Technológia

43_theintercept.com.jpg
Forrás: ITB
Online zsarolók

Pénzt vagy adatot!

Minden szervezet egyik legnagyobb IT-biztonsági rémálma, hogy ellopják az adatait. Ennél talán csak egy rosszabb rémálom van: ha önmaga sem fér hozzá saját adataihoz. Ezt használják ki az egyre inkább terjedő zsarolóvírusok.

Az első zsarolóvírussal már 1996-ban próbálkozott megírója, de igazi elterjedésére várni kellett, amíg a Bitcoin nem kínált lenyomozhatatlan átutalási módszert a váltságdíj begyűjtésére. A hullámot a 2013. szeptemberében feltűnt CryptoLocker indította el, amely a Bitcoin mellett a nehezebben feltörhető aszimmetrikus titkosítást kihasználva keserítette meg az óvatlan felhasználók életét. Az ilyenfajta kártevők azóta is népszerűek, és mára az egyik legnagyobb veszélyforrássá váltak a magán- és vállalati szférában egyaránt – írják az Intel Security/McAfee kutatói weben megjelent tanulmányukban.

Ehhez hozzájárult, hogy a szürke zónában az üzleti modellek is sokat fejlődtek. Kialakult a szolgáltatási piac (ransomware-as-a-service), ahol arra specializált terjesztők alakítanak ki botneteket és terjesztik rajtuk a zsarolóvírust. Ők már kifinomult telemetriai konzolokon követhetik nyomon a támadás alakulását és finomhangolhatják a rendszert, hogy minél többet hozzanak ki a támadásból.

Komoly veszélyeket jelentenek a zsarolóvírusok, de nem lehetetlen a védekezés ellenük. Az a legjobb, ha be sem engedjük a fertőzést. A védelem legfontosabb oszlopai a felhasználók lehetnek – ha tudják, hogy nem szabad ismeretlen csatolmányokat vagy online hirdetéseket megnyitni. A technikai megelőzés körébe tartozik az operációs rendszer és az alkalmazások naprakészen tartása, valamint a webes szűrők alkalmazása.

Hogyan működik?

1. Terjesztés
Rendszerint a jól bevált módszereket használják: fertőzött email-csatolmányok vagy weboldalak.

2. Fertőzés
A kártevő berendezkedik a megcélzott gépen: gondoskodik arról, hogy minden indításnál elindulhasson, ne fedezzék fel a beépített védelmi mechanizmusok, majd beépül az explorer.exe-be és az svchost.exe-be.

3. Kommunikáció
A kártevő kapcsolatba lép a szerverrel és letölti a nyilvános kulcsokat, amelyek a fájlok titkosításához szükségesek. Az irányítószerverrel folytatott kommunikáció titkosítva zajlik.

4. Fájlkeresés
A vírus megkeresi a felhasználó számára fontos és nehezen pótolható állományokat; a leggyakrabban célkeresztbe kerülő fájltípusok a jpg, docx, xlsx, pptx és a pdf.

5. Titkosítás
Rendszerint áthelyezik és átnevezik a kikeresett fájlokat, aztán titkosítják őket, majd ismét átnevezik mindegyiket. A fejlettebb változatok már a biztonsági mentéseket is képesek megfertőzni.

6. Váltságdíj kérése
Általában megjelenik egy (többnyire eltávolíthatatlan) üzenet a képernyőn, amelyben közlik az anyagi követeléseket.

 

Csökkenthető a fertőzés veszélye, ha nem engedélyezzük a mailben kapott dokumentumoknak a makrók futtatását (ez alaphelyzetben ki van kapcsolva a Microsoft Office esetében). Hasonlóképpen, a normál munkamenethez nem kellenek adminisztrátori jogosultságok, ezek hiányában az esetleg bejutott kártevő is kevesebb jogosultsághoz jut. Mód van arra is, hogy a gyanús folyamatokat karanténban tartsuk vagy megtiltsuk az ismeretlen állományoknak, hogy fájlokat módosítsanak.

A kommunikációs fázisban segíthet, ha a tűzfalunk blokkolja az ismert fertőző oldalakat, illetve nem engedi a hozzáférést a mély weben futó (és sok zsarolóvírus által is használt) Tor hálózathoz. A hálózati gatewayek is beállíthatóak úgy, hogy felismerjék és blokkolják a már felderített zsarolószerverekkel folytatott kommunikációt.

A már megtörtént támadás káros hatásait csökkenti, ha van naprakész mentésünk a fontos állományokból. Az sem árt, ha van offline archívum is, ami nincs közvetlen összeköttetésben a működő rendszerrel, így nem is fertőződhet meg egy támadás során. A kártevő eltávolítása után egyszerűen csak vissza kell állni az utolsó jó változatra – így legfeljebb néhány órai munka vész oda.