A KÜRT Adatmentés szakembereihez az év eleje óta folyamatosan növekvő számban érkeznek megkeresések zsarolóvírus okozta adatvesztés miatt. Míg 2015-ben havonta alig három megkeresés volt, idén már napi 2-3 ügyfél jelzi, hogy adatait titkosította valamelyik zsarolóvírus.
Az ESET termékek magyarországi forgalmazójához, a Sicontact Kft.-hez szintén folyamatosan érkeznek a kérdések a védekezéssel kapcsolatban, felhasználói és vállalati oldalról egyaránt. A szakemberek legfontosabb és legelső tanácsa ilyenkor minden esetben a vírusvédelmi megoldások, otthoni felhasználóknak például az ESET Smart Security, tudatos és aktív használata.
Hogyan védekezzünk a veszélyek ellen? ESET megelőzési tippek:
- Ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg ha ez tömörített állomány
- Munkahelyünkön figyelmeztessük azon kollégáinkat a veszélyekre, akik főleg külső irányból kapják leveleik többségét (pl. pénzügyi vagy HR osztály)
- Készítsünk rendszeresen biztonsági mentést adatainkról, amelyek segítségével fertőzés esetén visszanyerhetőek adataink. Biztonsági mentéseink külső adathordozókon legyenek, amelyek nincsenek folyamatosan csatlakoztatva a számítógéphez.
- Tartsuk naprakészen operációs rendszerünket és szoftvereinket, mindig telepítsük ezek hibajavító frissítéseit.
- Biztonsági szoftvereinknél kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata.
- Az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amelynek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is.
Mit tegyünk a vírustámadás után? A KÜRT tanácsai baj esetén:
- Mindig gondoljuk végig, hogy az adatvesztés mitől következett be. A zsaroló vírusok minden esetben jelzik a felhasználónak, hogy az adatokat titkosították, és váltságdíjat kérnek.
- Amennyiben a vírustámadás megtörtént, a legfontosabb a számítógép izolálása. Semmilyen körülmények között ne próbáljuk meg csatlakoztatni számítógépes hálózathoz, se vezetéken, se wifi-n, mert ezzel a többi számítógépen lévő adatot is kockáztatjuk.
- Hordozható adattárolót (Pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést továbbvihetjük egy másik számítógépre.
- A kárelhárítás után a zsaroló vírus teljes eltávolítását mindenképpen bízzuk szakemberre. A meghajtó teljes formázását javasoljuk, ezzel biztosan eltűnik a vírus minden nyoma.
- Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után próbálkozzunk adatainkat az archív mentésekből helyreállítani.
- Mivel a titkosítás feltörésére az esetek döntő többségében nincs technikai megoldás, így az adatmentés a titkosított adatokra vonatkozóan mindenképpen sikertelen lesz. Abban az esetben, ha visszaállítási pont volt beállítva a gépen, többnyire visszanyerhető valamekkora adattartalom.
Sajnos a különféle kártevők igyeznek a kezére játszani a zsarolóprogramoknak, így például a Win32/Bundpil féreg, és hasonló kórokozók kifejezetten a helyi backup mentési, vagy visszaállítási pontot tartalmazó állományainkra vadászik, és célzottan igyekszik ezeket megsemmísiteni.
Működési mechanizmus, általános összefoglaló
A kártevők új generációja a megnövekedett számú fertőzött e-mailekkel terjed, amelyek eszközeinkre letöltik és telepítik a zsarolóvírusokat. A fertőzött e-mailek megnyitásakor a kártevő titkosítja az eszközön található fájlokat és váltságdíjat követel ezek feloldásáért. A leggyakoribb fajtája, a Nemucod, is e-mailen keresztül, a mellékletben csatolt tömörített állományokban terjed. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálja rávenni az áldozatokat a melléklet megnyitására.
Amennyiben ez megtörténik, a program telepíti magát és HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépekre. A trójai egy olyan URL-listát tartalmaz, amelynek felhasználásával különféle webszerverek, weboldalak meglátogatásával kártevőket próbál meg letölteni. Ha ez sikerül számára, akkor a nemkívánatos programokat fel is telepíti. A folyamat végén jelenleg a legtöbbször a TeslaCrypt és a Locky nevű zsarolóprogram kerül a felhasználók készülékeire.
Elmondhatjuk, hogy ezek a zsaroló kártevők egyre erősebb kulcsokat használva titkosítva felülírják az állományainkat, majd a feloldó kódért pénzt követelve jelentik napjaink legnagyobb veszélyét. Nem is kis összeget, általában 300 eurónak (körülbelül 90 ezer forint) megfelelő váltságdíjat kérnek, aminek összege a 48/72 órás határidő leteltével megduplázódhat.
Nem árt tudni, ha bejutott a gépünkre egy ilyen titkosító kártevő, akkor ha elegendő ideje van, minden Windows alatt mappelt - értsd felcsatlakoztatott, például betűjellel hozzárendelt - meghajtónkon is végiggyalogolhat a titkosításával, így sajnos az összes bedugott USB tárolónk, hálózati meghajtóink, de még a felhős tárhely is áldozatul eshet.
Az esetleges váltságdíj kifizetést a biztonsági cégek - az emberrablási esetekhez hasonlóan - nem javasolják, mert ezzel részint tovább bátorítjuk a folyamatot. Másrészt erről azt is tudni kell még, hogy mivel bűnözőkkel üzletelünk, így semmilyen garancia nincs arra, hogy egyáltalán kapunk valamilyen kódot, vagy az működőképes lesz.
A beszámolók jelentős részénél - kb. 80-90%-ban - a fizetés ellenére nem is érkezik semmilyen feloldó kulcs. A vírusvédelmi megoldások használata nagymértékben segít, hogy a rendszerünket megvédelmezzük, de ehhez kiemelten fontos - biztonsági szoftvereinknél a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata, természetesen naprakész felismerési adatállományokkal. Emellett pedig kulcsfontosságú, hogy az antivírus megoldásainknak a megfelelő beállításokkal is kell rendelkeznie.
Például az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amennyiben ez a modul nincs kikapcsolva. Ennek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is. Az egyre gyakoribb támadások miatt érdemes az ESET szoftver verziójának ellenőrzése, és szükség esetén frissítése, valamint az említett Live Grid támogató opció ellenőrzése/beállítása.
Tudni kell azonban azt is, hogy a számítógépes biztonságnak a naprakész biztonsági szoftverek használata csak a három pillér közül az egyiket jelenti. A hatékony védelem második lába a frissített operációs rendszer, és az alkalmazói szoftverek hibajavítási foltjainak haladéktalan letöltése és telepítése, hiszen a kártevők előszeretettel használják ki a javítatlan biztonsági réseket.
Ehhez nem csak magának az operációs rendszernek, hanem a különféle alkalmazásoknak (Adobe Flash-től Java-n át Wordpressig) a hibajavításait is mindig futtassuk le időben.
Végül a harmadik védelmi pillér pedig a felhasználói biztonságtudatosság. Például ide tartozik, hogy az ismeretlen feladótól származó linkeken, e-mail mellékleteken ne kattintsunk, és mindig kezeljük gyanakvóan a kéretlen üzeneteket.
A védekezéshez mindenképpen azt tudják tanácsolni a szakemberek, hogy az értékes és pótolhatatlan adatainkról egy elkülönített, és fizikailag állandóan nem csatlakoztatott meghajtóra rendszeresen készítsünk mentéseket, és a mentéseinket pedig próbáljuk is ki.
Minden, amit a zsarolóprogramokról tudni kell
A zsaroló kártevők fejlődésének és újabb variánsainak felfedezésének híre mellett, javarészt a látványos és sokakat érintő támadásokról olvashatunk mindenhol. A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget: Hogyan védekezzünk a zsarolóprogramok ellen, és mit tehetünk, ha sajnos rosszkor kattintottunk?