A kiberbűnözésben nincsen semmi új, a legnagyobb vállalatok és magánszemélyek épp úgy áldozatai már évtizedek óta – a módszerek viszont változnak. A biztonsági szakemberek és bűnözők közötti fegyverkezési verseny egyik viszonylag új terméke a zsarolóvírus, ami 2020-ra már eljutott oda, hogy szinte a mindennapok részévé vált a cégek számára.

Korábban már írtunk arról, hogy a legtöbb cégnél egyébként is gyerekcipőben jár az online biztonság, az egyre szélesebb körben terjedő home office pedig különösen könnyű támadófelületet biztosít. A legtöbb betörés  céges adatok megszerzésére irányul, és nagyon sok esetben az a cél, hogy az érintett vállalatok konkrétan váltságdíjat fizessenek az adataik visszaszerzéséért.

A zsarolóvírusok (ransomware) jelenlétét jó eséllyel észre sem veszed addig, amíg nem találkozol a váltságdíjat követelő üzenettel. De hogyan kerülnek ezek a gépedre, és hogy férnek hozzá az adatokhoz?

Így nyerhetsz egy zsarolóvírust

Ne legyenek illúzióid, ezt a vírust biztosan nem véletlenül kapod egy olyan oldalról, amit nem kellett volna megnyitni. A zsarolóvírusokat általában előre eltervezve juttatják a célpont gépére vagy gépeire.

A ransomware a háttérben, észrevétlenül fut, és szépen lassan zárolja vagy titkosítja a fájlokat, így nem férhetsz hozzájuk. Ha észre is veszed még viszonylag hamar, hogy valami nem stimmel, nem sok mindent tehetsz ellene. A folyamat végén általában megjelenik egy képernyő, ami közli veled, hogy váltságdíj ellenében visszakaphatod a hozzáférést mindenedhez.

Sok esetben a fájlokról másolatot is készítenek a zsarolók saját szervereikre, és ezek törléséért újabb összegek kifizetését kérik.

A gond csak az, hogy mindezt senki sem garantálja. Tehát amellett, hogy kifizetsz egy igen jelentős összeget, az is lehet, hogy továbbra sem kapod vissza az adataidat, rá vagy utalva a zsarolók jóindulatára.

Hogyan kerülnek ezek a vírusok a gépedre?

A bűnözők többféle módszert használhatnak arra, hogy a célpont gépére eljuttassák a zsarolóvírust:

• Küldhetik e-mailben, csatolmányként. Persze nem most jöttél a falvédőről, hogy mindent ész nélkül megnyiss – annyit mindenki tud a vírusokról, hogy gyakran gyanús linkek és csatolmányok formájában érkeznek, ezért nem kattintgatsz csak úgy rá a mellékletre egy random levélben. Az a baj, hogy ezt a támadók is tudják, ezért úgy fogalmazzák meg a levelet, hogy azt hidd, valódi. Számlákra, hivatalos dokumentumokra hivatkoznak, hogy ne legyenek gyanúsak, a céges címekhez megtévesztően hasonló domaineket használnak a küldésre és így tovább.
• Távoli munkavégzéshez használt RDP-n (Remote Desktop Procedure) keresztül jutnak be az egyik gépbe, amin keresztül a többit is tudják támadni. Éppen ezért, nem győzzük hangsúlyozni a megfelelő erősségű jelszavak használatának, azok biztonságos kezelésének, valamint a saját belső, kódolt hálózatok (VPN) használatának fontosságát.
• A klasszikus módszer: népszerű oldalakon megjelenő hirdetésekben van a vírus. Rákattintasz a hirdetésre, és már töltődik is le a számítógépedre, tabletedre, bármilyen eszközödre.
• Előfordulhat az is, hogy feltörnek egy népszerű oldalt, és azon keresztül terjesztik a vírust. Ez történt például 2015 decemberében, amikor a The Independent blogoldalát törték fel, és használták arra, hogy rengeteg gépre juttassák el a TeslaCrypt 2.0 nevű zsarolóvírust.
• Gyakori, hogy drága szoftverek, keresett könyvek, ismert prémium bővítmények, népszerű tanfolyamok anyagait kínálják “ingyen”. Óóó milyen jól hangzik ugye? Ne legyenek illúzióid: A letöltött adatok között ott lapulnak már a leütéseket naplózó kártékony kódok, sőt sokszor maga a zsarolóvírus is. Ezeket pedig az “ingyen” zsákmány látszatától megrészegülten Te magad telepíted a rendszerbe, s ezzel egyidőben egy – a szoftver irányítói által – zombigépes hálózat részéve teszed a gép(ei)d.

Miért nem jelez a vírusírtó?

Jogos kérdés, hogy ha van vírusvédelmi szoftver az eszközödön, akkor az vajon miért nem jelzi, hogy egy zsarolóvírus van a gépen. Nos, azért, mert a támadók sokszor egyszerűen kikapcsolják a szoftvert, amikor bejuttatták a vírust, de az még nem kezdett el dolgozni. Így esély sincs arra, hogy a vírusirtó reagáljon.

A vírusvédelem kikapcsolása után a zsarolóvírus zavartalanul tud minden meghajtón és tárhelyen titkosítani, zárolni mindent. A merevlemezen, a pendrive-on, külső tárhelyen, akár még a felhőben is.

Vannak ugyanakkor jelei annak, hogy ransomware támadta meg a gépedet, de nagyrészt szerencse kérdése, hogy észreveszed-e őket.

Ilyen jelek lehetnek a következők:

• fájlok kiterjesztése megváltozik (jellemzően .rar-ra),
• megváltozik a nevük, e-mail címekkel, azonosító kódokkal egészülnek ki,
• nem lehet a fájlokat rendesen megnyitni, csak random karaktereket találunk a helyükön,
• intő jel lehet az is, hogy az operációs rendszer elindítása a szokásosnál jóval tovább tart, közben pedig a rendszer láthatóan nagyon dolgozik.

Mit tegyél, ha rájöttél, hogy zsarolóvírussal állsz szemben?

Ha találkoztál a fizetésre felszólító képernyővel, logikus, hogy rögtön elkezdesz a megoldáson gondolkodni. Az első teendő, hogy mentsd, ami még menthető. Ennek érdekében a fertőzött gépet azonnal válaszd le a hálózatról, hogy a vírus ne terjedhessen tovább.

Persze első körben igyekszel a vírust eltávolítani, ez azonban laikusként szinte esélytelen vállalkozás. Hozzáértő azonosíthatja a ransomware-t, és elképzelhető, hogy hatástalanítani is tudja, de sajnos ez igen ritkán sikerül. Marad az az opció, hogy megpróbálod megváltani az adataidat.

Fizessek vagy ne?

Amikor rájössz, hogy zsarolóvírus áldozata vagy, az első kérdésed, hogy most mit tegyél? Kifizesd a követelt összeget? Ne fizess? Ha fizetsz, vissza fogod kapni a zárolt fájlokat, adatokat?

Nos, ez utóbbira nincs biztosíték. Senki nem tudja neked garantálni, hogy ha kifizeted a bűnözők által követelt összeget (általában kriptovalutában, leggyakrabban Bitcoinban kérik, hogy ne legyen követhető), akkor tényleg visszakapsz mindent.

Ha volt legalább egy, különálló helyen tárolt mentésed, akkor ez most nagyon sokat spórolt neked. Biztonságos módon, anélkül, hogy bármelyik addig használt eszközödet ehhez igénybe vennéd (pl. eszedbe ne jusson a gépedbe betenni a külső meghajtót, vagy pendriveot!) juttasd el ezt a szakembereknek.

Ha sehol nincsenek meg az adatok, nos akkor a helyzet közel sem rózsás. A legjobb megoldás, ha először hozzáértők megvizsgálják, hogy van-e bármi lehetőség arra, hogy a bűnözőket kijátszva fejtsék vissza az elkódolt állományokat. Amennyiben nincs, lehet gondolkodni a fizetésen.

A jó hír, hogy legtöbbször visszaadják a zárolt fájlokat, mert így biztosítják, hogy az áldozatoknak megérje fizetni. Gondolj bele, ha elterjedne, hogy úgysem kapsz vissza semmit, ki fizetne nekik? Egy idő után valószínűleg senki, így pedig nem lenne túl jövedelmező vállalkozás a kiberbűnözés. Éppen ezért, az ő érdekük is, hogy visszakapd, amit elvettek tőled. Ennek ellenére persze van példa az ellenkezőjére, és arra is, hogy vissza akarták szolgáltatni az adatokat, de programozási hiba miatt nem sikerült.

A kockázat tehát mindig ott van, de nyilván van az a szint, amikor az ember inkább vállalja, hogy talán fölöslegesen fizet, mint azt, hogy biztosan nem kap vissza semmit.

Sok zsarolóvírusokkal dolgozó csapat ma már szinte cégként működik – anonim, lekövethetetlen módon, de szigorú belső hierarchia alapján, sokszor még ügyfélszolgálatot, supportot is biztosítanak, lehetőséget adnak az alkudozásra, ironikus módon még biztonsági tippekkel is ellátnak, hogy legközelebb ne légy könnyű célpont.

Mégis mekkora károkat tud okozni egy zsarolóvírus?

Nehéz számszerűsíteni, hogy a zsarolóvírusok mennyivel is rövidítik meg a cégeket, mert az, hogy mennyi a váltságdíj, csak egy dolog. Ott van még az is, hogy a helyreállításra mennyi pénzt költenek el a vállalatok, valamint mennyi időre bénítja meg őket az adataik hiánya, és ez mennyi veszteséggel jár.

A pontos összegek nyilván függnek attól, hogy mekkora cégekről van szó – a kiberbűnözőknek sem éri meg akkora pénzt kérni a vállalatoktól, amekkorát egész egyszerűen nem tudnak kifizetni, ezért a cég nagyságához, piaci helyzetéhez igazítják a váltságdíj mértékét.

Magyarországon 1-5 millió forintos váltságdíj jellemző, Amerikában mintegy 13 000 dollár az átlag, amit keresni szeretnének a támadók. Ezek sem kis összegek, de az előbb említett okokból az érintett cégeknek sokkal többe kerül egy-egy ilyen támadás.  Nagyobb cégeknél viszont, ahol a nyilvánosan elérhető adatokból több százmilliós bevételt látnak, akár tízmillió dollárt is kérhetnek a titkosítás feloldásáért.

Hogy a tényleges kár mekkora lehet, az is nagymértékben múlik azon, hogy ki az áldozat. A jelenlegi rekorder Baltimore városa, melynek 2019-ben támadta meg a rendszerét egy zsarolóvírus. Noha a követelt váltságdíj „csak” 76 000 dollár volt, a kiberbűnözők 1 hónapig tartották sakkban a város számítógépes rendszerét, így végül az összes kár, ami keletkezett, meghaladta a 18 millió dollárt!

Felhívás keringőre

Nagyon sok biztonsági intézkedést tehetünk annak érdekében, hogy minél hatékonyabb védelmet biztosítsunk a számítógépes rendszereinknek. Sajnos a magyar cégekre annyira nem jellemző a tudatosság az online biztonság terén, hogy azt mondhatjuk, maguk adnak zöld utat a ransomware-eknek.

Könnyelműen kezelik a jelszavakat, nyílt hálózatokat használnak a céges gépekkel, vagy akár bent az irodában is. Mindenféle oldalt megnyitnak azon kívül, ami a munkavégzéshez kell, senki sem ellenőrzi, ki mit csinál a céges gépeken.

Nincs normális, egységes vírusvédelem, nincsenek biztonsági mentések (másik hálózaton/gépen/eszközön), elavultak a programok, az operációs rendszerek és így tovább. Napestig lehetne sorolni, milyen biztonsági hibákat követnek el a cégek, amikkel gyakorlatilag meghívót küldenek a kiberbűnözőknek.

A megelőzés lenne a kulcs

A zsarolóvírusok esetében a legjobb védekezés a megelőzés. Sajnos az a helyzet, hogy amikor a zsarolóvírus már ott van a gépeden, és elkezdett működni, nem sokat tehetsz. Lehet próbálkozni, de nem túl gyakori az az eset, amikor sikerül mindent visszaállítani anélkül, hogy fizetnél. A hatékony védekezést az ilyen jellegű támadások ellen a megelőzés jelenti – vagyis az online tér virágzásának korában itt az ideje, hogy elkezdj foglalkozni a céges online biztonsággal, ha eddig nem tetted.

Legjobb, ha szakember segítségét kéred a minél magasabb szintű biztonsági policy bevezetéséhez, ő ugyanis tudni fogja, hol vannak a rések a pajzson, és hogyan lehet erősíteni a védelmet. Ne akard a saját bőrödön megtapasztani, hogy ez a befektetés mennyire is éri meg! Alighanem elsőre egy jól kitalált, többféle eszközzel és megoldással végrehajtott mentési forgatókönyvet fognak neked javasolni! Lehet, ez igényel némi befektetést pl, pendriveok, céges NAS, külső HDD/SSD vagy esetleg felhős előfizetések formájában. Hidd el, ezek ára egy tényleges vészhelyzet (ami nem feltétlen kell zsarolóvírus legyen) esetén busásan meg fog térülni!

Hozzá kell tenni ugyanakkor, hogy nincs 100%-os védelem. Igaz, gyorsan fejlődik a technika, és egyre jobban be tudjuk magunkat biztosítani, de közben a bűnözők is fejlődnek. Ők a háttérben abba fektetnek nagy energiákat, hogy át tudjanak törni újabb és újabb biztonsági rendszereket, ezért még a legújabb, legtutibb védelem is csak egy ideig lesz teljesen megbízható. Emiatt kell több fronton védenünk magunkat – ez a legjobb esélyünk a kibertámadások ellen.