A zsaroló kártevők és túlterheléses támadások igencsak megszaporodtak az utóbbi időkben, ráadásul a médiában is igen felkapott lett a téma. Hogy miért van ez így, arra próbálnak választ keresni az ESET szakemberei.

Megfélemlítés vagy valós jelenség?

A hazai és nemzetközi médiumok is rendszeresen számolnak be a legújabb zsarolóvírusok okozta károkról, amely több okra vezethető vissza. Az egyik, hogy a kiberbűnözők látványos és szokatlan támadási célpontokat választanak, elég itt az egészségügyi intézményekre gondolni, például a hazai veszprémi kórház, amelynek működését szintén megzavarták a zsarolóvírusok. Az, hogy emberek élete és egészsége került veszélybe, néhány intézményt arra kényszerített, hogy dollárok ezreit fizesse ki a támadóknak. A pszichológiai hadviselés módszerei, mint például a visszaszámláló, vagy más hasonló trükk alkalmazása csak azért, hogy gyorsabban fizessék ki a váltságdíjat, szintén felkeltette az újságírók figyelmét a jelenség iránt. Ezek mellett azonban az újfajta számítógépes bűncselekmények egyre növekvő mennyisége is jó okot szolgáltatott a rengeteg megjelenésre.

Az egyik leghíresebb JS/TrojanDownloader.Nemucod trójai, amely azzal, hogy úgy tett, mintha ártalmatlan csatolmányokat hordozna, tömegesen szedte áldozatait, akik így letöltötték és telepítették valamelyik olyan jól ismert zsarolóvírus családot, mint a TeslaCrypt vagy a Locky. Úgy tűnik, hogy ezt a taktikát hatékonynak értékelték a bűnözők, mivel több hullámban is próbálkoztak vele. A kiberbűnözők emellett a zsarolóvírusok változatainak egy szélesebb palettáját is használták a támadások során, beleértve a CTBLocker vagy a Filecoder.DG kártevőket. 

Az ügyetlenebb próbálkozók

Egy kis bizakodásra adhat okot, hogy nem minden zsarolóvírus olyan veszélyes, mint a fentebb említett családok. A felhasználók szerencséjére ez volt a helyzet két újabb keletű zsarolóvírus – a Petya és a Jigsaw – esetében is, amelyeket az ESET vizsgált. Mindkettő tartalmazott olyan kivitelezési hibát, amely lehetővé tette az érintett áldozatoknak, hogy visszakapják a dokumentumaikat és az eszközeiket anélkül, hogy fizetniük kellett volna érte.

Petya is hibázott

A Petya, amelyet először a Trend Micro észlelt, “kék halált” okoz, miután sikeresen beszivárgott a Windowsba, és ezzel rákényszeríti az áldozatot, hogy újraindítsa a számítógépét. Ha a felhasználó ezt megteszi, az operációs rendszer betöltése helyett egy felugró ablakkal találkozik, amelyen egy követelés jelenik meg 0.99 bitcoin (kb. 118 ezer forint) értékű váltságdíj kifizetésére. Az ESET vizsgálata azonban kimutatta, hogy a Petya (a zsaroló üzenetben megjelenő követelés ellenére) nem titkosítja magukat a fájlokat a számítógép lemezein, hanem csak a fájlrendszert. Ami így lehetővé teszi a felhasználóknak, hogy az elérhető eszközök segítségével visszaállítsák a fájlokat, amely még így is némi költséget jelenthet. Igaz rendelkezésre áll egy ingyenes visszafejtő eszköz is, amely a struktúrában hagyott kiskapukon alapszik, és így lehetővé teszi a felhasználónak, hogy visszaállítsa a korábbi fájlrendszert.

A zsarolóvírus, amely játszani akar

Egy másik zsarolóvírus család, amely az elmúlt időszakban az ESET kutatóinak látókörébe került, a Jigsaw volt. A Fűrész című népszerű horrorfilmre utalva megpróbál „játszani” az áldozataival azzal, hogy destruktív szabályokat állít fel. Ha a felhasználó nem fizet az első órában, a zsarolóvírus törölni fog egy fájlt. Ha nem fizet a második óra elteltével sem, a törölt fájlok száma kettőre növekszik. Minden további órával a törölt fájlok száma exponenciálisan nő, ami jelentős adatkárosodáshoz vezethet. A Jigsaw figyelmezteti is az áldozatot, hogy minden egyes, a számítógép újraindítására irányuló próbálkozást 1000 másik fájl törlésével bünteti. Azonban a zsarolóvírus kódját vizsgálva az ESET kutatói rájöttek, hogy a Jigsaw is rejt hibákat. A kártevő ugyanazt a statikus kulcsot használja minden titkosításhoz, így már létezik egy visszafejtő eszköz, amely nyilvánosan elérhető a felhasználók számára.

Utánzó Locky

Egy másoló program, amelyet az ESET rendszere Win32/Filecoder.Autolocky.A vagy röviden Autolocky-ként észlelt, jó példája annak, ahogyan a zsarolóvírusok készítői megpróbálnak mások „hírnevéből” táplálkozni, de gyakran elbuknak a kivitelezési fázisban. A rossz kódolásnak köszönhetően a visszafejtő kulcsot kizárólag Internet Exploreren keresztül küldik, és a fertőzött gépen könnyen lekövethető az előzményekben. Az Autolocky áldozatai szintén szerencsések, mivel létezik egy könnyen elérhető visszafejtő eszköz, amivel visszaszerezhetik a fájljaikat.

Ahogy ezek a közelmúltbeli példák is mutatják, a felhasználóknak nem kellene bedőlniük a zsarolóvírusok megfélemlítő taktikáinak, és meg kell tagadniuk a követelt váltságdíj kifizetését. Létezik megoldás vagy visszafejtő eszköz néhány zsarolóvírus család ellen, amelyek képesek biztonságosan és megbízhatóan visszaállítani a fájlokat, megkímélve ezzel a felhasználók pénzét és elvágva a jövőbeli kiberbűnözés finanszírozását.

Annak ellenére, hogy néhány zsarolóvírus hibás vagy tökéletlen, a kiberbűnözők napról napra javítják a szoftverjeiket. A megelőzés ezért elengedhetetlen, hogy biztonságban tartsuk magunkat a zsarolóvírusoktól – még a gyengébbektől is.

Ennek érdekében arra van szükség, hogy az operációs rendszer és a szoftver mindig naprakész legyen, használjunk megbízható biztonsági csomagot, amely a védelem több rétegével rendelkezik, és rendszeresen mentsünk el minden fontos és értékes adatot egy offline helyen (mint egy külső adattároló). Legyünk nagyon óvatosak, amikor rákattintunk valamire egy e-mailben vagy a böngészőben. Ha ismeretlen forrástól kaptunk üzenetet, vagy valamiért gyanúsnak tűnik a levél, akkor töröljük. Biztonsági szoftvereinknél kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata. A PC Guru magazinhoz is mellékelt ESET termékek felhasználóinál pedig a program megfelelő beállításainál az ESET Live Grid felhő alapú szolgáltatásnak is aktívnak kell lennie, hogy ennek segítségével az új kártevők felismerése, blokkolása még gyorsabbá és hatékonyabbá válhasson.

eset.jpg