Mi az a ransomware?

A ransomware, magyarul zsarolóvírus egy olyan kártékony szoftver (malware), amely:

  • lezárja a felhasználó fájljait, méghozzá gyakorlatilag a visszaállítás lehetősége nélkül,
  • fajtától függően blokkolja az áldozat hozzáférését a számítógéphez,
  • az okozott károk visszafordításáért minden esetben váltságdíjat követel. A váltságdíj összege az adott vírus típustól függ, de többnyire több tíz illetve százezer forintnak megfelelő Bitcoin. A zsarolóvírusok, sok más malware-hez hasonlóan, képesek lehetnek az áldozat érzékeny személyes adatainak megszerzésére (jelszavak, banki belépési adatok), a védelmi szoftverek (antivírus, Anti-Spyware stb.) leállítására, megtévesztő figyelmeztetések megjelenítésére és más kéretlen tevékenységekre is.
A legelső ismert ilyen program az 1989-es AIDS (más néven PC Cyborg Trojan) volt, ami az AUTOEXEC.BAT állományon keresztül fertőzve titkosította a fájlneveket, és 189 dollár "licencmegújítási díjat" követelt egy panamai postafiókba. A malware első képviselői Oroszországban jelentek meg, de azóta a világ minden táján felbukkantak és kíméletlenül gyűjtik az áldozataikat.

A ransomware-ek típusai

  • Fájltitkosító ransomware-ek: Ez a ransomware változat főként trójai vírusok, email mellékletek, népszerű programok (Adobe Flash, Microsoft Office...stb) sebezhetőségeit kihasználva terjed. A rendszerbe jutva gyors sebességgel megkeresi és titkosítja a személyes fájlokat. (fotókat, képeket /JPEG, PNG, BMP, JPG/, zenéket (MP3, WAV, MP4, WMA), videókat (MP4, AVI, FLV, MPEG, WMV), üzleti adatok) A titkosítást követően a zsarolóvírus egy figyelmeztető ablakot jelenít meg, amely azt állítja, hogy az adatok visszaállításának egyetlen módja a váltságdíj kifizetése. Az új típusú zsarolóvírusok már képesek a teljes merevlemezt is titkosítani. (Petya)
  • Nem titkosító ransomware: Ez a típusú ransomware a teljes rendszert lezárja, és kitalált „büntetés” megfizetésére próbálja rávenni az áldozatot. Ehhez valamilyen bűnüldöző hatóság üzenetének adja ki magát (FBI, CIA, Nemzeti Nyomozó Iroda, Rendőrség). Amint a rendszerbe jut, megkeresi az illegális fájlokat. (torrentről vagy egyéb fájlmegosztó oldalról származó fájlok) Ezt követően a vírus lezárja a rendszert és látszólag valamilyen bűnüldöző hatóságtól származó figyelmeztetést jelenít meg. A rendszer átvizsgálása során megtalált fájlokat mind bizonyítékként sorolja fel. Továbbá tájékoztatja az áldozatot arról, hogy ha nem fizeti ki a követelt büntetést, akár börtönbe is kerülhet.
  • Böngészőlezáró ransomware: Ez a ransomware típus nem fertőzi meg a teljes rendszert. Egy Javascript segítségével egyszerűen blokkolja a böngészőket, és figyelmeztető üzenetet jelenít meg. A megtévesztő üzenet nagyon hasonlít a nem titkosító ransomware-ek által megjelenített típusokhoz. Többnyire illegális tevékenységeket sorol fel, és a börtönbüntetés elkerülése érdekében büntetés megfizetését kéri. Az ilyen ransomware-eknek természetesen semmi közük sincs sem az FBI-hoz, sem az Europolhoz, sem más hivatalos szervezethez.

Jelentősebb ransomware variánsok

Magyar Rendőrség vírus - 2012 november körül jelent meg

  • Az áldozat gépének képernyőjére egy üzenet töltődik be, amely szerint a "Magyar Rendőrség Osztály Elleni Kiberbűnözés" zárolta a számítógépet, mivel azon illegális tartalmak találhatóak. Az üzenet szerint a gép feloldásához meghatározott összeget szükséges Ukash vagy Paysafe utalással befizetni.

  • A vírus letilt minden programot, és nem hagy semmilyen lehetőséget arra, hogy ezt az oldalt bezárjuk. A még hatásosabb pánik keltés érdekében, csinál egy fotót is a webkameránkkal (már akinek van) és kiteszi.


Nemzeti Nyomozó Iroda vírus - 2013 szeptember körül jelent meg

  • Működése hasonló a Magyar Rendőrség vírushoz, annak egy új variánsa.

  • Az áldozatok képernyőjén hirtelen feltűnik egy üzenet, ami néhány komolynak látszó rendőrségi és belügyminisztériumi logó kíséretében arra figyelmezteti a felhasználót, hogy tömeges spamküldésre és gyerekpornóra utaló nyomokat is találtak számítógépén.


CryptoLocker - első változatot 2013 szeptemberben írták

  • Leggyakrabban emailben fertőz.

  • Ha a felhasználó rákattint az emailben található csatolmányra, akkor a ransomware rögtön elkezdi feltérképezni a hálózati meghajtókat, átnevezi a fájlokat és mappákat, és titkosítja azokat.


Locker - első változatot 2013 decemberben írták

  • 150 $ kellett fizetni a feloldó kulcsért, a pénzt a Perfect Money rendszeren vagy virtuális egyszer használatos VISA kártyán kellett elküldeni.


CTB-Locker (Curve-Tor-Bitcoin Locker) - 2014 nyarán fedezték fel

  • Az első fertőzések Oroszországban jelentek meg. A készítők valószínűleg egy kelet-európai országból származnak.


CryptoWall - a CryptoDefense nevű változat fejlesztésével jött létre 2014 áprilisában

  • A JAVA program biztonsági réseit kihasználva terjedt.

  • Fertőzött hirdetésekbe ágyazott nagy látogatottságú weboldalakon keresztül terjedt (Disney, Facebook, The Guardian) és rengeteg látogató számítógépét, fájljait titkosította.

  • A Dell SecureWorks Counter Threat Unit (CTU) 2014. szeptemberi jelentése szerint a CryptoWall az eddigi legnagyobb és legpusztítóbb ransomware ami megjelent az interneten és roham tempóban terjedt. 2014. március közepe és 2014 augusztus 24 között több mint 600.000 számítógépet fertőzött meg, 5250000000 fájlt titkosított. 1683 áldozat (0,27%) fizetett összesen 1.101.900 $ váltságdíjat. Az áldozatok több mint a 2/3-a fizetett 500 $-nak megfelelő összeget, de a kifizetett összegek nagysága 200 $ - 10.000 $ -ig terjedt.


Cryptoblocker - új zsarolóvírus variáns, 2014 júliusában jelent meg

  • Csak a 100MB-nál kisebb fájlokat titkosítja és a "Program Files", "Windows" mappákat kihagyja.

  • Az AES helyett RSA titkosítást használ.


TeslaCrypt - az új CryptoWall variáns 2015 februárjában bukkant fel

  • Céljai között a népszerű számítógépes videojátékok, úgy mint a Call of Duty, Minecraft, a World of Warcraft, és Steam fájljainak titkosítása volt.


Locky - 2016 februárjában jelent meg

  • Kártékony Word dokumentumba ágyazott makró segítségével terjed spam e-mailek csatolmányaként. A Locky ransomware-t szállító e-mailek rendszerint valamilyen számlának adják ki magukat.

  • Ha az áldozat engedélyezi a makrót, akkor a Word dokumentumba rejtett kártékony kód aktiválódik, és telepíti a Locky ransomware-t.

  • A fertőzés után átvizsgálja a rendszert, megkeresve a hangfájlokat, dokumentumokat, videókat, képeket, adatbázisokat, archívumokat és más fájltípusokat is, továbbá a csatlakoztatott külső tárolókat és a hálózati meghajtókat is átnézheti.

  • AES titkosítási algoritmust használ, továbbá törli az árnyékmásolatokat (a kötetpillanatkép-szolgáltatás mentéseit) is, amelyekkel visszaállíthatók lennének az adatok.


Petya - 2016 március végén jelent meg

  • A támadó egy hitelesnek tűnő e-mailt küld, ami állásra való jelentkezésnek tűnik. Ebben útmutató is van a kapcsolódó önéletrajz letöltéséhez, egy Dropbox-fiókon keresztül.

  • Átveszi az uralmat a rendszerbetöltési folyamat fölött, és a teljes gépet zárolja. Míg más ransomware a fontos fájlokat keresi és titkosítja, addig ez a teljes meghajtót veszi célba.

  • Az önéletrajz a ransomware, amely azonnal tönkreteszi a bootrekordot, és kikényszeríti az összeomlást. Az újrainduláskor egy üzenet jelenik meg, amely szerint hibajavításokra van szükség, a folyamat több órába telhet. Ekkor a teljes meghajtót titkosítja a kártevő. A következő rendszerbetöltés alkalmábval már a szomorú üzenet várja a felhasználót: fizessen váltságdíjat a Tor böngészőn keresztül, vagy mindene oda van. A váltságdíj hét nap után duplázódik.


CrySiS - 2016 elején jelent meg

  • 2016 elején az ESET antivírus cég fedezte fel először. Ahogyan minden más ransomware típusú fertőzés, a CrySiS is titkosítja a fájlokat, beleértve a fotókat, a zenéket, az üzleti dokumentumokat és minden egyebet is. Felépítése a Locky ransomwarehez hasonlít.

  • A víruskészítők CrySiS ransomware decryptor néven megoldást kínálnak azoknak, akik mindenképpen vissza akarják kapni a fájlokat. Ez persze egy fizetős szoftver, ráadásul nincs garancia arra, hogy tényleg visszafejti a fájlokat, ezért semmiképp ne fizessen.

  • Az önéletrajz a ransomware, amely azonnal tönkreteszi a bootrekordot, és kikényszeríti az összeomlást. Az újrainduláskor egy üzenet jelenik meg, amely szerint hibajavításokra van szükség, a folyamat több órába telhet. Ekkor a teljes meghajtót titkosítja a kártevő. A következő rendszerbetöltés alkalmábval már a szomorú üzenet várja a felhasználót: fizessen váltságdíjat a Tor böngészőn keresztül, vagy mindene oda van. A váltságdíj hét nap után duplázódik.


HydraCrypt - 2016 elején jelent meg

  • A HydraCrypt egy rendkívül veszélyes számítógépes vírust takar, amely az áldozat minden személyes fájlját titkosítani képes. Amint a vírus a rendszerbe jut, megkeresi a videó-, kép, szöveg és zenefájlokat, majd egy rosszindulatú algoritmussal titkosítja őket. Sőt, a vírus titkosítani tudja a programok beállításait, a lomtár tartalmát és a rendszervisszaállítási mentéseket tartalmazó mappákat is.

  • A HydraCrypt, ahogyan a legtöbb vírus, trójai falóként terjed. Ez azt jelenti, hogy megbízható fájlnak látszódva próbál a rendszerbe jutni, például e-mailben; emellett persze más fertőző programok is a rendszerbe juttathatják.



Cerber - 2016 elején jelent meg

  • A Cerber vírus egy kártékony szoftver, amely az AES titkosítási algorítmus segítségével lezárja az áldozat adatait. Ahogyan a többi ransomware azaz zsarolóvírus esetében is, a Cerber vírus is spam e-mailek kártékony mellékleteként terjed.

  • A vírus nagyon érdekes tulajdonsága, hogy nem támad meg olyan számítógépeket, amelyek a következő országokban vannak: Azerbajdzsán, Örményország, Grúzia, Fehéroroszország, Kirgizisztán, Kazahsztán, Moldova, Türkmenisztán, Tádzsikisztán, Oroszország, Üzbegisztán, Ukrajna.

Mit okoznak a ransomware-ek?

  • A ransomware vírusok titkosíthatják az áldozat adatait, például az üzleti dokumentumokat, a videókat és a fotókat is. Ezt követően a fájlok visszaállításáért cserébe váltságdíjat követelnek.
  • Az ilyen vírusok előre meghatározott dokumentumokat, multimédiás fájlokat és más fontos adatokat pusztíthatnak el. Természetesen akár elengedhetetlen rendszerkomponenseket vagy más szoftverek fontos elemeit is törölhetik.
  • A zsarolóvírusok emellett képesek lehetnek felhasználónevek, jelszavak, értékes dokumentumok, személyazonossági információk és más érzékeny adatok eltulajdonítására is. Az adatokat az interneten keresztül távoli szerverre továbbítják.
  • Ransomware-fertőzés esetén a rendszer szinte teljesen használhatatlanná válhat. Az ilyen fenyegetések a rendszer általános teljesítményét is ronthatják.
  • A ransomware-ek és a crypto-ransomware-ek pillanatok alatt leállíthatják az antivírus, antispyware és más biztonsági programokat, lerombolva ezzel az alapvető rendszervédelmet.
  • A ransomware-eknek természetesen nincs beépített eltávolítási funkciójuk. A hozzájuk tartozó folyamatokat, fájlokat és egyéb elemeket is elrejtik, hogy még nehezebbé tegyék az eltávolítást.
Egyértelmű, hogy a ransomware-ek nagyon veszélyesek. Habár saját magukat nem terjesztik, a megtámadott rendszerben komoly problémákat okozhatnak. Elengedhetetlen adatokat tehetnek hozzáférhetetlenné, a teljes rendszert működésképtelenné tehetik, sőt, személyes adatokat tulajdoníthatnak el. Nagyon fontos, hogy NE fizesse ki a követelt váltságdíjat, mert ez nem segít a fertőzés eltávolításában és az adatok visszaállításában.

MEGELŐZÉSI TANÁCSOK

1.    Külső adatmentés, szalagos mentés, mentési rendszer

Rendszeresen OFFLINE MENTSÜK a legértékesebb adatainkat külső adathordozóra (DVD, külső háttértár, egyéb külső meghajtó), amelyek nincsenek csatlakoztatva a számítógéphez.

HASZNÁLJUNK szalagos mentést, mert szalagos mentési rendszer esetén a lementett adatokat a szalagos technológiából fakadóan a zsaroló vírus nem képes titkosítani.

Kiszámítható MENTÉSI RENDSZERT vezessünk be:

  • inkrementális mentés a hét minden napján,
  • hétvégén teljes heti mentés,
  • négyhetente havi mentés.

TÁROLJUK a havi mentéseket fizikailag is biztonságos külső helyen.

2.    Folyamatos frissítések, többrétegű vírusvédelem

Lássuk el AKTÍV VÍRUSVÉDELEMMEL a számítógépünket vagy egyéb BYOD eszközünket (mobil telefon, tablet stb).

nyilA mai zsaroló vírusokkal elkövetetett támadások számos összetevőből épülnek fel: a támadás kezdődhet egy egyszerű spam levéllel, amelyben egy linkre kattintva a kártékony kód átirányít bennünket egy fertőzött weboldalra, ahol kihasználva a sérülékenységeit a rendszernek, a zsaroló vírus letölti magát.

Alkalmazzunk TÖBBRÉTEGŰ HÁLÓZATI VÉDELMET.

A vírusírtó (anti-malware szoftver) kiválasztásánál ezért preferáljuk a többrétegű védelemmel rendelkező verziót:

  • hálózati védelemmel (hálózati adatforgalmat figyelő behatolás megelőző funkcióval)
  • fájl védelemmel (a hagyományos vírusvédelmi funkciók mellett viselkedéselemző/viselkedésfigyelő, illetve karantén és/vagy törlő funkcióval).

TELEPÍTSÜNK mobil eszközeinkre megbízható mobil biztonsági alkalmazást.

nyil

Kerüljük el a megbízhatatlan, nem hivatalos weboldalakról történő ingyenes
biztonsági termékek letöltését.

FRISSÍTSÜK rendszeresen a kiválasztott és feltelepített biztonsági szoftver vírusleíró adatbázisát, naprakész védelmi rendszerrel rendelkezzünk a megújuló vírusok ellen.

Biztonsági szoftvereinknél lehetőség szerint a legújabb termékverziót használjuk.

FRISSÍTSÜK az operációs rendszert és a böngészőt és bővítményeit, amelyek szintén a kártékony programok célpontjai.

nyilA kártékony kódok nem csak a közvetlenül meglátogatott fertőzött weboldalon keresztül aktiválódhatnak. Előfordulhat, hogy legális és jól ismert weboldalak meglátogatásakor egy beépített rejtett kártékony hirdetés vagy iFrame átirányítja a böngészőnket egy rosszindulatú weboldalra.

Számos ismert szoftver a kártékony kódok célpontjai. A szoftvergyártó cégek naprakész automatikus frissítéseket adnak ki, amelyek elérhetők az alábbiak szerint:

ADOBE

https://helpx.adobe.com/security.html

MICROSOFT

https://technet.microsoft.com/en-us/security/bulletin/

ORACLE

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Tűzfal

Védjük az informatikai rendszereinket megfelelő TŰZFAL BEÁLLÍTÁSOKKAL.

nyilA tűzfal alkalmas arra, hogy figyelmeztetést adjon le és megakadályozza, hogy a biztonsági szoftverünket is megkerülő zsaroló vírus rácsatlakozzon a  Command and Control (C&C) szerveréhez és aktiválja a fájlok zsaroló célú kódolását.

Fedjük fel a REJTETT FÁJLKITERJESZTÉSEKET.

nyilVáltoztassuk meg a Windows alapbeállításait oly módon, hogy az ismert fájlkiterjesztések megjelenítése engedélyezett legyen. A titkosító vírus gyakran érkezik e-mailben küldött “.PDF.EXE” kiterjesztésű fájlban. A beállítással a gyanús fájlok beazonosíthatóvá válnak.

Tiltsuk le az RDP-t (távoli asztali kapcsolatokat) és a NEM HASZNÁLT FUNKCIÓKAT.

nyilA cryptolocker (fájlkódoló) szoftverek gyakran RDP kapcsolatokon
keresztül is fertőznek.

Vírustámadás után gondoskodjunk a KÁRENYHÍTÉSRŐL.

  • Állítsuk be a számítógépen a „Visszaállítási pont létrehozása” funkciót. A funkció segítségével ugyan nem lehet teljes adat helyreállítást generálni, de alkalmazásával és speciális megoldásokkal részleges adat helyreállítást érhetünk el, egyes fájltípusokat a kártevő által végzett titkosítás után is helyre tudunk állítani.
  • Vírustámadás esetén izoláljuk a számítógépet. A fertőzött gépet ne csatlakoztassuk számítógépes hálózathoz (vezetékes, wifi) a többi számítógépen lévő adat védelme érdekében.
  • Hordozható adattároló (Pendrive, külső merevlemez) csatlakoztatása szintén kockázatos a további fertőzés terjedése miatt.
  • A kárelhárítás után a meghajtó teljes formázása indokolt, de a feladattal bízzunk meg szakembert.
  • Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után próbálkozzunk adatainkat az archív mentésekből helyreállítani.

3.    Szabályozás

A védelem érdekében szigorú szabályozást kell kialakítani, amit be is kell tartatni az érintett munkatársakkal.

4.    Oktatás, tudatosítás

Ahhoz, hogy a szabályozással elérni kívánt cél és a tudatos IT felhasználás megvalósuljon, folyamatos oktatást és tudatosítási kampányokat ill. ezekhez kapcsolódó könnyen érthető tájékoztató anyagokat kell megosztani a felhasználói körrel.

  • Ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg ha ez tömörített állomány
  • Munkahelyünkön figyelmeztessük azon kollégáinkat a veszélyekre, akik főleg külső irányból kapják leveleik többségét (pl. pénzügyi vagy HR osztály)

nyilA vírusok folyamatosan módosulnak, ezért fontos, hogy mindig naprakész legyen a tudásunk az újonnan megjelenő fenyegetettségekkel szemben. A felhasználóknak ismerniük kell a vírus működését és terjedését, valamint azokat a technikákat, amelyeket a kártékony kód alkalmaz (pl. a spam e-mailekben alkalmazott megtévesztő kampányok). Ezeknek a támadási módozatoknak az ismeretével a felhasználók könnyebben tudják felismerni és elkerülni a jövőbeni fenyegetettségeket..

Teendők a fertőzés után

A ransomware fertőzések kapcsán fontos, hogy ne fizesse ki a követelt összeget. Ne dőljön be az üzeneteknek sem, miszerint valamilyen állami szervvel van dolga. Az antivírus és antispyware szoftverek nem képesek a titkosított állományok megtisztítására. Amennyiben valamilyen oknál fogva a rendszerét már megtámadta a ransomware és a fájljai titkosítva lettek, a következő szerint járjon el:

1. Fontos, hogy a fertőzés után mielőbb állítsuk le az eszközt és ne történjen írás, olvasás rajta, mert ezzel jelentősen csökken a visszaállítás lehetősége! Ne próbálkozzon vírusirtó program telepítésével, mert a titkosított fájlokat már úgy sem lehet visszaállítani vele.

2. Írja össze, határozza meg azoknak az adatoknak a körét, melyeket szeretne visszaállíttatni. (fájltípusok, könyvtárak elérési útvonala)

3. Vegye fel velünk a kapcsolatot az alábbi gombra kattintva

Szolgáltatásaink

Adat-visszaállítás

Fontos céges fájlok, pótolhatatlan családi képek vagy személyes fájlok fertőződtek meg és szeretné visszakapni őket? Van rá megoldás! Cégünk egy saját, egyedülálló eljárást kifejlesztve képes a legtöbb ransomware által titkosított fájlt visszaállítani.

Tanácsadás

Magánszemélyek, cégek, közületek számára dolgozunk ki és vezetünk be védekezési stratégiákat, ezzel minimalizálva a károkat. A szervezet alapos információbiztonsági átvilágítását követően javaslatokat teszünk, elkészítjük a szükséges dokumentációkat, cselekvési tervet.

Üzemeltetés

Cégünk határvédelmi és hálózatvédelmi eszközök, szerverek, végpontvédelmi megoldások telepítését, üzemeltetését vállalja.

Oktatás

Az oktatás célja, hogy a felhasználók elsajátítsák az informatikai biztonság alapjait és az őket érintő fenyegetettségek felismerésének és elhárításának eszközeit.

Áraink

Felmérés, bevizsgálás

40.000 Ft + ÁFA (az ár 1 db önálló eszközre /hdd, pendrive..stb/ érvényes)
Összetettebb rendszerek (RAID tömb, hálózati storage), több eszköz esetén minden esetben egyedi árajánlatot adunk.

Adat-visszaállítás

Az adat-visszaállítás díja függ a fájlok számától és a tároló egység nagyságától, de általában 40.000 – 200.000 Ft + ÁFA összegig terjed.
Amennyiben a felmérés után velünk kívánja visszaállíttatni a fájljait, úgy a bevizsgálás költsége (40.000 Ft + ÁFA) levonódik a végösszegből, tehát annyival kevesebbet kell majd fizetnie.

Hírek

A Fehér Házat is zsarolóvírusokkal bombázzák

A kórházak után még jelentősebb intézményeket próbálnak ellehetetleníteni a zsarolóvírusok: a Fehér Ház informatikai rendszerét hullámokban támadták.

Régebbi androidos telefonokat támad most egy zsaroló vírus

Elvileg több millió androidos eszköz védtelen egy zsaroló vírussal szemben. A Blue Coat Systems nevű biztonsági cég hívta fel a figyelmet egy malware-re, amelyik androidos telefonokat vett célba. A készülék tulajdonosának nem kell semmit telepítenie, nem kell speciális dolgokat végrehajtania, viszont ha felkeres egy olyan weboldalt, amelyik tartalmaz egy bizonyos JavaScript kódot, akkor meg is […]

Magyar kórházakat támadnak zsarolóvírusokkal

Április elején mi is megírtuk, hogy zsarolóvírus fertőzte meg a veszprémi Csolnoky Ferenc Kórház informatikai rendszerét. Azóta kiderült, hogy más magyar kórházak is hasonlóan jártak, és világszerte egyre több kórháztól követelnek váltságdíjat a hekkerek. A trend olyan szembetűnő, hogy az amerikai kormány figyelmeztetést is kiadott. Ugyanakkor nem csak a kórházak problémájáról van szó, rengeteg közintézmény […]

További hírek

Statisztika

Fertőzött számítógépek száma (2015, Kaspersky)
753684
Ransomware variánsok száma (2015, McAfee Labs)
4300000
Ransomware által okozott károk mértéke dollárban (folyamatosan növekszik)
325000000
A Los Angeles-i kórház által fizetett váltságdíj az emailekért és beteg adatokért (dollárban)
17000