Mit tehetünk, ha elkapott minket egy zsarolóvírus?

2019 / 11 / 10 / Perei Dóra
Mit tehetünk, ha elkapott minket egy zsarolóvírus?
A digitális korban kevés annál félelmetesebb dolog van, mint amikor a számítógép képernyőjén felvillan a felirat, ami arról tájékoztat, hogy egy vírus az összes fájlunkat zárolta, és ha nem fizetünk, örökre elbúcsúzhatunk tőlük. A zsarolóvírusok ma már közel sem csak a cégekre és intézményekre jelentenek veszélyt, így szakértőkkel jártunk utána, hogy mit tehetünk ilyen helyzetben. Fizessünk vagy ne fizessünk? Kihez fordulhatunk, ha beütött a baj?

Mik is pontosan a zsarolóvírusok?

Maga a ransomware, azaz zsarolóvírus kifejezés a váltságdíj és a szoftver szavak angol megfelelőinek szóösszetételéből származik, és egy olyan kártevőre utal, ami titkosítja az adatokat, visszaállításukért cserébe pedig váltságdíjat követel. A módszer alapjáraton nem sokban különbözik a klasszikus emberrablástól, bár ez esetben a számunkra vagy a számítógép működése szempontjából fontos fájlok (dokumentumok, multimédia- és rendszeralkalmazások) kerülnek veszélybe. A zsarolóvírusok kézi eltávolítása nehéz feladat, amit érdemes szakemberre bízni, mert a kétségbeesett próbálkozások még több kárt, sőt akár további adattitkosítást okozhatnak. Alkalmanként megesik, hogy a zsaroló próbálkozás mögött nincs valódi fenyegetés, mivel a zsarolók sokkal inkább áldozataik félelemeire, tájékozatlanságára alapozva próbálnak pénzt kicsalni, vak tyúk is talál szemet alapon pedig már pár sikeres megtévesztés után is több százezer dollár landolhat a zsebükben.

Hogy kerülnek vírusok a gépre?

A zsarolóprogramok többnyire kéretlen e-mailek vagy csatolmányok formájában érkeznek az eszközre; a támadók gyakran hivatalos dokumentumokra hivatkoznak a levélben, és egy csatolmány, vagy a levélben szereplő hivatkozás megnyitását kérik a felhasználóktól. Kártékony szoftverek torrentoldalakon keresztül is bejuthatnak a rendszerbe, ahogy fertőzött weboldalak szintén terjeszthetik azokat. Utóbbiaknál léteznek olyan weblapok, amiket kifejezetten átverésre készítettek, másik csoportjuk azonban még veszélyesebb; ezek eredetileg ártalmatlanok, ám a kiberbűnözők módosíthatják kódolásukat, ami szabad utat enged a vírusnak a rendszerbe. Illetve ott vannak a fertőzött online reklámok, amik szintén fenyegetést jelentenek.

A vírus bejutása után a bűnözők megpróbálják kiiktatni az eszköz biztonsági rendszerét, hogy az ártalmas kódok zavartalanul végezhessék tevékenységüket. Ezután kezdődhet az elérhető fájlok titkosítása minden olyan meghajtón, amihez a támadók sikeresen hozzáfértek, beleértve a pendrive-ot, a külső merevlemezt és a felhős tárhelyet is. A szélhámosok célja a vírusok minél szélesebb terjesztése, akár üzleti, akár magán a célpont. A lényeg, hogy gyorsan megkaparintsák a váltságdíjat. Bizonyos iparágak ennélfogva kitüntetett figyelmet 'élveznek', ezért gyakrabban esnek zsarolóvírusok áldozatául. Ilyen például az egészségügy, ahol nagymennyiségű adatkezelés történik.

2016-ban erre már volt példa hazánkban is, amikor a veszprémi Csolnoky Ferenc kórház rendszerét blokkolta egy zsarolóprogram. Az eset kapcsán Dr. Dávid Gyula igazgató a Veszprém Kukacnak azt nyilatkozta, hogy a rendszert nem érte közvetlen támadás, a vírus valószínűleg elektronikus levelezés során jutott a kórházba. A betegek adatait külön tárolták, így azok biztonságban voltak, de a vírus továbbterjedése miatt a teljes hálózatot leállították.

Minden egy hajlékonylemezzel kezdődött

A világ első zsarolóvírusát szó szerint a postás hozta. Az áldozat, Eddy Willems, kiberbiztonsági szakember akkoriban egy belga biztosítónál dolgozott, mígnem egy napon ingyenes floppy érkezett a nevére. Az adathordozó mindössze egy HIV/AIDS-ről szóló kérdőívet tartalmazott, amit Willems jóhiszeműen kitöltött, és többet nem foglalkozott vele. A váratlan 'meglepetés' csak később, a számítógép kilencvenedik újraindításánál jelentkezett, merthogy ekkor egyszeriben lezárta magát, majd felvillant egy 189 dolláros befizetésről szóló figyelmeztetés egy panamai postafiók cím kíséretében.

A szálak egy bizonyos Dr. Joseph Popp biológushoz vezettek, akit a média korának ördögi tudósának titulált. A hatóságok két érdekességet is kiderítettek a biológus kihallgatása során: kiderült, hogy a doktor személyes bosszúnak szánta az akciót, amiért a WHO elutasította korábbi álláspályázatát, mindennek a tetejében pedig kilencven országban húszezer személynek okozott kárt a fertőzött floppyk kiküldésével. Popp vírusát (amit egyszerűen AIDS-re kereszteltek) a Virus Bulletin 1990-es elemzése zseniálisnak értékelte, a programozást kezdetlegessége miatt viszont gyengének. Ez a program ugyanis még nem titkosította a fájlokat, csak módosította a nevüket, majd értesítő üzenetben a licensz megújítását kérte. A fájlokat manuálisan is vissza lehetett állítani, persze csak miután kitalálták rá a megfelelő algoritmust.

A modern zsarolóvírusok elterjedése

Immáron 'megújult köntösben' 2005-2006 derekán aztán új zsarolóvírusok tűntek fel a láthatáron; a Gpcode, a TROJ.RANSOM.A, az Archiveus, a Krotten, a Cryzip, a MayArchive és más féregvírusok egyre kifinomultabb titkosítási sémákat használtak, ami új módszereket nyitott meg a kiberbűnözők előtt. Keleti Arthur, az Önkéntes Kibervédelmi Összefogás elnöke szerint "korábban a vírusok inkább romboltak, esetleg adatot loptak, de az, hogy nem engedtek hozzáférni az adatokhoz, az újdonság volt". 2012-ben felbukkant egy, a Stamp.EK biztonságirés-kereső készleten alapuló, valamint egy Mac OS X rendszerre írt zsarolóvírus, ugyanezen év utolsó négy hónapjában pedig a világ megismerte a CryptoLocker-családot, ami gyakorlatilag lehetetlenné tette az ellopott adatok visszafejtését.

"Bár zsarolóvírusokat már korábban is terjesztettek kiberbűnözők, az igazán nagy durranás (ismertség szempontjából) a 2017-es WannaCry-támadássorozat volt, ami olyan mértékű pusztítást végzett a hétköznapi felhasználók, cégek és egyéb intézmények számítógépein, ami mellett már senki sem mehetett el szó nélkül" - mondja Makay József, etikus hekker, a Makay.net kiberbiztonsági oldal tulajdonosa, aki azt is hozzáteszi, hogy a WannaCry igazi fordulópont volt, ugyanis a zsarolóvírusok innentől kezdve már nemcsak a rendszergazdáknak okoztak gondot, hanem lényegében mindenkinek, aki digitálisan tárolt adatokkal rendelkezett.

A zsarolóvírusok pszichológiája és a leghíresebb kiberbiztonsági incidensek

Makay szerint a bűnözők számos módszer közül választhatnak, amikor zsarolóvírus terjesztésre adják a fejüket. Lehet szó valamilyen e-mailes átverésről, amely során megpróbálják rávenni az áldozatot a kártékony kód elindítására, valamilyen internetről letölthető (fertőzött) szoftverről, például Windows-aktiválóról, de manapság a távolról elérhető hálózati eszközök sérülékenységeit, rossz konfigurációját és távoli elérési felületeit (távoli asztal) is előszeretettel használják ki. Ezek persze csak a „legnépszerűbb” módszerek, a lehetőségek tárháza szinte kifogyhatatlan.

Ehhez kapcsolódóan Keleti egy új jelenségre hívja fel a figyelmet, amikor a zsarolóvírusok nem feltétlen titkosítják le az adatokat, viszont elküldik annak, aki a zsarolóvírust írta. Ebben az esetben a zsaroló az adatok nyilvánosságra hozatalával fenyeget, ami egy elég erős érvnek tűnik a váltságdíj kifizetése mellett, hiszen az, hogy másnál legyen az információ vagy nyilvánosságra kerüljön, már sokkal kockázatosabb. A zsarolók kétségkívül érzékeny ponton támadnak, hiszen senki sem szeretné dokumentumait illetéktelen kezekbe juttatni. A szélhámosok ráadásul a pszichológiai hadviselés eszközeitől sem riadnak vissza, hogy mihamarabb megkaparintsák a váltságdíjat; sürgetés, szűk határidők, másodperc alapú visszaszámlálók, és a tömeges fájltörlés mind-mind egy mesterien kidolgozott terv részei.

WannaCry: 2017. május 11-én pénteken óriási kibertámadás-sorozat rázta meg a világot, amely miatt az Egyesült Királyságban több kórházi rendszer leállt, ezért felfüggesztették a sürgősségi ellátást. Kiderült, hogy a háttérben a WannaCry nevű zsarolóvírus és variánsai (WanaCrypt0r 2.0, WCry) álltak, melyek lezárták a fertőzött gépeket, majd képernyős üzenetben felszólítottak, hogy a rendszer csak úgy lehet ismét működőképes, ha kicsengetünk 300 dollárt. A kiberbiztonsági cégek szerint a támadás során kihasznált biztonsági rést az a Shadow Brokers nevű hackercsoport szivárogtatta ki, akik nem sokkal a WannaCry elterjedése előtt azt állították, hogy értékes adatokhoz jutottak az amerikai titkosszolgálattól (NSA). A fertőzött gépek száma egy nap alatt meghaladta a százezret, a támadássorozatból pedig Magyarország sem maradt ki. Május elsején a Bleeping Computer jelentette, hogy a magyarországi Telenor is érintett az ügyben. A szolgáltató a hvg.hu-nak megerősítette a hírt, ugyanakkor hangsúlyozták, hogy ügyfeleik mindebből semmit sem érzékelnek.

Jigsaw: A Jigsaw zsarolóvírus ha nem is a legnagyobb, de alighanem a legfélelmetesebb támadás, egyben a pszichológiai hadviselés legjobb példája; a kártevő a Fűrész című horror film karakterének mintájára nem öl azonnal, hanem "játszik" az áldozatokkal, akik 24 órát kapnak, hogy kifizessenek százötven dollárnak megfelelő bitcoint, és megkapják a feloldókulcsot. Ha nem fizetnek az első órában, a zsarolóvírus kitöröl egy fájlt. A második óra után még egyet, és így tovább egészen 72 óráig. Merthogy akkora minden megsemmisül. A Jigsaw még figyelmezteti is a felhasználókat, hogy ne próbálkozzanak a számítógép újraindításával, különben azonnal búcsút mondhatnak a fájloknak. Az üzenet végén pedig indul a visszaszámláló, ami tovább növeli a félelmet.

SamSam: A SamSam zsarolóvírus először 2017-ben jelent meg, és kifejezetten intézményi rendszerekre támadt; a Wired magazin beszámolója alapján a zsarolómódszer kifinomultságára jó példa az az incidens, ami Atalanta városában történt. Miután Keisha Lance Bottoms elfoglalta hivatalát a település új polgármestereként, a hivatali rendszerek szinte teljesen összeomlottak; a helyi közművek számítógépeinek 90 százaléka elérhetetlen lett, de egy évre visszamenőleg a rendőrségi autókba szerelt kamerák felvételeinek is nyomuk veszett.Később kiderült, hogy hekkerek március 22-én aktiválták a városi rendszer eszközeibe juttatott zsarolóvírust, és ötvenezer dollárnak megfelelő bitcoint követeltek a fájlok feloldásáért. Alig öt nap telt el, de máris nyolcezer panasz érkezett rendszerhibákra, a probléma pedig még egy hónappal később is fennállt. Peter Mackenzie, a Sophos kiberbiztonsági cég vezetője szerint a vírust aktiválása előtt körülbelül 60 nappal telepíthették a gépekre, valószínűleg éjszaka, amikor senki sem figyelte a hálózatot, illetve kijátszották a városi rendszerek biztonsági kiskapuit. Atalantának körülbelül 2,6 millió dollárjába került a helyreállítás, és a védekezés megfelelő kiépítése. A Sophos szakértői szerint a SamSam mögött valószínűleg egy személy, de legfeljebb egy kis csoport áll, akik manuálisan telepítik a vírust a kiszemelt eszközökre, miután feltörték biztonsági rendszerét. Becsléseik szerint a zsarolóvírus már több mint 6 millió dolláros bevételt hozhatott a támadóknak, az Egyesült Államok, Kanada és a Közel-Kelet-szerte.

Jövedelmező "szakma" a zsarolás

A zsarolóvírusok terjesztése alaposan átgondolt üzleti modellre épül, két fontos szempont figyelembevételével: az olcsó működtetés és a lebukás kockázatának minimalizálása. Utóbbit lehetővé teszi az alternatív fizetési módozatok, a kriptovaluták elterjedése, mivel a bitcoin használatához nincs szükség hagyományos bankszámlára, így a hatóságoknak sokkal nehezebb a támadó nyomára bukkanni.

A trükközés sikerességét a statisztikák is igazolják: 2015-ben a zsarolóvírusos támadások által okozott kár mértékét 325 millió dollárra becsülték, 2017 végén már elérte az 5 milliárd dollárt. A Cybersecurities Ventures szerint a támadások száma évente 350 százalékkal nő, 2021-re a pedig a veszteség meghaladhatja a 6000 milliárd dollárt. Szemléltetésképp ez az összeg nagyobb, mint az illegális drogkereskedelemből származó globális bevétel.

Korábban Makay József is utánajárt annak, hogy mennyire kifizetődő a kiberbűnözőknek zsarolóvírusokkal pénzt kicsalni áldozataiktól, és visszakövette egy bitcoin-pénztárca adatait; kiderült, hogy már minimális befektetés mellett sem kizárt a dollármilliárdos nagyságrendű bevétel. Ahogy arra is fény derült, hogy bár a pénz útja nem teljesen lekövethetetlen, a csalókat mégis ritkán sikerül lekapcsolniuk a hatóságoknak. Az etikus hekker szerint ennek oka, hogy az anonimitást biztosító technológia feltörése a megtérülőnél jóval nagyobb anyagi beruházást igényel a hatóságok részéről.

Hogyan védekezhetünk a zsarolóvírusok ellen?

Makay szerint akár magánszemélyről, akár cégről van szó, a váltságdíj kifizetése előtt mindenképpen tanácsot kell kérni valamilyen, a témában jártas kiberbiztonsági cégtől, ugyanis laikusként egy ilyen helyzet helyes felmérése és mérlegelése szinte lehetetlen. "Természetesen számításba jöhet a váltságdíj kifizetése is, de sok esetben az áldozatok még a több milliós összeg kifizetése után sem jutnak hozzá hiánytalanul a fájljaikhoz, így mindenképp fontos a szakértői tanácsadás kérése, és a felkészülés a holnaptól érkező támadási kísérletek elhárítására" - teszi hozzá a szakember.

A profi segítség mellett magánszemélyeknek nagyon hasznos lehet a Keleti által ajánlott nomoreransom.org nevű oldal is, ahol megtalálhatók a már ismert zsarolóvírusok dekódolói, dekriptáló kulcsai, illetve az oldal képes bizonyos jelekből diagnosztizálni a zsarolóvírus típusát. "Bár a weblapot vírusirtó cégek üzemeltetik, a siker sajnos nem garantált, különösen új vírus esetén" - teszi hozzá a rossz hírt Keleti, aki szerint egyáltalán nincs garancia arra, hogy a váltságdíj kifizetése után visszakapjuk az adatainkat, így a zsarolással szemben a legjobb védekezés egy olyan digitális rutin kialakítása, mint amilyeneket a való életben végzünk annak érdekében, hogy ne kapjunk el fertőzéseket (például nem eszünk a földről, kezet mosunk vécézés után és hasonlók). A szakember erre két gyakorlati példát is hoz: érdemes mindig (lehetőleg automatikus) mentést készíteni az informatikai rendszerünkről valamilyen független helyre, például a felhőbe, vagy egy külön pendrive-ra. Illetve ne kattintsunk gyanús tartalmakra a levelezésünkben, ne adjunk meg adatokat, hiszen - ahogy Keleti fogalmaz - "az intézmények nem kéretlen fájlok lekattintásán keresztül kommunikálnak ügyfeleikkel, nem küldenek olyan kérdéseket, amikre egyébként tudják a választ".

(Források: Makay.net, Cybersecurities Ventures, Wired, HVG, The Atlantic, Vice, Veszprémkukac, Fotók: Pixabay)


Így lettek a szexuális játékszerekből digitális kütyük
Így lettek a szexuális játékszerekből digitális kütyük
Lassan már senkit sem lep meg, hogy egy intim segédeszköznek legalább olyan jól kell tudnia csatlakoznia a wifihez vagy egy telefonhoz, mint a viselőjéhez, használójához.
Az óceánok mélyén mérgező tengeri nyuszik élnek
Az óceánok mélyén mérgező tengeri nyuszik élnek
A Jorunna Parva valójában egy tengeri csiga fajta, melynek kémiai vegyületeket detektáló antennái nyuszifülekre hasonlítanak. Az apró, két centiméteres élőlények étrendjüknek köszönhetően rendkívül mérgezőek és mindössze néhány hónapig élnek.
Ezek is érdekelhetnek
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.