Protect yourself against the latest cyberthreats and attacks

Zsarolóvírusok

Hogyan védje meg vállalkozását ezektől a kártékony szoftverektől?

A tartalomból:

  1. Mik azok a zsarolóvírusok és hogyan működnek?
  2. Miért szenteljen fokozott figyelmet a védekezésnek?
  3. A számítógépes biztonság alappillérei
  4. Hogyan védekezhet a veszélyek ellen?
  5. Haladó szintű szoftver beállítási lehetőségek a zsarolóvírusok ellen
  6. Mit tehet a vírustámadás után?
  7. Ne feledkezzen meg a vállalati Androidos telefonokról sem!
  8. Végső megoldás: Fizessen vagy sem?

1. Mik azok a zsarolóvírusok és hogyan működnek?

A zsarolóvírus (angolul ransomware) olyan kártékony szoftver, amely titkosítja a számítógépén és mobil eszközein található fájlokat, és váltságdíjat követel ezek feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után a feloldásért többet kell fizetnie, különben adatait végérvényesen elérhetetlenné teszik.

A kártevők új generációja a megnövekedett számú fertőzött e-mailekkel terjed, amelyek letöltik és telepítik az Ön eszközeire a zsarolóvírusokat. A leggyakoribb fajtája, a Nemucod is e-mailen keresztül, a mellékletben csatolt tömörített állományokban terjed. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni, hogy nyissa meg a mellékletet.

Mik azok a zsarolóvírusok és hogyan működnek?

Amennyiben ez megtörténik, a program telepíti magát és HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. A trójai egy olyan URL-listát tartalmaz, amelynek felhasználásával különféle webszerverek, weboldalak meglátogatásával kártevőket próbál meg letölteni. Ha ez sikerül neki, akkor a nemkívánatos programokat fel is telepíti. A folyamat végén jelenleg a legtöbbször a TeslaCrypt és a Locky nevű zsarolóprogram kerül készülékére.

2. Miért szenteljen fokozott figyelmet a védekezésnek?

Az elmúlt időszakban több fórumon és csatornán találkozhatott már olyan cikkekkel, amelyek a zsarolóvírusok veszélyeire hívják fel a figyelmet. A kártevők fejlődéséről és újabb variánsainak felfedezéséről szóló hírek mellett, javarészt a látványos és sokakat érintő támadásokról olvashat mindenhol.

A védekezés fontosságát az is jelzi, hogy többek között a KÜRT Zrt. adatmentéssel foglalkozó szakembereihez is az év eleje óta folyamatosan növekvő számban érkeznek megkeresések zsarolóvírus okozta adatvesztés miatt. Míg 2015-ben havonta alig három megkeresés volt, idén már napi 2-3 ügyfél jelzi, hogy adatait titkosította valamelyik zsarolóvírus.

Cégünkhöz szintén folyamatosan érkeznek kérdések a védekezéssel kapcsolatban, felhasználói és vállalati oldalról egyaránt.

3. A számítógépes biztonság alappillérei

Hogy biztonságban tudhassa cége számítógépeit és adatait, mindenképpen azt tanácsoljuk, hogy használjanak valamilyen vírusvédelmi megoldást, például az ESET Endpoint Security, vagy ESET Endpoint Antivirus szoftvert. A vírusvédelmi megoldások használata nagymértékben segít, hogy a rendszereit megvédhesse, de ehhez kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata, természetesen naprakész felismerési adatállományokkal.

Biztonsági szoftverek
legújabb termékverziója,
naprakész frissítéssel

Antivírus megoldások
 megfelelő beállítása
(pl. ESET Live Grid)

Frissített operációs rendszer
és alkalmazói szoftverek

Pótolhatatlan adatokról
elkülönített meghajtón tárolt
biztonsági mentések készítése

Emellett pedig kulcsfontosságú, hogy az antivírus megoldásaink megfelelő beállításokkal rendelkezzenek. Például az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amennyiben ez a modul be van kapcsolva. Ennek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is. Az egyre gyakoribb támadások miatt érdemes az ESET szoftver verziójának ellenőrzése, és szükség esetén frissítése, valamint az említett Live Grid támogató opció ellenőrzése/beállítása.

Ha Ön nem biztos abban, hogy az opció a vállalkozása számítógépein be van-e kapcsolva, kattintson az alábbi gombra, és tudja meg, hogyan ellenőrizheti le:

ESET Live Grid bekapcsolása

A naprakész biztonsági szoftverek használata azonban a számítógépes biztonság alappillérei közül csak az egyiket jelenti. A hatékony védelem második lába a frissített operációs rendszer, és az alkalmazói szoftverek hibajavítási foltjainak haladéktalan letöltése és telepítése, hiszen a kártevők előszeretettel használják ki a javítatlan biztonsági réseket. Ehhez nem csak magának az operációs rendszernek, hanem a különféle alkalmazásoknak (Adobe Flash-től Java-n át Wordpressig) a hibajavításait is mindig futtassa le időben.

A védekezéshez mindenképpen azt tanácsoljuk, hogy az értékes és pótolhatatlan adatokról egy elkülönített, és fizikailag állandóan nem csatlakoztatott meghajtóra rendszeresen készítsen mentéseket, és próbálja is ki azokat.

4. Hogyan védekezhet a veszélyek ellen?

Ismeretlen feladótól érkezett e-mailekben ne nyissa meg a mellékletet, főleg ha ez tömörített állomány

Munkahelyén figyelmeztesse azon kollégáit a veszélyekre, akik főleg külső irányból kapják leveleik többségét (pl. pénzügyi vagy HR osztály)

Készítsen rendszeresen biztonsági mentést adatairól, melyek segítségével fertőzés esetén azok visszanyerhetőek. Biztonsági mentéseit külső adathordozókon tárolja, amelyek nincsenek csatlakoztatva a számítógéphez.

Tartsa naprakészen operációs rendszereit és szoftvereit, mindig telepítse ezek frissítéseit.

Biztonsági szoftvereinknél kiemelten
fontos a legújabb frissítések telepítése,
valamint lehetőség szerint a legújabb
termékverzió használata.

Az ESET Live Grid felhő alapú szolgáltatás segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is.

Kapcsolja be a fájlnév kiterjesztések megjelenítését a Vezérlőpult - Mappa beállítások menüpontban.

Tiltson le minden makrót, kivéve a digitálisan aláírtakat.

Használja a Windows-ban ingyenesen elérhető Applocker alkalmazást.

A zsarolóvírusok gyakran .exe vagy .pdf kiterjesztésű mellékletben érkeznek. Ezek detektálásánál hasznos lehet, ha bekapcsolja a fájlnév kiterjesztések megjelenítését, amit a következőképpen tehet meg:

  1. A Mappabeállítások megnyitásához kattintson a Start gombra, majd a Vezérlőpult parancsra.
  2. Ezután kattintson a Megjelenés és személyes beállítások lap Mappabeállítások elemére, vagy keresse a Mappa beállításai menüpontot.
  3. Válassza a Nézet fület, és a Speciális beállítások listában keresse meg az Ismert fájltípusok kiterjesztéseinek elrejtése sort.
  4. A sor jelölőnégyzetéből törölje a jelet, majd kattintson az OK gombra.  

5. Haladó szintű szoftver beállítási lehetőségek a zsarolóvírusok ellen

A lenti gombra kattintva letöltheti az ESET angol nyelvű útmutatóját, amellyel részletes, magasabb szintű beállításokat eszközölhet a levélszemét szűrő, tűzfal és behatolásmegelőző rendszereken, így még nagyobb védelmet biztosíthat számítógépeinek a zsarolóvírusok ellen!

FIGYELEM: Szeretnénk felhívni a figyelmét, hogy az útmutatóban javasolt beállítások több terméktámogatással kapcsolatos megkeresést eredményezhetnek a végfelhasználók részéről, hiszen a beállítások alkalmazásával bizonyos programok és szolgáltatások blokkolásra kerülnek, melyről a termék értesítést is küld a felhasználó felé.

6. Mit tehet a vírustámadás után?

Mindig gondolja végig, hogy az adatvesztés mitől következett be. A zsarolóvírusok minden esetben jelzik a felhasználónak, hogy az adatokat titkosították, és váltságdíjat kérnek.

Amennyiben a vírustámadás megtörtént, a legfontosabb a számítógép izolálása. Semmilyen körülmények között ne próbálja meg csatlakoztatni cége számítógépes hálózatához, se vezetéken, se wifi-n, mert ezzel a többi számítógépen lévő adatot is kockáztatja.

Hordozható adattárolót (pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést továbbviheti egy másik számítógépre.

A kárelhárítás után a zsarolóvírus teljes eltávolítását mindenképpen bízza szakemberre.

A meghajtó teljes formázását javasoljuk, ezzel biztosan eltűnik a vírus minden nyoma.

Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után próbálkozzon adatait az archív mentésekből helyreállítani.

ESET Live Grid bekapcsolása

Mivel a titkosítás feltörése technikailag nem oldható meg, így az adatmentés a titkosított adatokra vonatkozóan a legtöbb esetben sikertelen lesz. Ha a számítógépein be volt állítva visszaállítási pont, többnyire visszanyerhető valamekkora adattartalom.


Hogyan tisztíthatja meg számítógépét a TeslaCrypt fertőzéstől?

Amennyiben a TeslaCrypt újabb verzióival (v3, v4) fertőződött meg, jó hírünk van az Ön számára! Ha titkosított fájljai .xxx, .ttt, .micro, .mp3 kiterjesztést kaptak, vagy változatanul maradtak, az ESET TeslaCrypt Decrypter program segítségével visszaállíthatja dokumentumait. A dekódolás lépéseit, valamint az alkalmazást itt töltheti le:

7. Ne feledkezzen meg a vállalati Androidos telefonokról sem!

Ahogy említettük, a vírusok és más kártékony kódok készítői nem kizárólag a Windows-ra fókuszálnak. Az utóbbi években figyelmüket a legelterjedtebb mobil operációs rendszer, az Android is felkeltette, amely számos vállalkozás okostelefonjain és táblagépein fut.

Az ESET az Androidot futtató zsarolóvírusok számos családját vizsgálta már meg. A támadók számos technikát használnak, például antivírus programnak álcázzák magukat, vagy követelésüket úgy tüntetik fel, mintha a rendvédelmi szervek nevében zárnák le az eszközt (ilyen zsarolóvírus például a Reveton).

2014-ben találkoztak kutatóink az első zsarolóvírussal, amely Android operációs rendszeren kísérelte meg az adatok titkosítását. Azóta a támadók több mint 50 variánssal jelentkeztek, mindegyik fejlettebb és veszélyesebb volt, mint az előző verzió. Mindössze egy évre rá jelent meg az első olyan zsarolóvírus, amely lehetetlenné tette a telefonhoz való hozzáférést és azt egy véletlenszerűen előállított négyjegyű kóddal korlátozta.

Ne feledjük, hogy mindezek a kártékony szoftverek képesek ellehetetleníteni a mindennapi üzletmenetet és több száz dollárra rúgó váltságdíjat követelnek az áldozatoktól és vállalataiktól a hozzáférés helyreállításáért.

Hogyan biztosíthatja Androidos eszközei védelmét?

Képezze munkatársait. Fontos, hogy az Androidos eszközöket használó munkavállalók tisztában legyenek a zsarolóvírusok jelentette veszéllyel és megelőző lépéseket tegyenek.

Kerülje vagy tiltsa le a nem hivatalos, vagy egyéb gyártó által fenntartott alkalmazásboltokat.

Letöltés előtt olvassa el a többi felhasználó visszajelzését. A káros és rosszindulatú működést a felhasználók hamar észreveszik.

Munkatársai mindig ellenőrizzék le, hogy az alkalmazás által kért hozzáférések valóban szükségesek-e a megfelelő működéshez.

Amennyiben lehetséges, készítsen listát a vállalati eszközökön engedélyezett alkalmazásokról.

Használjon biztonsági szoftvert vállalkozása mobil eszközein is.

Rendszeresen frissítse telefonja alkalmazásait.

Fontos adatait rendszeresen mentse el.

A fentieken túl az is fontos, hogy működő biztonsági mentéssel rendelkezzen vállalkozása összes Androidos eszközéről. Nagy esély van arra, hogy azok a felhasználók, akik megfelelő ellenlépéseket tettek, soha sem fognak zsarolóvírussal szembesülni. És még ha – legrosszabb esetben - áldozatul is esnek, megfelelő mentés birtokában egy ilyen tapasztalat nem több apró kellemetlenségnél.

Mit tegyen, ha céges telefonja megfertőződött?

Amennyiben az Ön vagy munkavállalója eszköze megfertőződik zsarolóvírussal, az eltávolítás lehetőségei a kártékony kód variánsától függően többfélék lehetnek.

1. Rendszerbetöltés biztonsági módban (safe mode)

A legegyszerűbb képernyőzároló zsarolóvírusok esetében a csökkentett módú indítás – amelyben a nem gyári alkalmazások (beleértve a zsarolóvírust is) nem indulnak el – megoldja a helyzetet, és könnyedén el tudja távolítani a vírust. A csökkentett módú indítás lépései eszközönként eltérőek, konkrét esetekben a leírás, vagy pedig egy megfelelő Google keresés ad megoldást.

2. Vonja vissza az eszközfelügyeleti jogosultságot a kártevőtől!

Abban az esetben, ha az alkalmazás eszközfelügyeleti jogot kapott, - ez gyakran előfordul az egyre agresszívebb, új variánsok esetében - ezt a beállítások között meg kell vonnia, mielőtt eltávolítja.

3. A Mobile Device Manager segítségével változtassa meg jelszavát!

Ha a zsarolóvírus eszközfelügyeleti jog birtokában lezárta az eszközt az Android beépített PIN kódot vagy jelszót bekérő funkciójával, a helyzet bonyolultabb. A zárolás normál esetben a Google Android Device Manager szolgáltatásával, vagy egyéb MDM megoldással oldható fel. Amennyiben teljes felügyeletet szerzett (rootolt eszközök esetében), más megoldások is szóba jöhetnek.

4. Vegye fel a kapcsolatot a terméktámogatással!

Ha az eszközön tárolt állományokat a zsarolóvírus (pl. Android/Simplocker) titkosította, azt javasoljuk, hogy keresse fel védelmi szoftvere terméktámogatással foglalkozó szakembereit. A visszaállítás lehetősége a zsarolóvírus fajtájától függ.

5. Gyári beállítások visszaállítása

A gyári beállítások visszaállítása, amely minden adatot töröl az eszközről, csak végső esetben ajánlható, ha a fenti megoldások közül egyik sem használható már.

8. Végső megoldás: Fizessen vagy sem?

Az esetleges váltságdíj kifizetését nem javasoljuk, mivel ezzel részint tovább bátorítja a folyamatot, másrészt, mivel bűnözőkkel üzletel, semmilyen garancia sincs arra, hogy egyáltalán kap valamilyen kódot, és hogy az működőképes lesz. A beszámolók jelentős részénél - kb. 80-90%-ban - a fizetés ellenére sem érkezik feloldó kulcs.