította a nevüket, majd értesítő üzenetben a licensz megújítását kérte. A fájlokat manuálisan is vissza lehetett állítani, persze csak miután kitalálták rá a megfelelő algoritmust.

A modern zsarolóvírusok elterjedése

Immáron 'megújult köntösben' 2005-2006 derekán aztán új zsarolóvírusok tűntek fel a láthatáron; a Gpcode, a TROJ.RANSOM.A, az Archiveus, a Krotten, a Cryzip, a MayArchive és más féregvírusok egyre kifinomultabb titkosítási sémákat használtak, ami új módszereket nyitott meg a kiberbűnözők előtt. Keleti Arthur, az Önkéntes Kibervédelmi Összefogás elnöke szerint "korábban a vírusok inkább romboltak, esetleg adatot loptak, de az, hogy nem engedtek hozzáférni az adatokhoz, az újdonság volt". 2012-ben felbukkant egy, a Stamp.EK biztonságirés-kereső készleten alapuló, valamint egy Mac OS X rendszerre írt zsarolóvírus, ugyanezen év utolsó négy hónapjában pedig a világ megismerte a CryptoLocker-családot, ami gyakorlatilag lehetetlenné tette az ellopott adatok visszafejtését.

"Bár zsarolóvírusokat már korábban is terjesztettek kiberbűnözők, az igazán nagy durranás (ismertség szempontjából) a 2017-es WannaCry-támadássorozat volt, ami olyan mértékű pusztítást végzett a hétköznapi felhasználók, cégek és egyéb intézmények számítógépein, ami mellett már senki sem mehetett el szó nélkül" - mondja Makay József, etikus hekker, a Makay.net kiberbiztonsági oldal tulajdonosa, aki azt is hozzáteszi, hogy a WannaCry igazi fordulópont volt, ugyanis a zsarolóvírusok innentől kezdve már nemcsak a rendszergazdáknak okoztak gondot, hanem lényegében mindenkinek, aki digitálisan tárolt adatokkal rendelkezett.

A zsarolóvírusok pszichológiája és a leghíresebb kiberbiztonsági incidensek

Makay szerint a bűnözők számos módszer közül választhatnak, amikor zsarolóvírus terjesztésre adják a fejüket. Lehet szó valamilyen e-mailes átverésről, amely során megpróbálják rávenni az áldozatot a kártékony kód elindítására, valamilyen internetről letölthető (fertőzött) szoftverről, például Windows-aktiválóról, de manapság a távolról elérhető hálózati eszközök sérülékenységeit, rossz konfigurációját és távoli elérési felületeit (távoli asztal) is előszeretettel használják ki. Ezek persze csak a „legnépszerűbb” módszerek, a lehetőségek tárháza szinte kifogyhatatlan.

Ehhez kapcsolódóan Keleti egy új jelenségre hívja fel a figyelmet, amikor a zsarolóvírusok nem feltétlen titkosítják le az adatokat, viszont elküldik annak, aki a zsarolóvírust írta. Ebben az esetben a zsaroló az adatok nyilvánosságra hozatalával fenyeget, ami egy elég erős érvnek tűnik a váltságdíj kifizetése mellett, hiszen az, hogy másnál legyen az információ vagy nyilvánosságra kerüljön, már sokkal kockázatosabb. A zsarolók kétségkívül érzékeny ponton támadnak, hiszen senki sem szeretné dokumentumait illetéktelen kezekbe juttatni. A szélhámosok ráadásul a pszichológiai hadviselés eszközeitől sem riadnak vissza, hogy mihamarabb megkaparintsák a váltságdíjat; sürgetés, szűk határidők, másodperc alapú visszaszámlálók, és a tömeges fájltörlés mind-mind egy mesterien kidolgozott terv részei.

WannaCry: 2017. május 11-én pénteken óriási kibertámadás-sorozat rázta meg a világot, amely miatt az Egyesült Királyságban több kórházi rendszer leállt, ezért felfüggesztették a sürgősségi ellátást. Kiderült, hogy a háttérben a WannaCry nevű zsarolóvírus és variánsai (WanaCrypt0r 2.0, WCry) álltak, melyek lezárták a fertőzött gépeket, majd képernyős üzenetben felszólítottak, hogy a rendszer csak úgy lehet ismét működőképes, ha kicsengetünk 300 dollárt. A kiberbiztonsági cégek szerint a támadás során kihasznált biztonsági rést az a Shadow Brokers nevű hackercsoport szivárogtatta ki, akik nem sokkal a WannaCry elterjedése előtt azt állították, hogy értékes adatokhoz jutottak az amerikai titkosszolgálattól (NSA). A fertőzött gépek száma egy nap alatt meghaladta a százezret, a támadássorozatból pedig Magyarország sem maradt ki. Május elsején a Bleeping Computer jelentette, hogy a magyarországi Telenor is érintett az ügyben. A szolgáltató a hvg.hu-nak megerősítette a hírt, ugyanakkor hangsúlyozták, hogy ügyfeleik mindebből semmit sem érzékelnek.

Jigsaw: A Jigsaw zsarolóvírus ha nem is a legnagyobb, de alighanem a legfélelmetesebb támadás, egyben a pszichológiai hadviselés legjobb példája; a kártevő a Fűrész című horror film karakterének mintájára nem öl azonnal, hanem "játszik" az áldozatokkal, akik 24 órát kapnak, hogy kifizessenek százötven dollárnak megfelelő bitcoint, és megkapják a feloldókulcsot. Ha nem fizetnek az első órában, a zsarolóvírus kitöröl egy fájlt. A második óra után még egyet, és így tovább egészen 72 óráig. Merthogy akkora minden megsemmisül. A Jigsaw még figyelmezteti is a felhasználókat, hogy ne próbálkozzanak a számítógép újraindításával, különben azonnal búcsút mondhatnak a fájloknak. Az üzenet végén pedig indul a visszaszámláló, ami tovább növeli a félelmet.

SamSam: A SamSam zsarolóvírus először 2017-ben jelent meg, és kifejezetten intézményi rendszerekre támadt; a Wired magazin beszámolója alapján a zsarolómódszer kifinomultságára jó példa az az incidens, ami Atalanta városában történt. Miután Keisha Lance Bottoms elfoglalta hivatalát a település új polgármestereként, a hivatali rendszerek szinte teljesen összeomlottak; a helyi közművek számítógépeinek 90 százaléka elérhetetlen lett, de egy évre visszamenőleg a rendőrségi autókba szerelt kamerák felvételeinek is nyomuk veszett.Később kiderült, hogy hekkerek március 22-én aktiválták a városi rendszer eszközeibe juttatott zsarolóvírust, és ötvenezer dollárnak megfelelő bitcoint követeltek a fájlok feloldásáért. Alig öt nap telt el, de máris nyolcezer panasz érkezett rendszerhibákra, a probléma pedig még egy hónappal később is fennállt. Peter Mackenzie, a Sophos kiberbiztonsági cég vezetője szerint a vírust aktiválása előtt körülbelül 60 nappal telepíthették a gépekre, valószínűleg éjszaka, amikor senki sem figyelte a hálózatot, illetve kijátszották a városi rendszerek biztonsági kiskapuit. Atalantának körülbelül 2,6 millió dollárjába került a helyreállítás, és a védekezés megfelelő kiépítése. A Sophos szakértői szerint a SamSam mögött valószínűleg egy személy, de legfeljebb egy kis csoport áll, akik manuálisan telepítik a vírust a kiszemelt eszközökre, miután feltörték biztonsági rendszerét. Becsléseik szerint a zsarolóvírus már több mint 6 millió dolláros bevételt hozhatott a támadóknak, az Egyesült Államok, Kanada és a Közel-Kelet-szerte.

Jövedelmező "szakma" a zsarolás

A zsarolóvírusok terjesztése alaposan átgondolt üzleti modellre épül, két fontos szempont figyelembevételével: az olcsó működtetés és a lebukás kockázatának minimalizálása. Utóbbit lehetővé teszi az alternatív fizetési módozatok, a kriptovaluták elterjedése, mivel a bitcoin használatához nincs szükség hagyományos bankszámlára, így a hatóságoknak sokkal nehezebb a támadó nyomára bukkanni.

A trükközés sikerességét a statisztikák is igazolják: 2015-ben a zsarolóvírusos támadások által okozott kár mértékét 325 millió dollárra becsülték, 2017 végén már elérte az 5 milliárd dollárt. A Cybersecurities Ventures szerint a támadások száma évente 350 százalékkal nő, 2021-re a pedig a veszteség meghaladhatja a 6000 milliárd dollárt. Szemléltetésképp ez az összeg nagyobb, mint az illegális drogkereskedelemből származó globális bevétel.

Korábban Makay József is utánajárt annak, hogy mennyire kifizetődő a kiberbűnözőknek zsarolóvírusokkal pénzt kicsalni áldozataiktól, és visszakövette egy bitcoin-pénztárca adatait; kiderült, hogy már minimális befektetés mellett sem kizárt a dollármilliárdos nagyságrendű bevétel. Ahogy arra is fény derült, hogy bár a pénz útja nem teljesen lekövethetetlen, a csalókat mégis ritkán sikerül lekapcsolniuk a hatóságoknak. Az etikus hekker szerint ennek oka, hogy az anonimitást biztosító technológia feltörése a megtérülőnél jóval nagyobb anyagi beruházást igényel a hatóságok részéről.

Hogyan védekezhetünk a zsarolóvírusok ellen?

Makay szerint akár magánszemélyről, akár cégről van szó, a váltságdíj kifizetése előtt mindenképpen tanácsot kell kérni valamilyen, a témában jártas kiberbiztonsági cégtől, ugyanis laikusként egy ilyen helyzet helyes felmérése és mérlegelése szinte lehetetlen. "Természetesen számításba jöhet a váltságdíj kifizetése is, de sok esetben az áldozatok még a több milliós összeg kifizetése után sem jutnak hozzá hiánytalanul a fájljaikhoz, így mindenképp fontos a szakértői tanácsadás kérése, és a felkészülés a holnaptól érkező támadási kísérletek elhárítására" - teszi hozzá a szakember.

A profi segítség mellett magánszemélyeknek nagyon hasznos lehet a Keleti által ajánlott nomoreransom.org nevű oldal is, ahol megtalálhatók a már ismert zsarolóvírusok dekódolói, dekriptáló kulcsai, illetve az oldal képes bizonyos jelekből diagnosztizálni a zsarolóvírus típusát. "Bár a weblapot vírusirtó cégek üzemeltetik, a siker sajnos nem garantált, különösen új vírus esetén" - teszi hozzá a rossz hírt Keleti, aki szerint egyáltalán nincs garancia arra, hogy a váltságdíj kifizetése után visszakapjuk az adatainkat, így a zsarolással szemben a legjobb védekezés egy olyan digitális rutin kialakítása, mint amilyeneket a való életben végzünk annak érdekében, hogy ne kapjunk el fertőzéseket (például nem eszünk a földről, kezet mosunk vécézés után és hasonlók). A szakember erre két gyakorlati példát is hoz: érdemes mindig (lehetőleg automatikus) mentést készíteni az informatikai rendszerünkről valamilyen független helyre, például a felhőbe, vagy egy külön pendrive-ra. Illetve ne kattintsunk gyanús tartalmakra a levelezésünkben, ne adjunk meg adatokat, hiszen - ahogy Keleti fogalmaz - "az intézmények nem kéretlen fájlok lekattintásán keresztül kommunikálnak ügyfeleikkel, nem küldenek olyan kérdéseket, amikre egyébként tudják a választ".

(Források: Makay.net, Cybersecurities Ventures, Wired, HVG, The Atlantic, Vice, Veszprémkukac, Fotók: Pixabay)