Digitális víruslélektan, avagy tények és tévhitek a zsarolóvírusokkal kapcsolatban

Az elmúlt időszakban több világméretű „zsarolóvírus” (angolul: ransomware) támadás történt. Ezek a kártékony programok valós veszélyt jelentenek minden felhasználóra nézve, így érdemes néhány alapvető információt megtudni róluk.

A Magyar Kereskedelmi és Iparkamara által koordinált Modern Vállalkozások Programjának infokommunikációs tanácsadói stábja két hónapja egy nem reprezentatív felmérést végzett, melynek során az elmúlt hetek vezető informatikai témakörével, a zsarolóvírussal kapcsolatos kérdésekre keresték a válaszokat. A közel 750 fős mintafelvételen alapuló felmérés egyik legfontosabb megállapítása, hogy a hazai kis- és középvállalkozások nem védik megfelelően adataikat és nem mérik fel a valós fenyegetettséget.



Hogyan fertőznek a zsarolóvírusok?


A zsarolóvírusok két fő tevékenységéből az egyiket már szinte mindenki ismeri: amikor a vírus megfertőz egy számítógépet, akkor titkosítja az azon található fájlokat, – jellemzően dokumentumokat, táblázatokat, képeket, leveleket – és lehetőleg minden olyan adatot, amely fontos lehet a felhasználónak. A program – ha lehetősége van rá – a külső adattárolókon, illetve a hálózati megosztásokon található fájlokat is titkosítja. Ezután egy üzenetet jelenít meg, amelyben pénzt követel azért, hogy a titkosított adatokat a felhasználó visszakaphassa. Itt fontos megemlíteni azt, hogy a jelenlegi korszerű titkosítási algoritmusokkal gyakorlatilag esélytelen a titkosított adatok visszanyerése a megfelelő kulcs nélkül. Másrészt míg bizonyos vírusok készítői valóban elküldték a visszakódoláshoz szükséges kulcsot, addig újabban az is előfordult, hogy a támadók eltették a pénzt és nem állították vissza az adatokat! Fizetés helyett inkább a megelőző védekezés a hasznosabb megoldás. Másrészt fontos megemlíteni, hogy itt nem csak fontos üzleti adatokról beszélünk! Ha valakinek a családi fotói, saját dokumentumai és adatai értékesek, akkor azok ugyanúgy „fájnak” a felhasználónak, mint az üzleti adatok a cégeknek. Azzal együtt, hogy egy cég akár tönkre is mehet egy komolyabb adatvesztés következtében, így nekik ez komoly gazdasági érdek is.

A zsarolóvírusok másik fő tevékenységét – a terjedését – a nem informatikusok általában kevésbé értik: a program felderíti a számítógépes hálózatokat, és megpróbálja megfertőzni a fellelt gépeket. Hogyan fertőződik meg egy gép? Maga a fertőzés az, amikor a számítógépünk nem csak a szokásos programokat futtatja, hanem valamilyen módon a vírusprogram is elkezd a gépünkön futni. Ez több módon is megtörténhet.
Első és egyben legegyszerűbb megoldás, amikor a kártékony kódot közvetlen megkapja a biztonságilag nem képzett felhasználó (mondjuk egy becsapós levélben egy futtatható program formájában, vagy ellenőrzés nélkül letölti egy nem megbízható weboldalról) és saját maga elindítja. Ebben az esetben a program – amiről általában a felhasználó nem is gondolja, hogy mi az – már el is kezdheti a titkosítást. Más esetekben a vírusok programhibákat használnak ki, melyek az általunk futtatott szoftverekben vannak, például a levelezőnkben, vagy az irodai szoftverünkben, vagy akár az általunk használt operációs rendszerben. Ilyen esetben is előfordulhat, hogy levélben kapunk dokumentumot vagy pdf fájlt, és ezt megnyitva, a csatolmányba ágyazott vírus a programhibát kihasználva (a felhasználó segítsége miatt) máris fut a gépünkön és ekkor megint bajban vagyunk.
Harmadik lehetőség az, hogy a számítógépünkön olyan programban van hiba, ami távoli szolgáltatást nyújt és amire adott esetben nincs nagyon ráhatásunk (pl. operációs rendszer szolgáltatások). Ebben az esetben egyszerű felhasználóként nem is igazán tudunk védekezni. Amennyiben a vírus a hálózaton rátalál a gépünkre és az adott hibával rendelkező szolgáltatásra,  akkor azt minden további emberi beavatkozás nélkül megfertőzi. Egy vírus erősségét és terjedési képességét alapvetően az határozza meg, hogy hogyan tud terjedni, milyen fegyvertárral rendelkezik. A terjedés sebességét növeli, ha a vírus nem csak egy adott szoftverhibát tud kihasználni, hanem akár több szoftver, több különböző hibáját is külön-külön. Így nyilvánvalóan nő azon gépek száma, melyeket képes megfertőzni. Az elmúlt hetek vírusfertőzései pont azért voltak ennyire komolyak, mert a főszereplő vírusok számos biztonsági rést találtak.
A felhasználói szoftverekben, operációs rendszerekben lévő hibák esetén külön érdekes kérdés, hogy az adott hiba mennyire ismert. Jó esetben (már amennyire lehet ebben a témában jó eset) a hiba ismert és publikált, és a gyártó készített hozzá javítást, frissítést. Rossz esetben a támadók maguk keresnek hibákat a szoftverekben, amiről aztán nem értesítik a gyártót és úgy használnak ki egy ilyen hibát, hogy azt – szinte – senki nem tudja. Ebben az esetben nyilván a felhasználóknak esélyük sincs védekezni, hiszen nem is tudnak a hibáról.

Fentiek fényében össze is állíthatjuk, hogy hogyan lehet védekezni a zsarolóvírusok ellen!

Használjunk védelmi eszközöket: vírusvédelmet és akár tűzfalat. Ezek sok minden ellen megvédhetnek bennünket, azonban ne misztifikáljuk túl őket! Ezek önmagukban sok esetben nem fognak megvédeni bennünket!

Viselkedjünk biztonságtudatosan: Ne klikklejünk rá minden linkre gondolkodás nélkül, ellenőrizzük a programok, levelek, dokumentumok származási helyét! Ne látogassunk megbízhatatlan weboldalakat, mivel azok is kiemelkedő terjesztői a zsaroló vírusoknak!

Frissítsünk: frissítsük a szoftvereinket! Ne csak az operációs rendszert, hanem a felhasználói programokat (pl.: office alkalmazások, levelező, böngésző, dokumentum nézegető), illetve például a böngésző bővítményeket, codecs-eket is.

Készítsünk mentéseket: Mindegyik közül a legfontosabb: az adatainkról legyenek mentéseink!!! A mentéseknél több dologra is figyelnünk érdemes. Egyrészt a mentéseket ellenőrizzük, hogy sikeresen mentettünk-e. Nagyon kínos, ha a vírustámadást követően derül ki, hogy nincs megfelelő mentésünk! Másrészt ha nem nagy az adattartalom, és/vagy nem változik gyakran, akkor manapság is nyugodtan használjunk DVD-t. Jó tulajdonsága lehet, hogy nem lehet felülírni! Pendrive-okra, külső adattárolókra is menthetünk, azonban legyünk óvatosak: zsaroló vírus támadás esetén ha a gépünk még nincs mentesítve a vírustól és csatlakoztatjuk a mentéseket, akkor a vírus azokat is titkosítja. Sajnos ilyen eset komoly hazai intézménynél is előfordult! Ha változik az adattartalom, akkor mentsünk rendszeresen, akár több adathordozó segítségével. Ezek mellett ügyeljünk a mentések tárolására is: sem a mentések elvesztése (ellopása), sem a mentések megsemmisülése nem kellemes dolog. Az utolsó szempont pedig az, hogy ha éveken keresztül mentünk adatokat, akkor figyeljünk arra, hogy a mentési eszközünk is meghibásodhat, így érdemes időnként ellenőrizni.

Fenti pontok betartásával elérhetjük azt, hogy egy zsarolóvírus támadás – ami nyugodtak lehetünk, újra el fog jönni – kellemetlen élmény lesz ugyan, de nem lesz életre szóló veszteségünk, sem a cégünk nem megy tönkre, sem a munkánk nem vész el.

Védje ki a támadásokat és tudjon meg többet az adatbiztonságról! Keresse IKT tanácsadóinkat, akik készséggel segítenek és nyújtanak ingyenes tanácsadást!