Vírusriasztás 2016.03.hó

Vírusriasztás 2016.03.hó - Újra felbukkant a zsaroló vírus. Készítsen offline mentést adatairól!

Történt megkeresés irányomba ilyen jellegű problémával nem túl régen, ezért szeretnék pár gondolatot megfogalmazni a felhasználók számára:

- Murphy törvénye szerint: Ami el tud romlani, az el is romlik. Ezért mindig legyen a fontos adatainkról legalább egy biztonsági másolat, vagy egy külső meghajtón, vagy egy nagyobb kapacitású pendrive-on! Rendszeresen készítsünk mentést gépünkről. Nem konkrétan egy vírus miatt, gondoljunk arra, hogy vannak adatok (fényképek, dokumentumok, videó felvételek), melyeket lehetetlen reprodukálni, ha gépünk elromlik.

- Az, hogy paranoid vagyok, még nem jelenti azt, hogy nem követnek. Nem feltétlenül az adataink megszerzése a cél, néha elég a pénzünk, vagy akár gépünk erőforrásai is. A vírusok elsődlegesen önmagukat próbálják terjeszteni, ez igen sokféleképpen történhet. Azonnali üzenetküldő alkalmazásokon, vagy elektronikus levelezésen keresztül. Tipikus, amikor ismeretlen személyektől, idegen nyelven íródott levél érkezik postafiókunkba, melyben tömörített (.zip) mellékletként helyezték el a kártékony programo(t)kat. Elavult, vagy nemlétező víruskeresővel pedig sajnos lehetetlen észrevenni, hogy egy rosszindulatú támadás áldozataivá váltunk éppen. Egy egyszerű szabály: amit nem tudok biztosan, hogy mi, azt nem nyitom meg.

Az alábbiakban a számítógépes kártevők egy igen veszélyes fajtájáról, a zsaroló vírusokról lesz szó, illetve arról, hogyan védekezhetünk ellenük.

Egy zsaroló vírus (angolul ransomware) ugyanazt teszi elektronikus formában, mint egy bűnöző: elvesz tőlünk valamit, majd pénzt kér azért, hogy visszaadja. A zsaroló számítógépes kártevők két fő típusba sorolhatóak: az első a titkosító trójaiak, a második pedig a képernyőzárak.

A G Data összefoglalója szerint az előbbiek módszeresen végigsöpörnek a merevlemezen, és úgy titkosítják a dokumentumokat és a fotókat, hogy azok a feloldókulcs nélkül soha többet nem lesznek megnyithatóak. A kulcsot a bűnözőktől lehet megvenni, jellemzően 150 ezer forint körüli összegért, de fizetni igen kockázatos, mivel jó eséllyel még így sem kapjuk meg a kulcsot. Más megoldás viszont nincs igazán: a feltörésre még egy szuperszámítógép birtokában sincs esélyünk.

A képernyőzárak jellemzően a teljes operációs rendszert zárolják, egészen addig, amíg a váltságdíjat ki nem fizetik. A többségük valamilyen „hatósági figyelmeztetést” jelenít meg, amely arról tájékoztat, hogy a gépen „inkriminált” állományok találhatóak, és a „hatóság” eljárást kezdeményez, hacsak a felhasználó nem fizeti be a rá kiszabott „büntetést”.

Zsaroló kártevőkből több száz különböző változat létezik, a legismertebb titkosítók a Cryptolocker, a Cryptowall, a VaultCrypt és a CTB-Locker, a legelterjedtebb képernyőzár pedig az FBI Trójai vagy más néven Reveton.

Miért terjednek olyan gyorsan?

A zsaroló kártevők terjesztésére rendszerint a felhasználók megtévesztésének (social engineering) segítségével kerül sor. Az emberek általában szívesen segítenek egymásnak, és motiváltak arra is, hogy elkerüljék a problémákat. A bűnözők pedig kihasználják ezeket a tulajdonságokat.

Egy tipikus példa a hamis megrendelési visszaigazolás. Ezekhez az e-mailekhez rendszerint csatolva van egy fájl, amelyet az áldozatnak meg kell nyitnia. Ha valaki kap egy e-mailt, amely arról tájékoztatja, hogy a „rendelése megérkezett”, de nem emlékszik arra, hogy rendelt volna valamit, akkor hajlamos megnyitni a csatolmányt, hogy „megtudja a részleteket”. Egy másik módja a fertőzésnek, ha fertőzött weboldalra tévedünk. Ilyenkor nincs szükség semmilyen letöltésre, és arra sem, hogy valamire rákattintsunk, egyszerűen böngészés közben fertőződik meg a számítógépünk. A vírusok működését segítik a külső alkalmazások sérülékenységei is. A Word, az Adobe Acrobat, a Java vagy akár az operációs rendszer biztonsági rései is kihasználhatók a terjesztésükre.

A zsaroló kártevők működése ráadásul rendkívül gyors. A csatolmány megnyitása után néhány ezredmásodperccel már zárolásra kerülhet a gép, de a titkosító kártevők is hasonlóan gyorsak. Mialatt a titkosító komponens telepítésre kerül, a kártevő kapcsolatba lép a bűnözők szerverével, és letölti a titkosításra használt egyedi kulcsot. Amikor a zsaroló üzenet megjelenik a képernyőn, rendszerint már késő van mindenhez: a dokumentumok titkosításra kerültek.

Miért nem hatásosak a vírusirtók a ransomware-ek ellen?

A vírusirtó szoftverek gyártói évek óta koncentrálnak arra, hogy blokkolják a titkosító kártevők működését. A védelem alapját még mindig a rendszeresen frissített vírusleírások (szignatúrák) képezik, de ezek rendszeres frissítése már messze nem elegendő a védelemhez. A proaktív, magatartás alapú védelem célja, hogy szignatúrák nélkül is felismerje a kártevőket, pusztán az alapján, ahogyan azok viselkednek a számítógépen.

Felmerülhet a kérdés, hogy miért nem létezik önálló védelmi program a zsaroló kártevők ellen. Technikailag ugyan lehetséges lenne elkészíteni egy olyan szoftvert, mely védelmet nyújt a legtöbb zsaroló kártevő ellen, azonban egy ilyen szoftver annyira leterhelné – és így le is lassítaná – a számítógépeket, hogy a felhasználók nem szívesen telepítenék. A feladat tehát a vírusirtó szoftverek készítői számára az, hogy úgy nyújtsanak maximális védelmet, hogy közben minimalizálják a szoftvereik erőforrásigényét.

Hogyan előzhető meg a fertőzés?

Mivel a zsaroló kártevők által titkosított adatokat nem lehet visszanyerni, a legfontosabb mind az otthoni, mind a vállalati felhasználók számára, hogy folyamatosan biztonsági másolatokat készítsenek adataikról. Ideális esetben naponta készül ilyen másolat, amelyet a számítógéptől teljesen külön érdemes tárolni, ami azt jelenti, hogy a külső adathordozó sem vezeték nélküli, sem vezetékes hálózaton nincs összekapcsolva a komputerrel. A feladat elvégzését megkönnyíti, hogy egyes vírusirtó szoftverekben beépített mentési modult találunk.

A G Data emellett azt tanácsolja, hogy folyamatosan telepítsük a külső alkalmazások és az operációs rendszer frissítéseit. A harmadik fél szoftvereibe került sérülékenységek ellen a vírusirtók sérülékenységvédelme (exploit protection) ugyan védelmet tud nyújtani, de ennek megvannak a maga korlátai. A legjobb, ha minden alkalmazás biztonsági frissítéseit telepítjük.

A harmadik fontos teendő a magatartásalapú és a felhőalapú védelem aktiválása. A heurisztikus, proaktív, valamint a reputációalapú védelmi technológiák kiegészítik a hagyományos vírusvédelmet, és további biztonsági rétegeket képeznek a számítógépen. Ezek segítségével a vírusirtó képes kiszűrni például azokat a még nem ismert kódokat, programokat, melyek hátsó kapukat nyitnak a gépen, és külső szerverekről próbálnak meg adatokat letölteni.

Van néhány magatartási szabály is, amit fontos betartanunk. Így például megnyitás nélkül érdemes törölnünk azokat az e-maileket, amelyek az alábbi három kritériumból legalább kettőnek megfelelnek: ismeretlen feladótól érkeznek; sürgető hangnemben vannak megírva, és negatív következményeket helyeznek kilátásba; valamilyen cselekvésre hívnak fel (például: ellenőrizze a mellékletet).

Mivel a kártevők jellemzően annak a felhasználónak a nevében futnak a gépen, aki be van jelentkezve, így érdemes nem rendszergazdaként, hanem általános felhasználói jogosultsággal használni a gépet.

Mit tegyünk, ha megfertőződött a számítógépünk?

Először is ne essünk pánikba, mert az egészen biztosan csak ront a helyzeten. Az első és legfontosabb, hogy a fertőzött számítógépet húzzuk le a hálózatról, hogy a fertőzés ne tudjon átterjedni más gépekre. Adott esetben a gépet kapcsoljuk ki, majd a merevlemezt tisztítsuk meg úgy a kártevőktől, hogy a vírusirtó indítólemezét használjuk, így nem az alapértelmezett operációs rendszert indítjuk el, hanem a vírusirtó szoftver kezelőfelületét.

A váltságdíjat ne fizessük ki! Egyáltalán nem garantált, hogy visszakapjuk az adatainkat, de ha fizetünk, azzal hozzájárulunk a szervezett bűnözés sikeréhez. Az adatainkat állítsuk helyre a külső mentésből, és ha erre szükség van, akkor egy adattörlő szoftver segítségével fertőtlenítsük a merevlemezt, majd telepítsük újra a számítógépet.