Technológia

38_www.navytimes.com.jpg
Forrás: ITB
Fizetni vagy nem fizetni?

Túszul ejtett adatok

Nem megkerülhető, de nem is elégséges a felhasználók biztonságtudatosságának erősítése az egyre nagyobb veszélyt jelentő zsarolóvírusok ellen. Nem szabad megfeledkezni a rendszeres mentésről és a technikai védekezésről sem, mert ha megtörtént a baj, sokszor a fizetés sem segít.

Nagy karriert futottak be a zsarolóvírusok, amióta 1989-ben megjelent az első, hasonló módszereket alkalmazó kártevő. Akkor 30 ezer floppyt(!) küldött szét a vírus írója egy orvosi eszközöket gyártó cég nevében, hogy megfertőzze a számítógépeket, és egy postafiókba kérte a váltságdíjat. Nem csoda, hogy az illetőt el is kapták a hatóságok – idézte fel a ma már megmosolyogtató kezdeteket az ITBUSINESS Club június rendezvényén Csizmazia-Darab István, a Sicontact IT-biztonsági szakértője.

A nagy robbanás 2013-ban következett be: a CryptoLocker „jóvoltából” az egész világ kénytelen volt megismerkedni a zsarolóvírusok immár modern generációjával. Az ötlet a maga módján (az elkövető szemszögéből) kimondottan egyszerű és nagyszerű. A számítógépre juttatott kártevő (angol nevén ransomware) a kiterjesztés alapján titkosítja a fontosnak ítélt állományokat, mint a doc, xls, jpg, pdf és hasonlók. (Számos korábbi zsarolóvírus csak a képernyőt zárolta, tényleges kárt nem okozott.) Ezek után megjelenít egy üzenetet, amelyben a vírus írója elmondja, hogy mennyi váltságdíjat kér (többnyire Bitcoinban); ennek fejében visszajuttatja a titkosítást feloldó kulcsot. Ha valaki nem fizet, nem kap kulcsot, és búcsút inthet az adatainak – és ezzel együtt akár vállalkozásának is.

 

Változatos formában

Az alapelvek változatlanok, de az első változat három évvel ezelőtti megjelenése óta a zsarolóvírusok is komoly fejlődésen estek át, emiatt a védekezés sem egyszerű. A fertőzésre számtalan, már bevált módszer kínálkozik: fertőzött weboldalakon, e-mailek mellékletein vagy pendrive-okon keresztül lehet az ártalmas kódot bejuttatni a számítógépre. Ugyanakkor arra is volt már példa, hogy a gép távoli elérésre használt szoftver gyenge jelszavát feltörve juttatták be a támadók a vírust a rendszerbe.

A fertőzés villámgyorsan tud terjedni a gépeken, és nem csak egy meghajtó lehet veszélyben – tette hozzá Kertész Zoltán, a Kürt adatmentési üzletágának vezetője. A modernebb változatok nem lépnek rögtön akcióba, először felderítik a teljes informatikai hálózatban található gépeket, a felcsatolt meghajtókat és azon tárolt adatokat, csak ezután ugranak neki a feladatnak. Éppen ezért nemcsak az adott operációs rendszert futtató saját merevlemezén (partíción) található állományokat titkosítják a zsarolóvírusok, hanem az aktívan csatlakoztatott többi helyi, hálózatos és felhős meghajtót is. Az újabb verziók sokszor csak a fájlok néhány első szektorát kódolják, így több terabájtnyi adatot is egy-két perc alatt le lehet titkosítani.

Mekkora üzletről van szó?

A dolog jellege miatt csak becsülni lehet, hogy mekkora károkat okoznak a zsarolóvírusok. Egy-egy támadás során általában pár száz dollárt kérnek a támadók, de voltak olyan esetek (például egy kórháznál), ahol több tízezer dollárra rúgott a váltságdíj. A jól sikerült támadás naponta 25 ezer dollárt is hozhat a hackernek, de a CryptoWall kártevőcsaládból befolyó éves bevételt például 325 millió dollárra teszik a szakértők – idézett egy meghökkentő adatot Csizmazia-Darab István. Annyi bizonyos: a zsarolóvírusokban akkora pénz van, hogy még sokáig számíthatunk jelenlétükre.

De a vírusírók fantáziája itt még nem ért véget. A CryptoLocker 4.0 már nem csak magukat az állományok titkosítja, hanem a fájlneveket is, így az áldozat abban sem lehet biztos, hogy mit veszített el. A Chimera vállalati környezetekben okozhat sok fejfájást: eljut mindenhova a hálózaton, a titkosított állományokat pedig egy nyilvános weboldalon publikálja, ha az áldozat nem fizet. Idén már megjelentek azok a ransomware-ek is, amelyek nem válogatnak az állományok között, hanem egyszerűen a merevlemez teljes tartalmát titkosítják.

Nem csak a Windowsos gépek felhasználói vannak veszélyben. Léteznek zsarolóvírusok Macintoshra, Androidra, de még Linuxra is, a számítógépeken kívül pedig az okoseszközök (például Android alapú okostévék vagy set-top boxok) is ki vannak téve a fertőzésnek.

 

Teljes apparátus

Nem túlzás azt mondani, hogy a ransomware-ek köré teljes gazdasági ökoszisztéma és fejlett üzleti modell alakult ki. Az internet sötét bugyraiban néhány száz vagy ezer dollárért meg lehet vásárolni azt a magot, amiből kifejleszthető egy új vírus. Vannak olyan szereplők, akik a korábban meghackelt gépeket kínálják fel a ransomware írójának, és cserébe a bevétel 10-20 százalékát kapják. Az is kaphat részesedést, aki hajlandó a fertőzött kódot elhelyezni a weboldalán. Mi több, már teljes infrastruktúrát is lehet bérelni a zsaroláshoz, vagy támogatást vehet, aki akar, de külön nyelvi modult is lefejlesztenek a kérésére.

Közben a vírusok írói is igyekeznek „megkönnyíteni” az áldozatok számára a döntést. Némelyik kártevőben olyan opció van, hogy öt fájlt próbaképpen ingyen vissza lehet állítani – ezzel is azt igyekeznek bizonyítani, hogy érdemes lesz fizetni. Másokban chat-program található, amelyen keresztül a vírus írója (persze lenyomozhatatlanul) biztatja fizetésre az áldozatot vagy segít neki a Bitcoin vásárlásában.

A zsarolóvírusok elmúlt évekbeli tündöklésének a másik oka éppen a Bitcoin. A Bitcoin (és a többi, mintegy 700 féle kriptopénz) ideális eszköz a bűnözők számára. Egyszerű tárolni, az átutalások követhetetlenek, ahogy a címzettek is, így teljes biztonsággal gyűjthető be az ebül szerzett pénz. Ráadásul könnyen lehet fizetni vele akár elektronikus, akár fizikai árukért, mint ahogy valódi pénzzé is átkonvertálható.

 

Emberek és gépek a védelemben

A zsarolóvírusok Magyarországon is sok magánszemélyt és szervezetet érintenek, még ha többségükről nem is szereznek tudomást a hatóságok és az információbiztonsági szakemberek. Kertész Zoltán a saját példájukon keresztül érzékeltette a tendenciákat: míg 2015-ben havonta egy-két megkeresést kaptak a zsarolóvírusok áldozataitól, addig ma már minden napra jut egy-kettő.

A mindenkit érintő kérdés persze az, hogy mit lehet tenni a zsarolóvírusok ellen? Az ITBUSINESS Clubon megjelent szakemberek szerint külön kell választani a megelőzést és a már megtörtént támadás következményeinek felszámolását. A megelőzésnek két szálon kell futnia: az emberi és a műszaki oldalon. Elengedhetetlen, hogy a felhasználók kellően biztonságtudatosak legyenek: fel kell hívni a figyelmüket a veszélyekre, a lehetséges következményekre és az elkerülendő hibákra. Tudniuk kell például, hogy ismeretlen feladótól érkező vagy furcsa nevű (pláne .exe kiterjesztésű) csatolmányokat nem nyitunk meg, és ismeretlen pendrive-ot sem csatlakoztatunk a gépre.

Megspórolt váltságdíj

Ahogy az informatikai biztonságot általában, úgy a zsarolóvírusok elleni védekezést sem lehet nagy részben a felhasználók biztonságtudatosságára építeni. A veszélyekre persze fel kell hívni a figyelmet, de mindenképpen szükség van a célzott technológiákra is – hívja fel a figyelmet Fórján Tamás, a 2F 2000 tulajdonos-ügyvezetője.

A létező megoldásokra a Kaspersky Lab termékeibe beépített AntiCryptor modult hozza fel példaként. Amikor a védelmi rendszer észleli, hogy nem a felhasználó által kezdeményezett titkosítási folyamat indul el a gépen, villámgyorsan biztonsági mentést végez a veszélyben lévő fájlokról egy olyan tárterületre, amit a kártevő nem ér el. Amikor a vírus befejezte a titkosítást, eltávolítja azt, majd a mentésből helyreállítja a fájlokat. A vállalati verziónál az adminisztrátor központilag beállíthatja, hogy egyes dokumentumfajtákat milyen alkalmazások érhetnek el és nyithatnak meg. Ha egy másik program (ez esetben a kártevő) akarna hozzájuk férni, a rendszer blokkolja a beavatkozást.

A védelemre pedig nagy szükség van, teszi hozzá Fórján Tamás. A Kaspersky Lab rendszerei tavaly a világon 443 ezer esetben detektáltak zsarolóvírust. Ha átlagosan 300 dolláros váltságdíjjal számolunk, a védelmi eszköz 53 millió dollárt spórolt meg összesen a felhasználóknak.

 

Ennek is megvannak azonban a korlátai. Dobai Csaba, a John Bryce Oktatóközpont munkatársa idézett fel egy esetet: egy cég minden dolgozóját elküldte biztonságtudatossági tréningre. Mindenki el is végezte, ennek ellenére már másnap az egyik dolgozó bedugott egy ismeretlen (és csaliként elhelyezett) pendrive-ot a gépébe. De az is az oktatóközponttal esett meg, hogy egy régi ügyfél emailjében, a tőle megszokott zip-fájlban érkezett a vírus.

A műszaki megelőzésnek is megvan a maga egyszeregye. Alapvető, hogy az operációs rendszernek és az alkalmazásoknak is naprakész állapotban kell lenniük. Emellett az információvédelmi szoftvereknek is lehetőség szerint a legújabb verzióját kell használni. Szintén az alapokhoz tartozik (és nem csak a ransomware-ek kapcsán), hogy a kritikus fontosságú adatokról rendszeres mentéseket kell készíteni. Magánszemélyek esetében szóba jöhetnek az optikai lemezek vagy a külső meghajtó, amit csak a mentés idejére csatlakoztatnak, esetleg egy felhő alapú backup-szolgáltatás. Vállalatoknál, szervezeteknél komolyabb mentési stratégiát kell kidolgozni, de az sem ördöngösség.

A mentés viszont csak a helyreállítást segíti, a fertőzéstől nem véd meg – hívta fel a figyelmet Nemes Dániel, a Biztributor elnöke. Jellegüket tekintve a ransomware-ek a hagyományos vírusok utódai (nem specializáltak, tömegesen vetik be őket, hogy megkeressék a gyengén védett célpontokat), ám a hagyományos vírusirtókkal nehéz megfogni őket. Az egyik lehetséges megoldás a reputáció alapú vizsgálat: a kártevőt összevetik a biztonsági gyártó adatbázisával, amely arról tájékoztat, hogy az adott fájl mennyire elterjedt, mennyire megbízható. Egy új zsarolóvírus szinte biztosan alacsony besorolást kap, mert nem ismert, ezért blokkolják is a működését.

Nagymértékben növeli a védelem szintjét, ha egyidejűleg több vírusmotort vet be a cég. Ezen a téren kiemelkedik az Opswat cég (egyébként Magyarországon fejlesztett) terméke, amelyben 30-nál is több vírusmotorból is választhat a felhasználó. Nemes Dániel szerint 12-16 motor már megbízható védelmet nyújt: ennyi között biztosan akad olyan, amely néhány órával a megjelenése után felismeri és kiszűri az új zsarolóvírust. A lényeg az, hogy a felhasználók tisztában legyenek vele: léteznek legjobb gyakorlatok a zsarolóvírusok ellen, csak éppen alkalmazni kellene őket, vonta le a következtetést Nemes Dániel.

 

Fizetni vagy nem fizetni?

No de mit tegyen, aki minden óvintézkedés ellenére mégis zsarolóvírus áldozata lett? A legelső teendő a fertőzött számítógép izolációja: azonnal le kell választani a hálózatról (a wifiről is), és ki kell húzni az esetleg csatlakoztatott külső meghajtókat. Rá lehet keresni, hogy létezik-e helyreállító program, amivel fizetés nélkül vissza lehet nyerni a fájlokat, de ennek viszonylag kicsi az esélye.

Ezután az a kérdés, hogy érdemes-e fizetni? A bűnüldöző szervek hivatalosan senkinek nem tanácsolják, hogy fizessen. Sokan mégis megpróbálkoznak ezzel, hiszen bizonyos esetekben a vállalkozás léte is múlhat rajta. Többnyire azonban ez sem segít. „Tisztában kell lenni azzal, hogy nem úriemberekkel üzletelünk. Felmérések szerint a fizetni hajlandó áldozatok alig 5-10 százaléka kap használható feloldókulcsot”, említett egy rémisztő adatot Csizmazia-Darab István. Talán ezért is van, hogy viszonylag kevés áldozat fizet – a Sicontact adatai szerint 3-5 százalék között van az arányuk.