Forrás: PCWorld | #oszdazészt | 2020.11.11.

Mi az a zsarolóvírus? Hogyan lehet ellene védekezni? Mit tehetsz, ha minden óvintézkedés ellenére áldozattá váltál? Segítünk!

A kártevők egy régi, de mostanában különösen felkapott típusa, amely miután megfertőzte a számítógépet, titkosítja a rajta lévő adatokat - ez a zsarolóvírus, ami a kórházakat, hivatalokat sem kíméli, emberi életeket sodor veszélybe.

A zsarolóvírus nevét onnan kapta, hogy a titkosítás feloldását váltságdíj fejében ajánlja fel. Vagyis az áldozatoknak fizetni kell, ha viszont szeretnék látni adataikat. Mint más "rendes" vírusok, a ransomware vírusok is elsősorban e-mailben, illetve fertőzött weboldalakon keresztül terjednek, de akadnak chatben "érkező" példányok, illetve olyan zsarolóvírusok is, amelyek a szoftverekben lévő biztonsági réseket kihasználva jutnak el az eszközökre.

Az #oszdazészt mozgalom újabb cikkében segítünk, hogy a lehető legkevesebben váljanak ransomware-ek áldozatává. Ha úgy gondolod, mások számára is hasznos a cikk, oszd meg ismerőseiddel!

A legjobb védekezés a megelőzés

Mivel a zsarolóvírus is végső soron egy vírus, védekezni ellene elsősorban a szokott módon lehet: az operációs rendszer frissen tartásával, vírusirtó használatával, és azzal, hogy a levélben érkező linkekre, illetve webes hivatkozásokra "ésszel", körültekintően kattintunk.

Ugyanakkor a zsarolóvírus, ha megfertőzte a gépet, titkosítja a merevlemez tartalmát, ezért kiegészítő védelemként fontos, hogy a kritikus információkról rendszeresen készítsünk biztonsági mentést is oly módon, hogy a másolat alapesetben a PC-ről nem érhető el közvetlenül (például egy lehúzható vagy kikapcsolható USB-s meghajtó segítségével).

A Windows File History alapszintű védelmet nyújthat az offline fájlok titkosítása ellen, a OneDrive pedig az online tárolt fájlokhoz kapcsolódóan nyújt a zsarolóvírusok elleni - szintén alapszintű - védelmet.

A zsarolóvírusok főleg a vállalatok és állami intézmények életét keserítik meg - a nagyobb támadások többsége kezdetben például egészségügyi intézményekhez vagy valamilyen más állami szervhez volt köthető. Nem véletlen, az elavult géppark és az elavult szoftverek tálcán kínálják a lehetőséget a csalók számára. Ezek a vírusok végigsöpörnek mindenkin, nem kímélik az autógyártó, szállítmányozó cégeket sem, dollár százmilliókban mérhető károkat okozva szerte a világon.

A legnagyobb probléma az, hogy a zsarolóvírus szinte biztosan kritikus rendszert fertőz meg, ezzel többnapos vagy több hetes leállást kikényszerítve, adott esetben emberéleteket is veszélyeztetve.

Ez persze nem jelenti, hogy a végfelhasználóknak nincs oka félni: nem kell különösebben ecsetelni, hogy mennyire kellemetlen élmény, ha például az összes családi fotó vagy a majdnem kész doktori disszertáció megy a levesbe.

Fejlődéstörténet

A zsarolóvírusok kezdetben csak a fájlneveket változtatták meg, így viszonylag egyszerű volt visszaállítani az eredeti állapotot egy fertőzést követően - adatok legalábbis nem sérültek. Idővel aztán, ahogy a gépek számítási kapacitása lehetővé tette, az egyszerű átnevezést felváltotta a teljes titkosítás. A váltságdíj megfizetését azonban az újabb verziók már nem (vagy nem csak) az adatok visszaállításának lehetőségével próbálják elérni: a zsarolóvírusok titkosítás előtt néhány adatot feltöltenek egy "saját" szerverre, és azzal fenyegetnek, hogy ha a váltságdíj megfizetése nem történik meg, akkor az adatok nyilvánosságra kerülnek. Ez főleg vállalatok esetében lehet "jó taktika" a csalók számára. Ezt a trükköt alkalmazza a Sodinokibi is, amely az eddig készült egyik legkárosabb zsarolóvírus. A leghíresebb viszont kétségkívül a WannaCry, amely 2017-ben csapott le először.

A zsarolóvírusok "népszerűsége" annak is köszönhető, hogy a neten - a jó helyen keresgélve - lehet olyan "készleteket" vásárolni, amivel minimális technikai tudás nélkül lehet saját verziót készíteni. A váltságdíjat pedig kriptovalutában is lehet kérni, így a lebukás esélye egészen minimális.

Fontos tudni azt is, hogy a zsarolóvírusok ma már nemcsak számítógépeket, hanem okostelefonokat is megfertőzhetnek: az androidos kártevők pályája szépen ível felfelé.

Sextortion

A zsarolóvírusokhoz hasonló, de szerencsére teljesen ártalmatlan jelenség a "sextortion" üzenet. A levélben, felugró ablakban érkező üzenet azt állítja, hogy a számítógép kamerájával rögzítették a gép tulajdonosát, miközben pornóoldalakat látogatott meg az interneten. Itt a trükk az, hogy a csalók pénzt kérnek azért, hogy a felvételt ne hozzák nyilvánosságra - valójában ugyanakkor felvétel nem készült, így ezeket az üzeneteket nyugodtan hagyjuk figyelmen kívül!

Elkaptam a vírust, mit tegyek?

Ha valakit "elkapott" egy zsarolóvírus, és titkosította az adatokat, akkor háromféle reakció is elképzelhető.

1. Az első az, hogy engedünk a zsarolásnak, kifizetjük a forintban jellemzően 50-300 ezer forint közötti összeget, majd reménykedünk, hogy legalább átverés nincs a dologban. Szakértők ezt határozottan ellenzik; részben azért, mert semmi garancia nincs arra, hogy tényleg létezik, és ha létezik, akkor meg is érkezik a visszafejtéshez szükséges kód (vagyis hiába fizetünk), részben pedig azért, mert ezzel a csalókat pénzeljük és bátorítjuk.
2. A második lehetőség az, hogy felkutatjuk a vírus eredetét, majd újratelepítjük a számítógép operációs rendszerét és a programokat. Ebben az esetben szükség lesz a biztonsági másolatokra is - ezek hiányában kisebb-nagyobb adatvesztéssel kell szembenéznünk. Nem győzzünk hangsúlyozni tehát: egy PC-től független biztonsági másolat készítéséről gondoskodni kell!
3. Megpróbálkozhatunk továbbá azzal is, hogy az interneten megkeressük az adott zsarolóvírushoz kifejlesztett tisztító- és visszaállító programot. Sajnos a siker nem garantált, mert rengeteg a zsarolóvírus, ráadásul rengeteg olyan van közöttük, amelyek folyamatosan változnak. Ehhez jó kiindulási pont a NoMoreRansom weboldal, amely többek között a Kasperskyhez és a McAfee-hoz is kapcsolódik; a site-on keresztül több száz víruscsaládhoz készített visszafejtő program érhető el. Ha itt nem járunk sikerrel, még akkor sincs minden veszve, mert rengeteg más független fejlesztő is készít visszafejtő szoftvereket.

A cikket támogatta a Nemzeti Kibervédelmi Intézet.