Digitális túszejtés – A Ransomware veszélyei

Mi az a Ransomware?

A modern számítógépes vírusok sokkal többre is képesek az egyszerű pusztításnál. A kiberbűnöző piac egyik leggyorsabban fejlődő ágazata a ransomware programok fejlesztése. A Ransomware egy olyan program (tulajdonképpen vírus), aminek pofonegyszerű célja van: túszul ejteni az adataidat, és váltságdíjat kérni értük.

Randomwarenek egy célja van: túszul ejteni az adataidat, és váltságdíjat kérni értük.

Érdemes megvizsgálni, hogy hogyan is jutott el eddig a pontig a kiberbűnözés. Az első ilyen zsaroló programok sokkal primitívebb módon működtek. Rendszerint hamis vírusirtó program képében kerültek fel a felhasználók számítógépeire. Ez volt az a pont, ahol a „nemzetközi” környezetben elbuktak a próbálkozások.

Míg angol nyelvterületen egyszerűen egy FBI-os logóval, vagy a helyi rendőrség képeivel, szép angolsággal megpróbálták a hatóságok nevében „bírság” fizetésre bírni a felhasználókat, magyarul rendszerint lyukra futottak. A hibásan magyarra fordított felugró ablakok nem voltak olyan meggyőzőek, hogy az áldozatok kifizessék a „bírságot”.

A jelenlegi zsaroló vírusok már nem ilyen egyszerűek. A számítógépen található összes képet, dokumentumot, és minden potenciálisan fontosnak tűnő fájlt titkosítanak, méghozzá komoly módszerekkel. Ha ilyen történik, általában két választási lehetőséged van: Kifizeted a váltságdíjat, vagy elveszíted a fájlokat.

A legújabb változatok (mint a Cryptolocker 4.0, vagy a PadCrypt) általában 2048 bites RSA titkosítást használnak a „túszul ejtéshez”. Az RSA-2048 pedig nem egy olyan titkosítás, amit belátható időn belül vissza tudnál fejteni az otthoni számítógépeddel. Annyira nem, hogy kb. 6,4 billiárd (azaz 6.400.000.000.000.000) évig tartana. Készítettünk egy infografikát, hogy ez mit is jelentene a gyakorlatban.

Mennyi ideig tartana feltörni az RSA 2048-at?

Ha nem készült biztonsági mentés a fájlokról, és azok mindenképpen pótolhatatlanok számodra, tényleg csak a váltságdíj kifizetése marad. Természetesen kiberbűnözőknek fizetni nem a legbiztonságosabb és legokosabb dolog, hiszen ezzel is csak támogatod a „munkájukat”. Azonban ha fizetsz, akkor sincs garancia arra, hogy megkapod a feloldókulcsot. Rengeteg esetről olvasni, amikor a támadók egyszerűen megléptek a pénzzel.

Általában 300 és 1500 dollár közötti összeget kérnek számítógépenként. Persze nem banki átutalással, hanem Bitcoinban. Ha nem hallottál még a bitcoinról, itt egy rövid videó (a magyar felirat bekapcsolható), ami összefoglalja, hogy miről is van szó:

https://youtube.com/watch?v=Gc2en3nHxA4%3Ffeature%3Doembed

A legszomorúbb az egészben, hogy a bűnözők 2014-ben több mint 3 millió dollárt csaltak ki ilyen zsaroló programokkal, sőt, 2015-ben volt olyan nap amikor a CryptoLocker 1 millió dollár váltságdíjat szerzett. Odáig jutottunk, hogy már az FBI is azt tanácsolja a károsultaknak, hogy egyszerűen csak fizessük ki a váltságdíjat.

A ransomware fejlesztők pedig egyre inkább elszemtelenednek. Nem elég, hogy az emberek saját fájljaiért követelnek váltságdíjat, de például a PadCrypt non-stop ügyfélszoglálatot is biztosít az áldozatoknak, hogy segítsen a bitcoin vásárlás lebonyolításában.

Mit tehetsz az ilyen vírusok ellen?

A megoldás itt is ugyanaz, mint az esetek többségében: Éberség, és a probléma ismerete. Ha tudsz arról, hogy léteznek ilyen vírusok, fel is készülhetsz egy esetleges fertőzésre. Fontos, hogy ne csak te, hanem a munkatársaid, alkalmazottjaid, barátaid is tudjanak a veszélyről. Beszélj nekik a zsaroló programokról, vagy küldd el nekik ezt a cikket! Ha ismered a jelenséget, máris egy lépéssel közelebb vagy a megoldáshoz.

Adathalászat

Az első tanács ebben az esetben is az, hogy ne kattints ismeretlen webcímekre, és ne nyiss meg ismeretlenektől kapott, vagy gyanús e-mail mellékleteket sem. Már egy egyszerű word dokumentumnak álcázott fájl is képes lehet ransomware fertőzésre.

Frissítsd az operációs rendszert, és a többi alkalmazást

A zsaroló vírusok – mint minden más vírus – elsősorban az operációs rendszer hibáit használják ki. Ha a rendszert naprakész állapotban tartod, jelentősen csökkentheted a támadások esélyeit. Ne feledkezz meg a böngészőprogramod, és a pluginok (Flash, Java) frissítéséről sem!

Használj tűzfalat, és vírusirtót

Szerencsére a legtöbb modern vírusirtó el tudja kapni a ransomwareket még mielőtt bajt okoznának. A tűzfal ugyancsak képes lehet a támadások kivédésére. Természetesen ezeket a programokat is frissíteni kell, pont úgy, mint az operációs rendszert.

Korlátozd a hálózati meghajtók elérhetőségét

Talán mondani sem kell, hogy a legnagyobb veszély a vírusok esetén az, hogy villámgyorsan elterjedhetnek az egész hálózaton. Így már nem csak 1 gép esetén kell gondoskodni a biztonsági mentésről és visszaállításról (vagy ezek hiányában sajnos a váltságdíj kifizetéséről), hanem a hálózaton lévő összes eszköz bajba kerül.

Éppen ezért kiemelt fontosságú, hogy minden felhasználó csak azt a hálózati helyet érhesse el, amit feltétlenül használnia kellAhol lehet, érdemes csak olvasási jogot adni a dolgozóknak a hálózati meghajtón. Ilyenkor csak letölteni tud a saját számítógépével, a központi hálózatra nem tud felmásolni semmit (így a vírusokat sem).

Biztonsági mentés

A legbiztosabb védelmet minden esetben a rendszeres biztonsági mentés tudja garantálni. Akármi történhet a számítógépen lévő adatokkal, ha van róluk friss biztonsági mentés, a kár nagyon könnyen minimalizálható. Ilyen esetekben a ransomware fertőzés sem jelent igazi problémát, inkább „csak” egy pár órás kellemetlenséget tud okozni.

A felhőbe történő mentés azon kívül, hogy nagyon egyszerű és kényelmes, nagyobb biztonságot tud nyújtani az ilyen fertőzések ellen.

Kezelheted ezeket a mentéseket külső merevlemezeken, vagy a felhőben is, de tartsd észben azt is, hogy ha maga a mentés is fertőzött, akkor a helyreállítás is problémás lesz. A felhőbe történő mentés azon kívül, hogy nagyon egyszerű és kényelmes, nagyobb biztonságot tud nyújtani az ilyen fertőzések ellen.

A felhőben lévő mentés biztonságban van, és az esetek 99.99 százalékában olcsóbb megoldás, mint a helyi hardver. Természetesen csak egy megbízható, magas szintű adattitkosítást kínáló szolgáltató a jó választás, hiszen az adatok védelme csak ilyenkor biztosított igazán.

Social Engineering

Mint ahogy az egyik előző cikkünkben olvashattad, a social engineering ilyen esetekben is rendkívül veszélyes. Az ismeretlen hardverek, a személyiséglopás mind gyors és hatékony eszköz a szélhámosok munkája során. Ha valami gyanús, jelezd az IT-s kollégáknak.

Mit tegyek, ha már baj van?

Ha készült biztonsági mentés, akkor nincs ok pánikra. Az első és legfontosabb dolog, hogy a fertőzött számítógépet azonnal válaszd le a hálózatról. Miután ez megtörtént, az IT-s kolléga mindent el fog távolítani a számítógépről, majd visszaállítja a biztonsági mentésből. Fontos, hogy tényleg meg legyen tisztítva a gép, hiszen ha úgy kerül rá vissza a biztonsági mentés, hogy a vírus még ott van, nem jutsz előrébb.

Az igazán nagy baj akkor van, ha nincsen backup-od. Ilyenkor ugyancsak az első lépés az, hogy minden hálózati kapcsolatot meg kell szüntetni a vírusos géppel. Azért ebben az esetben sem kell feladni, előfordulhat hogy a ransomware programot hibásan készítették el, és a titkosítás feloldható. Például a Teslacrypt esetén is elérhető az ingyenes eltávolító eszköz. Ha ezt letöltöd és futtatod a gépen, fel tudod oldani a zárolt fájlokat.

Arra azért érdemes figyelni, hogy maga a letöltés ne a vírusos géppel történjen. A legjobb megoldás, ha lemezen másolod át az eltávolító programot, hiszen az egyszer írható optikai lemezeket nem tudja megfertőzni semmi. Persze mivel a gépek jelentős részében nincsen már optikai meghajtó, maradhatsz a pendriveos másolásnál is. Ebben az esetben azért ne felejtsd el, hogy a pendrive is megfertőződhet, tehát azt is át kell vizsgálnod. közelmúltban egy amerikai kórháznak 17.000 dollárt kellett fizetnie (4,7 millió forintot) egy ilyen ransomware fertőzés miatt, és még így is több mint egy hétig nem fértek hozzá a betegek adataihoz.

Ezek az eltávolító eszközök nem hivatalos megoldások, hanem pár ügyes és tehetséges programozó által készített mentőövek; Ha nem működnek, nincs mit tenni.

Éberség

Mint minden biztonságtechnikai kérdésben, itt is a probléma ismerete a legfontosabb. A rendszeres biztonsági mentés rengeteg kellemetlenségtől kímélhet meg.

A váltságdíj kifizetése soha nem jó megoldás

A váltságdíj kifizetése soha nem jó megoldás, de ha pótolhatatlan adatok kerülnek zár alá, lehet hogy nincsen más opció.

A kulcs itt is az éberség, ismerd a veszélyt, és beszélj róla a munkatársaidnak is. Figyelj a social engineering trükkjeire, és készíts rendszeresen biztonsági mentést az adataidról.

Ahogy olvashattad, vészhelyzetben szó szerint életmentő lehet, ha a fontos adataid biztonságban vannak. A felhő használata ebben az esetben is tökéletes megoldás lehet, kényelmes, megfizethető, és gyakran sokkal biztonságosabb, mint a helyi backup módszerek nagy része.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram