Zsarolóvírus

Hogyan védje meg számítógépét és mobil eszközeit ezektől a kártékony szoftverektől?

Zsarolóvírus

Hogyan védje meg számítógépét és mobil eszközeit ezektől a kártékony szoftverektől?

Mik azok a zsarolóvírusok és hogyan ismerhetők fel?

A zsarolóvírusok (angolul ransomware) olyan kártékony szoftverek, melyek zárolhatják az eszközöket vagy titkosíthatják az eszközökön lévő adatokat annak érdekében, hogy pénzt csikarjanak ki a tulajdonostól. Ezért az incidens után általában egy váltságdíj követelő képernyő, vagy dokumentum jelenik meg az áldozatul esett eszköz kijelzőjén, melyben az elkövetők azt ígérik – természetesen bármiféle garancia nélkül –, hogy egy adott összegért cserébe visszaállítják a hozzáférést az érintett géphez vagy adatokhoz.

A zsarolóvírusok számos variánsa a titkosított fájlok kiterjesztését is megváltoztatja

Zsarolóvírus - Hogyan védekezhetünk a zsarolókártevők ellen? Hogyan előzzük meg a bajt?

Hogyan működik a zsarolóvírus?

A trójai bejuttatása a rendszerbe leggyakrabban háromféleképpen szokott történni:

  • E-mailen keresztül, a mellékletben csatolt tömörített állományokban, amikor is a levél szövegében a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni a gyanútlan felhasználót, hogy nyissa meg a mellékletet vagy kattintson a levél törzsében lévő hivatkozásra.
  • Elsősorban vállalatoknál, a távoli munkavégzéshez használt, az internet felé nyitott Távoli-asztal, azaz RDP (Remote Desktop Procedure) hozzáférések sok esetben gyenge, nem egyedi jelszavát feltörve szereznek olyan jogosultságot, amellyel bejutnak valamelyik számítógépbe, ahol ezután trójai program futtatásával megkezdik az adott gép, illetve a hálózaton található többi eszköz támadását.
  • Népszerű oldalakon elhelyezett reklámra vagy linkre kattintva töltődik le a kártevő a felhasználó eszközére.

A zsarolóvírus állományainak bejuttatása után, még a trójai futtatása előtt a támadók igyekeznek kikapcsolni az adott eszközön található biztonsági megoldást, hiszen ellenkező esetben az leleplezné és meggátolná a kártékony kódok tevékenységét.

Ezután kezdik meg az összes elérhető állomány titkosítását. Ilyenkor minden csatlakoztatott meghajtón, tárhelyen található állomány titkosításra kerül, melyhez jogosultságot tudott szerezni a támadó. Tehát a támadás ideje alatt elérhető hálózati meghajtókon, pendrive-okon, külső merevlemezeken, felhős tárhelyeken található adatok is elkódolásra kerülhetnek.

Bővebben

A zsarolóvírusok készítői sokféle technikát alkalmaznak:

  • A lemezkódoló zsarolóvírus titkosítja az egész merevlemezt és megakadályozza a felhasználót, hogy hozzáférjen az operációs rendszerhez.
  • A képernyőzároló megakadályozza a hozzáférést az eszköz képernyőjéhez.
  • A crypto-zsaroló vírus titkosítja az áldozat merevlemezén található adatokat (esetleg hálózati meghajtókat, felhős tárhelyeket).
  • A PIN-lezáró az Androidos eszközöket támadja és megváltoztatja a hozzáférési kódot, hogy a tulajdonosokat kizárja a készülékről.

Zsaroló levelek

Egyre gyakoribbak az olyan zsaroló próbálkozások is, amelyek mögött a legtöbb esetben nincs valódi fenyegetés, hanem a felhasználók félelmeire, tájékozatlanságára építve próbálnak az áldozatól általában pár száz, illetve pár ezer dollárnyi összegnek megfelelő kriptovalutát kicsalni. Ebben az esetben valamilyen, az áldozat számára terhelő információ kiteregetését lebegtetik a levélben, például: a célpont felnőtt tartalmakat nézett és a támadó a webkamerán keresztül felvételt készített róla, majd pénzt kér, hogy ne hozza nyilvánosságra a felvételeket. Ezek mögött a próbálkozások mögött az az elv áll, hogy ha a több ezer címre elküldött zsaroló levél hatására csak a célpontok kis százaléka fizeti is ki a követelt összeget, akkor az akár több tízezer dolláros bevételt jelenthet – gyakorlatilag a semmiért.

 

Fizessünk vagy sem?

A zsarolóvírusok összes említett fajtája fizetési felszólítást alkalmaz: a leggyakrabban bitcoin-ban vagy más nehezen nyomon követhető kriptovalutában várják a kizsarolt összeget. Cserébe a kártevő, írói, terjesztői megígérik, hogy visszafejtik a titkosított adatokat vagy visszaállítják a hozzáférést az érintett eszközhöz.

Ki kell hangsúlyoznunk, hogy nincs semmi garancia arra, hogy a kiberbűnözők teljesíteni fogják az alkuban vállalt kötelezettségeiket (néha egyébként is képtelenek erre, vagy szándékosan, vagy egyszerűen csak a nem hozzáértő programozás miatt). Következés képpen az ESET azt tanácsolja, hogy soha ne fizesse ki a követelt összeget, vagy legalább ne azelőtt, mielőtt felvette volna a kapcsolatot az ESET technikai támogatási csoportjával, hogy megvizsgálják milyen lehetőségek vannak az elkódolt állományok visszafejtésre.

Magánszemélyként, kisvállalkozásként hogyan védekezhetünk a zsarolókártevők ellen?

Használjon megbízható védelmi megoldást

1. Használjon valamilyen megbízható védelmi megoldást eszközein. Javaslataink:

  • Windows: ESET Internet Security vagy ESET NOD32 Antivirus
  • macOS: ESET Cyber Security Pro vagy Cyber Security
  • Android: ESET Mobile Security for Android
  • Linux: ESET NOD32 Antivirus for Linux Desktop
Frissítések naprakészen tartása

2. A naprakész, maximális védelem eléréséhez kiemelten fontos:

  • Biztonsági szoftvereinknél az ESET legújabb frissítéseinek telepítése, valamint a legújabb termékverzió használata.
  • Az operációs rendszer (Windows, Linux, macOS), a böngészők és a további telepített szoftverek frissítése, naprakészen tartása. A biztonsági szint maximalizálása miatt egyáltalán nem javasoljuk az operációs rendszer automatikus frissítésének kikapcsolását.
Szoftverbeállítások védelme jelszóval

3. A biztonsági szoftver beállításait minden esetben védje egyedi, erős jelszóval. Ezzel megakadályozhatja, hogy a támadók a kártékony kód futtatása előtt kikapcsolják az alkalmazást. 

Erős, legalább 15-20 karakter hosszú jelszó

4. Minden esetben használjon erős, legalább 15–20 karakter hosszú, egyszer használatos jelszavakat

Ismeretlen email melléklete

5. Ismeretlen feladótól érkezett e-mailekben ne nyissa meg a mellékletet, főleg ha ez tömörített állomány. 

Offline biztonsági mentés

6. Készítsen rendszeresen ún. offline biztonsági mentést adatairól, amelyek segítségével egy esetleges fertőzés esetén azok visszaállíthatók. Biztonsági mentéseit olyan külső adathordozókon tárolja, amelyek csak a mentés ideje alatt vannak csatlakoztatva a számítógéphez. 

Hivatkozások megnyitása

7. Gondolja át, mielőtt bármilyen hivatkozást megnyitna a közösségi média felületeken vagy csevegőkben. 

Kettős kiterjesztésű fájlok

8. Ne nyissa meg a kettős kiterjesztésű fájlokat, pl.: tablazat.xlsx.scr 

Automatikus lejátszás

9. Kapcsolja ki az operációs rendszer „Automatikus lejátszás” funkcióját. Ezzel megakadályozhatja az ártalmas folyamatok automatikus futtatását olyan külső adathordozókról, mint például az USB memória kártyák vagy a pendrive-ok. 

Gyanús viselkedés esetén internet megszakítása

10. Ha gyanús viselkedést észlel a számítógépén, azonnal szakítsa meg az internetkapcsolatot. Ezzel megszakíthatja a kommunikációt a zsarolóvírus és vezérlőszervere között, így megakadályozva a fájljai titkosítását. 

Készítsen rendszervisszaállítási pontokat

11. Készítsen rendszervisszaállítási pontokat, melyekre könnyedén vissza tudja állítani a rendszert, abban az esetben pl., ha kizárnák fiókjából.

UAC-t hagyja bekapcsolni

12. A Windows beállításainál az UAC-ot (User Account Control = Felhasználói fiókok felügyelete) hagyja bekapcsolva (Vezérlőpult/Felhasználói fiókok/Felhasználói fiókok felügyelete beállításainak módosítása). 

ESET védelmi megoldásait kapcsolja be

13. Az ESET védelmi megoldásainak beállításainál kapcsolja be vagy hagyja bekapcsolva a Behatolásmegelőző rendszert, a Zsarolóprogram elleni védelmet, a Speciális memória ellenőrzést, az Exploit blokkolót, a Veszélyes alkalmazások keresését, a Dokumentumvédelmet és a felhő alapú LiveGrid megbízhatósági rendszert. 

Futtasson gyakran ütemezett teljes számítógép ellenőrzést

14. Futtasson gyakran (hetente 2 alkalommal), ütemezett, teljes számítógép ellenőrzést, amely megtalálja azokat a kártevőket is, amielyeket esetleg a valós idejű ellenőrzés nem talált meg. 

Kapcsolja ki a nem használt vezeték nélküli kapcsolatokat

15. Kapcsolja ki az éppen nem használt vezeték nélküli kapcsolatokat, mint pl. a Bluetooth vagy az infra portok. 

Állítsa be a fájl kiterjesztések megjelenítését

16. Állítsa be a Windowsban a fájl kiterjesztések megjelenítését. Ezáltal csökkentheti az esélyét olyan mellékletek megnyitásának, amelyek potenciálisan zsarolóvírust tartalmazhatnak (pl. .exe, vbs, scr, zip)

A nagyobb cégek, vállallatok hogyan előzhetik meg a bajt?

távoli munkavégzés biztosítására az internet felé publikált RDP helyett használjon VPN kapcsolatot

1. A távoli munkavégzés biztosítására az internet felé publikált RDP helyett használjon VPN kapcsolatot. Ne publikálja ki a 3889-es portot az internet felé.

hozzáféréseket minden esetben védje erős, legalább 15–20 karakter hosszú, egyedi jelszavakkal

2. A hozzáféréseket minden esetben védje erős, legalább 15–20 karakter hosszú, egyedi jelszavakkal.

távoli bejelentkezésekhez használjon kétfaktoros hitelesítést

3. Amennyiben megoldható, javasoljuk, hogy a távoli bejelentkezésekhez használjon kétfaktoros hitelesítést is (pl.: ESET Secure Authentication).

ESET, operációs rendszer, a böngészők és a további telepített szoftverek frissítése, naprakészen tartása

4. A naprakész, maximális védelem eléréséhez kiemelten fontos:

  • Biztonsági szoftvereinknél az ESET legújabb frissítéseinek telepítése, valamint a legújabb termékverzió használata.
  • Az operációs rendszer (Windows, Linux, MacOS), a böngészők és a további telepített szoftverek frissítése, naprakészen tartása. A biztonsági szint maximalizálása érdekében egyáltalán nem javasoljuk az operációs rendszer automatikus frissítésének kikapcsolását.
védelmet biztosító szoftver beállításait minden esetben védje egyedi, erős jelszóval

5. A védelmet biztosító szoftver beállításait minden esetben védje egyedi, erős jelszóval. Ezzel megakadályozhatja, hogy a támadók a kártékony kód futtatása előtt kikapcsolják az alkalmazást.

Készítsen rendszeresen offline biztonsági mentést adatairól

6. Készítsen rendszeresen offline biztonsági mentést adatairól, amelyek segítségével egy esetleges fertőzés esetén azok visszaállíthatók.

Rendszeresen képezze munkatársait, hogy fel tudják ismerni és kezelni tudják a támadásokat

7. Rendszeresen képezze munkatársait, hogy fel tudják ismerni és kezelni tudják az adathalász vagy zsaroló támadásokat.

Windows beállításainál az UAC-ot hagyja bekapcsolva

8. A Windows beállításainál az UAC-ot (User Account Control = Felhasználói fiókok felügyelete) hagyja bekapcsolva (Vezérlőpult/Felhasználói fiókok/Felhasználói fiókok felügyelete beállításainak módosítása).

ESET védelmi megoldásainak beállításainál kapcsolja be a Behatolásmegelőző rendszert, a Zsarolóprogram elleni védelmet, a Speciális memória ellenőrzést, az Exploit blokkolót, a Veszélyes alkalmazások keresését, a Dokumentumvédelmet és a felhő alapú LiveGrid megbízhatósági rendszert

9. Az ESET védelmi megoldásainak beállításainál kapcsolja be a Behatolásmegelőző rendszert, a Zsarolóprogram elleni védelmet, a Speciális memória ellenőrzést, az Exploit blokkolót, a Veszélyes alkalmazások keresését, a Dokumentumvédelmet és a felhő alapú LiveGrid megbízhatósági rendszert.

Futtasson gyakran, ütemezett, teljes számítógép ellenőrzést

10. Futtasson gyakran (hetente 2 alkalommal), ütemezett, teljes számítógép ellenőrzést, amely megtalálja azokat a kártevőket is, amelyeket esetleg a valós idejű ellenőrzés nem talált meg.

Tiltson le minden makrót, kivéve a digitálisan aláírtakat

11. Tiltson le minden makrót, kivéve a digitálisan aláírtakat.

Hívja fel kollégái figyelmét, hogy ismeretlen feladótól érkezett e-mailekben ne nyissák meg a mellékletet, főleg ha ez tömörített állomány

12. Figyelmeztesse azon kollégáit a veszélyekre, akik főleg külső irányból kapják leveleik többségét (pl. pénzügyi vagy HR osztály). Hívja fel figyelmüket, hogy ismeretlen feladótól érkezett e-mailekben ne nyissák meg a mellékletet, főleg ha ez tömörített állomány.

Derítse fel a hálózaton található, gyenge jelszavakat használó és ezáltal kockázatot jelentő felhasználói fiókokat

13. Derítse fel a hálózaton található, gyenge jelszavakat használó és ezáltal kockázatot jelentő felhasználói fiókokat. Tájékoztassa munkatársait az erős, egyedi jelszavak használatának fontosságáról.

Csökkentse a támadási felületet azáltal, hogy kikapcsol vagy eltávolít minden szükségtelen szolgáltatást és szoftvert

14. Csökkentse a támadási felületet azáltal, hogy kikapcsol vagy eltávolít minden szükségtelen szolgáltatást és szoftvert.

Kapcsolja ki az operációs rendszer „Automatikus lejátszás” funkcióját

15. Kapcsolja ki az operációs rendszer „Automatikus lejátszás” funkcióját. Ezzel megakadályozhatja az ártalmas folyamatok automatikus futtatását olyan külső adathordozókról, mint például az USB memória kártyák vagy a pendrive-ok.

Vizsgálja felül a tűzfal beállításait

16. Vizsgálja felül a tűzfal beállításait.

Nézze át a belső és a külső hálózat közötti forgalomra vonatkozó házirendeket

17. Nézze át a belső és a külső hálózat (internet) közötti forgalomra vonatkozó házirendeket.

Használjon megbízható vírusvédelmi szoftvert levelezőszerverén is

18. Használjon megbízható vírusvédelmi szoftvert levelezőszerverén is.

Használjon tartalom szkennelést és szűrést a levelezőszerverein

19. Használjon tartalom szkennelést és szűrést a levelezőszerverein. Így a bejövő e-mail-ek vizsgálhatóak lesznek az ismert kártevőkre, megakadályozva így minden fenyegetést, amely veszélyt jelenthet.

blokkolja a kétes eredetű, .exe, .vbs, .scr vagy .zip kiterjesztésű mellékleteket

20. Állítsa be levelezőszerverét úgy, hogy blokkolja a kétes eredetű, .exe, .vbs, .scr vagy .zip kiterjesztésű mellékleteket.

mentéseket is védje két- vagy többfaktoros hitelesítéssel

21. A mentéseket is védje két- vagy többfaktoros hitelesítéssel.

Ha gyanús viselkedést észlel számítógépén, azonnal szakítsa meg az internetkapcsolatot

22. Ha gyanús viselkedést észlel számítógépén, azonnal szakítsa meg az internetkapcsolatot. Ezzel megszakíthatja a kommunikációt a zsarolóvírus és vezérlőszervere között, így megakadályozva a fájljai titkosítását.

 Állítson be szoftverkorlátozási házirendeket

23. Állítson be szoftverkorlátozási házirendeket, amelyekkel megakadályozható, hogy futtatható fájlok lehessenek indíthatóak olyan kártevő folyamatok futtatására gyakran használt helyekről, mint pl. a ProgramData, AppData, Temp és a Windows\SysWow.

Állítsa be a Windowsban a fájl kiterjesztések megjelenítését

24. Állítsa be a Windowsban a fájl kiterjesztések megjelenítését. Ezáltal csökkentheti az esélyét olyan mellékletek megnyitásának, amelyek potenciálisan zsarolóvírust tartalmazhatnak (pl. .exe, vbs, scr, zip)

felhasználók fiókjainak ne legyen rendszergazdai jogosultságuk

25. A felhasználók fiókjainak ne legyen rendszergazdai jogosultságuk.

Ne engedélyezze a powershell script-ek futtatását

26. Ne engedélyezze a powershell script-ek futtatását olyan gépeken, ahol az nem szükséges.