Manapság a kiberbűnözők egyik legnépszerűbb fegyvere a ransomware, vagyis a zsaroló vírus. Mint az a múlt heti CIO Hungaryn Csizmazia-Darab István előadásában elmondta, a ransomware-eknek már komoly története van. 1989-ben még Magyarországra is küldött Joseph L. Popp három fertőzött floppyt egy trójaival, amely saját algoritmusával titkosította a fertőzött merevlemez állományait.

Akkor a posta szólt közbe: a három floppynak ugyanis nyoma veszett a postázás során, így a János Kórház, a Hematológiai Intézet és a KFKI megmenekült attól, hogy később váltságdíjat kelljen fizetnie. Huszonhét éve még persze a váltságdíj fizetése is kezdetlegesebb – és nyomon követhetőbb – módon, csekken vagy átutalással történt. Nem véletlen, hogy Poppot, aki egy évig készült a támadásra, végül sikerült elfogni és bíróság elé állítani.

A nagy számok törvénye

A zsaroló programok viszonylag szerény összeget követelnek, jellemzően kisebb összeget követelnek, de egyes becslések szerint így is akár napi 3 millió dollárt tudnak kasszírozni.

Még biztosabb a bevétel, ha a bűnözők érzékeny célpontokat tudnak támadni: a közelmúltban több magyar kórházat is ért ransomware-támadás. Többek között az ESET is többször adott ki figyelmeztetést, hogy egyre gyorsabban terjednek az ilyen jellegű károkozókat tartalmazó fertőzött e-mailek, és a cég telemetria rendszere szerint a trend azóta kitart – írja összefoglalójában a Biztonságportál.

Arra Csizmazia-Darab is felhívta a figyelmet, hogy például a kórházak azért is különösen veszélyeztetettek, mert nagyon gyakran elavult az informatikai infrastruktúrájuk, a személyzet pedig nincs felkészítve ilyen esetek megelőzésére. És mivel egy ilyen támadáskor az adatokhoz való hozzáférésen emberek élete múlhat, sokkal nagyobb a sikeres támadás lehetősége is.

A ransomware-ek sem tökéletesek

Bár jobb félni, mint megijedni, a teljes képhez hozzátartozik, hogy nem minden zsarolóvírus olyan veszélyes, mint elsőre látszik. Jól példázza ezt a két közelmúltban felfedezett károkozó, a Petya és a Jigsaw is. Ugyanis mindkettőben olyan szoftverhibát találtak a kutatók, amelyet kihasználva az áldozatok visszakaphatják a dokumentumaikat és az eszközeiket váltságdíj megfizetése nélkül is.

A Petya úgy kényszeríti ki a gép újraindítását, hogy kék halált okoz. Az újraindítás után azonban nem az operációs rendszer nyitó képernyője jelenik meg, hanem egy felugró ablak, amely tájékoztatja a felhasználót, hogy titkosították a gépén tárolt állományokat, és ha hozzá akar férni a géphez, fizessen 0,99 bitcoint, mai árfolyamán nagyjából 456 dollárt vagy 128 ezer forintot.

Csakhogy szerencsére – mint azt az ESET kutatói kiderítették – a Petya hazudik: voltaképpen nem titkosítja a fájlokat, hanem a fájlrendszert manipulálja. Módosítja a master boot recordot, és csupán a master file table-t titkosítja. Így viszont viszonylag könnyen lehetett olyan programot készíteni, amivel visszaállíthatók a zárolt gépen a fájlok. Ez a visszaállító egyébként ingyenesen letölthető a GitHub-ról.

Szintén nem hibátlan a játékos Jigsaw zsaroló (neve a Fűrész című közismert horrorfilmre utal). A játék lényege egyszerű: 60 percenként töröl fájlokat, amíg a gép tulajdonosa nem fizet 150 dollár váltságdíjat: először 1, aztán 2, 4, 8, 16 stb. darab fájlt töröl, így a károkozás exponenciálisan nő. Sőt írói beépítettek egy extra büntetést is: újraindítás esetén ezer fájl tűnik el a gépről. Azonban a kutatók rájöttek, hogy a Jigsaw is rejt hibákat, így a károk enyhíthetők. Ezeket a hibákat kihasználva sikerült elkészíteni egy visszafejtő programot, a JigSawDecryptert (ez sok forrásból letölthető), amellyel csökkenthetők a károk.

Hasonlóképpen készült visszafejtő az Autolockyhoz is.

Ne fizessen!

A biztonsági cégek egyöntetűen amellett foglalnak állást, hogy nem szabad fizetni. Az ESET erre két indokot is mond. Egyrészt érdemes szakemberekhez fordulni, mert sok esetben, ahogy ez a fenti példáknál látható, van ellenszer. Másrészt – mint arra Csizmazia-Darab is utalt előadásában a konferencián – a váltságdíjjal támogatjuk a bűnözőket, akik a pénzből további fejlesztéseket finanszírozhatnak. Minta azzal korábban foglalkoztunk, a kiberbűnözői csoportok egyre inkább átveszik a vállalati működési modellt, amelyben a fejlesztések is szervezetten történnek a befolyt pénzekből.

Tehát ha van is néhány ransomware ellen visszafejtő program, jobb félni, mint megijedni. Azaz a megelőzésre kell összpontosítani: legyen naprakész az operációs rendszer és az összes telepített szoftver, használjunk többrétegű védelmet biztosító biztonsági szoftvereket, és rendszeresen készítsünk biztonsági mentést értékes adatainkról.