Vírusírtó Blog

Ne váljon zsarolás áldozatává az ünnepek alatt!

2015.12.22. 10:06 G Data

gdata_virusirto_logo.pngA fájlokat titkosító és a számítógépeket a felhasználók előtt lezáró kártevők a legveszélyesebbek közé tartoznak, mivel a kódolás feltörésére a legtöbbször nincs mód, és így adatainkat örökre elveszíthetjük.

 

Egy zsaroló vírus (angolul ransomware) ugyanazt teszi elektronikus formában, mint egy hagyományos bűnöző: elvesz tőlünk valamit, majd pénzt kér azért, hogy visszaadja. Ezek a kártevők két fő típusba sorolhatóak: az első a titkosító trójaiak, a második pedig a képernyőzárak.

 

A titkosító trójaiak módszeresen végigsöpörnek a merevlemezen, és úgy módosítják a dokumentumokat és a fotókat, hogy azok a titkosítás feloldásához szükséges kulcs nélkül soha többet nem lesznek megnyithatóak. A kulcsot a bűnözőktől vehetjük meg, jellemzően 150 ezer forint körüli összegért, de fizetni igen kockázatos, mivel jó eséllyel a pénzünk elveszik, de a kulcshoz nem jutunk hozzá. Más megoldás viszont nincs igazán: a feltörésre még egy szuperszámítógép birtokában sincs esélyünk.


A képernyőzárak jellemzően a teljes operációs rendszert zárolják, egészen addig, amíg a váltságdíjat ki nem fizetjük. Többségük valamilyen „hatósági figyelmeztetést” jelenít meg, amely arról tájékoztat, hogy a gépen „inkriminált” állományok találhatóak, és a „hatóság” eljárást kezdeményez, hacsak a felhasználó nem fizeti be a rá kiszabott „büntetést”.

 

cky693dk-1395345306.jpg

 Zsaroló kártevőkből több száz különböző változat létezik, a legismertebb titkosítók a Cryptolocker, a Cryptowall, a VaultCrypt és a CTB-Locker, a legelterjedtebb képernyőzár pedig az FBI Trójai, vagy más néven Reveton.

 

Miért terjednek olyan jól?

 

A zsaroló kártevők terjesztésére rendszerint az emberek megtévesztésének (social engineering) segítségével kerül sor. Az embereknek hajlamuk van arra, hogy segítsenek egymásnak, és motiváltak arra is, hogy elkerüljék a problémákat. A bűnözők pedig kihasználják ezeket a tulajdonságokat.
Egy tipikus példa a hamis megrendelési visszaigazolás. Ezekhez az e-mailekhez rendszerint csatolva van egy fájl, melyet az áldozatnak meg kell nyitnia. Ha valaki kap egy e-mailt, amely tájékoztatja arról, hogy a „rendelése megérkezett”, de nem emlékszik arra, hogy rendelt volna valamit, akkor hajlamos megnyitni a csatolmányt, hogy „megtudja a részleteket”.
Egy másik, tipikus módja a megfertőződésnek az, ha fertőzött weboldalra tévedünk. Ilyenkor nincs szükség semmilyen letöltésre, és arra sem, hogy valamire rákattintsunk, egyszerűen böngészés közben fertőződik meg a számítógépünk.

 

A vírusok működését segítik a külső alkalmazások sérülékenységei. A Word, az Adobe Acrobat, a Java vagy magának az operációs rendszernek a biztonsági rései kihasználhatóak a terjesztésükre.
A zsaroló kártevők működése ráadásul rendkívül gyors. A csatolmány megnyitása után néhány ezredmásodperccel már zárolásra kerülhet a gép, de a titkosító kártevők is hasonlóan gyorsak. Mialatt a titkosító komponens telepítésre kerül, a kártevő kapcsolatba lép a bűnözők szerverével, és letölti a titkosításra használt egyedi kulcsot. Amikor a zsaroló üzenet megjelenik a képernyőn, rendszerint már késő van mindenhez: a dokumentumok titkosításra kerültek.

 

Miért nem mindig segít a vírusirtó?

 

A vírusirtó szoftverek gyártói évek óta koncentrálnak arra, hogy blokkolják a titkosító kártevők működését. A védelem alapját még mindig a rendszeresen frissített vírusleírások (szignatúrák) képezik, de ezek rendszeres frissítése már messze nem elegendő a védelemhez. A proaktív, magatartás alapú védelem célja, hogy szignatúrák nélkül is felismerje a kártevőket, pusztán az alapján, ahogyan azok viselkednek a számítógépen.
Felmerülhet a kérdés, hogy miért nem létezik önálló védelmi program a zsaroló kártevők ellen. Technikailag lehetséges lenne elkészíteni egy olyan szoftvert, mely védelmet nyújt a legtöbb zsaroló kártevő ellen. A problémát az jelenti, hogy ez a szoftver annyira leterhelné – és így le is lassítaná – a számítógépeket, hogy a felhasználók nem szívesen telepítenék a gépükre. A feladat tehát a vírusirtó szoftverek készítői számára az, hogy úgy nyújtsanak maximális védelmet, hogy közben minimalizálják a szoftvereik erőforrásigényét.

 

fbi.png

Mit tehetünk a fertőzés megelőzésére?

 

Mivel a zsaroló kártevők által titkosított adatokat nem lehet visszanyerni, a legfontosabb mind az otthoni, mind a vállalati felhasználók számára, hogy folyamatosan biztonsági másolatokat készítsenek adataikról. Ideális esetben naponta készül ilyen másolat, melyet azután a számítógéptől teljesen külön tárolunk, ami azt jelenti, hogy a külső adathordozó sem vezeték nélküli, sem vezetékes hálózaton nincs összekapcsolva a számítógéppel. A feladat elvégzését megkönnyíti, hogy egyes vírusirtó szoftverekben (például G Data) beépített mentési modult találunk.

 

A G Data emellett azt tanácsolja, hogy folyamatosan telepítsük a külső alkalmazások és az operációs rendszer frissítéseit. A harmadik fél szoftvereibe került sérülékenységek ellen a vírusirtók sérülékenységvédelme (exploit protection) ugyan védelmet tud nyújtani, de ennek megvannak a maga korlátai. A legjobb, ha minden alkalmazás biztonsági frissítéseit telepítjük.

 

A harmadik fontos teendőnk a magatartás alapú és a felhő alapú védelem aktiválása. A heurisztikus, proaktív, valamint a reputáció alapú védelmi technológiák kiegészítik a hagyományos vírusvédelmet, és további biztonsági rétegeket képeznek a számítógépen. Ezek segítségével a vírusirtó képes kiszűrni például azokat a még nem ismert kódokat, programokat, melyek hátsó kapukat nyitnak a gépen, és külső szerverekről próbálnak meg adatokat letölteni.


Fontos tudni, hogy ugyan nem létezik 100 százalékos biztonságot nyújtó védelmi program, de a folyamatosan frissített vírusirtó szoftver használata rendkívül fontos. A különböző védelmi technológiák kombinálásával a minőségi szoftverek megbízható védelmet nyújtanak, a kockázatot pedig nulla közeli szintre csökkenti a rendszeres mentés.

 

Ugyanakkor van néhány magatartási szabály, amit fontos betartanunk. Így például megnyitás nélkül érdemes törölnünk azokat az e-maileket, amelyek az alábbi három kritériumból legalább kettőnek megfelelnek:

 

  • ismeretlen feladótól érkeznek,
  • sürgető hangnemben vannak megírva, és negatív következményeket helyeznek kilátásba,
  • és valamilyen cselekvésre hívnak fel (ellenőrizze a mellékletet).

 

Mivel a kártevők jellemzően annak a felhasználónak a nevében futnak a gépen, aki be van jelentkezve, így érdemes nem rendszergazdai, hanem általános felhasználói jogosultsággal használni a gépet.

 

Vállalati környezetben a különböző szoftverek futását korlátozhatjuk házirendkezelővel is, a G Data Policy Manager segítségével például kijelölhetjük, hogy milyen gyártóktól származó programokat lehessen elindítani. Emellett lehetőség van arra, hogy a csoportházirendek szerkesztésével korlátozzuk, hogy milyen mappából legyen futtathatóak a különböző programok. Mivel a legtöbb kártevő ideiglenes mappákból vagy a lomtárból indítja el magát, ez is növeli a biztonságot. (Erről részletesebben a G Data letölthető whitepaperében olvashat.)

 

nemzeti-nyomozo-iroda-police-virus.jpg

Mit tegyünk, ha megfertőződött a számítógépünk?

 

Először is ne essünk pánikba, mert az egészen biztosan csak ront a helyzeten. Az első és legfontosabb, hogy a fertőzött számítógépet húzzuk le a hálózatról, hogy a fertőzés ne tudjon átterjedni más gépekre. Adott esetben a gépet kapcsoljuk ki, majd a merevlemezt tisztítsuk meg úgy a kártevőktől, hogy a vírusirtó indítólemezét használjuk, így nem az alapértelmezett operációs rendszert indítjuk el, hanem a vírusirtó szoftver kezelőfelületét.

 

A váltságdíjat ne fizessük ki! Egyáltalán nem garantált, hogy visszakapjuk az adatainkat, de ha fizetünk, azzal hozzájárulunk a szervezett bűnözés sikeréhez. Az adatainkat állítsuk helyre a külső mentésből, és ha erre szükség van, akkor egy adattörlő szoftver segítségével fertőtlenítsük a merevlemezt, majd telepítsük újra a számítógépet.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: ransomware G Data

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr898191074

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (35) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) online bankolás (1) Online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) skype (2) Skype (1) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) Windows (2) windows (1) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő
süti beállítások módosítása