Technológia

41_Solymos_Akos.jpg
Forrás: ITB
Zsarolóvírus – mit tehetünk ellene?

Solymos Ákos, a QUADRON tanácsadói szolgáltatások vezetőjének értekezése

Ritkán fordul elő, hogy egy orvos fertőzés esetén engem keresne fel segítségért, de most megtörtént. A fertőzés ugyanis nem biológiai, hanem informatikai jellegű volt. Gyermekorvosunk riadtan hívott fel a minap, hogy segítsek, nem fér hozzá az adataihoz. Kiderült, egy váltságdíjat kérő vírus került fel a páciensek adatait is tartalmazó számítógépre.

A hackerek is tudják, hogy nem a számítógép, hanem a rajta lévő adat az, amely igazán értékes. Emiatt népszerűek azok a zsarolóvírusok (ransomware-ek), melyek titkosítják fájljainkat és váltságdíj megfizetése fejében hajlandóak csak visszaadni őket.

 

Mi az a zsarolóvírus?

A zsarolóvírusok szinte egyidősek a PC-vel. Az AIDS Trojan nevű vírust 1989-ben még hagyományos postán küldték 5 1⁄4” floppy lemezre másolva. A felhasználónak kellett telepítenie gépére, ezután a PC 90 alkalommal elindult, majd egy relatív könnyen feloldható titkosítással zárolta a fájlokat. Nem volt túl sikeres. Az internet még a tudósok kiváltsága volt, számítógépből is kevés volt a háztartásokban.

Az első modern zsaroló vírus a 2005-ben megjelent Trojan.Gpcoder. Az általa használt titkosító kulcsokat könnyedén fel lehetett törni, így nem jelentettek valós veszélyt. Az első igazán sikeres, komoly károkat okozó adatokat titkosító vírus 2013 szeptemberében jelent meg, Cryptolocker néven vált ismertté. A váltságdíjat kérő trójai a Microsoft Windows rendszerein terjedt, fertőzött .zip email-csatolmány segítségével, botneten keresztül került a gépekre. A vírus az RSA nyílt kulcsú titkosító algoritmus segítségével olvashatatlanná, felhasználhatatlanná tette a fájlokat. Magát a vírust könnyen el lehetett távolítani a rendszerből, ám a titkosított fájlok kikódolása első körben megoldhatatlan feladatnak bizonyult.

Fizessünk vagy ne fizessünk?

Amíg valaki kifizeti a váltságdíjat, addig a hackerek újabb és újabb zsarolóvírusokat gyártanak és engednek a szabadba. Ezért azt javaslom, a lehetőség szerint, ne fizessük ki a váltságdíjat.

A zsarolóvírust terjesztő Gameover Zeus botnet hálózatot 2014 augusztusában zárták be végleg a Tovar Hadműveletnek nevezett nemzetközi együttműködés keretében. Az orosz hackerek lefülelésében közreműködő biztonsági cégek egy weboldalon keresztül lehetővé tették a titkosított fájlok kikódolását. Egyesek számára ez már túl késő volt, adataik elvesztek (ha nem fizettek a büntetés a magasabb váltságdíj, majd a titkosító kulcs törlése), vagy kifizették a 100 ezer forintnál kezdődő váltságdíjat. A hatóságok becslése szerint a fertőzöttek 1,3 százaléka adott pénzt az adatokért, ezzel a hackerek 3 millió dollárt (830 millió forint) kerestek.

A Cryptolocker sikerén felbuzdulva sorra jelennek meg az újabb és újabb változatok. Egy részüket alkotóik – a könnyebb azonosítás kedvéért – Cryptolocker-nek (Locky-nak, a CryptoWall-nak  vagy TeslaCrypt-nek illetve további variánsoknak) nevezték, de ezek már nem az eredeti csapattól származnak. Többségük titkosítja adatainkat, túszul ejtik őket, esetleg zárolják képernyőnket, és váltságdíjat kérnek a feloldásért. Húsvét előtt egy olyan kártevő is megjelent, amely az egész merevlemezt titkosította.

 

Hogyan terjed?

A zsarolóvírusok legtöbb esetben fertőzött csatolmányt tartalmazó emailek útján terjednek, a csatolmány általában .doc vagy .zip kiterjesztésű. A .doc csatolmány megnyitáskor makrót tartalmazó dokumentumnak tűnik, ha engedélyezzük a makrók futtatását, akkor a vírus aktiválódik gépünkön. A .zip kiterjesztésű fájl egy pdf-nek álcázott .exe-t vagyis futtatható programot tartalmaz. Rossz hír, hogy megjelent egy olyan változat is (a Cisco által megfigyelt Samsam vagy Samas), amely a nem frissített JBoss alkalmazásszervereken keresztül kerül be a hálózatba, ott pedig szabadon terjed. Vagyis anélkül fertőz, hogy a felhasználó bármire is kattintott volna.

Az Amerikai Egyesült Államokban nagyon sok kórház érintett ebben a támadásban, így nem volt számomra meglepő, hogy a gyermekorvosunk számítógépe is fertőzött lett. Az egészségügyi központok könnyű célpontok, mert többségük elavult informatikai rendszeren működik, viszont életbevágóan fontos adatokat tárolnak. Emiatt elég gyorsan fizetnek a zsarolóknak. Itthon is több egészségügyi intézmény érintett lehet. Miután a hazai intézményeknek nem kötelező jelenteni ezeket a támadásokat, ritkán szerzünk tudomást róluk.

 

Hogyan védekezzünk ellene?

A régebbi zsarolóvírusok által titkosított fájlok feloldásához már léteznek különböző megoldások, bár ezek eléggé megbízhatatlanul működnek. A legjobb védekezés a megelőzés: körültekintően kattintsunk a csatolmányokra, ne látogassunk olyan oldalakat, melyek az internet szürke bugyrához tartoznak. Használjunk antivírus megoldásokat, de főképp legyenek naprakészek, frissek IT rendszereink. Mindenekelőtt azonban legyen rendszeres adatmentésünk. A gyermekorvos esetében is ezért volt szerencsénk: adataikat rendszeresen backup-olták. A zsarolóvírust relatív könnyen eltávolítottam a rendszerből, az adatokat pedig a mentésből állítottam vissza, két óra elteltével újból a gyógyításra tudott összpontosítani a doktor.