Manapság a kiberbűnözők egyik legnépszerűbb fegyvere a ransomware, vagyis a zsaroló vírus. Mint az a múlt heti CIO Hungaryn Csizmazia-Darab István előadásában elmondta, a ransomware-eknek már komoly története van. 1989-ben még Magyarországra is küldött Joseph L. Popp három fertőzött floppyt egy trójaival, amely saját algoritmusával titkosította a fertőzött merevlemez állományait.
Akkor a posta szólt közbe: a három floppynak ugyanis nyoma veszett a postázás során, így a János Kórház, a Hematológiai Intézet és a KFKI megmenekült attól, hogy később váltságdíjat kelljen fizetnie. Huszonhét éve még persze a váltságdíj fizetése is kezdetlegesebb – és nyomon követhetőbb – módon, csekken vagy átutalással történt. Nem véletlen, hogy Poppot, aki egy évig készült a támadásra, végül sikerült elfogni és bíróság elé állítani.
A nagy számok törvénye
A zsaroló programok viszonylag szerény összeget követelnek, jellemzően kisebb összeget követelnek, de egyes becslések szerint így is akár napi 3 millió dollárt tudnak kasszírozni.
Még biztosabb a bevétel, ha a bűnözők érzékeny célpontokat tudnak támadni: a közelmúltban több magyar kórházat is ért ransomware-támadás. Többek között az ESET is többször adott ki figyelmeztetést, hogy egyre gyorsabban terjednek az ilyen jellegű károkozókat tartalmazó fertőzött e-mailek, és a cég telemetria rendszere szerint a trend azóta kitart – írja összefoglalójában a Biztonságportál.
Arra Csizmazia-Darab is felhívta a figyelmet, hogy például a kórházak azért is különösen veszélyeztetettek, mert nagyon gyakran elavult az informatikai infrastruktúrájuk, a személyzet pedig nincs felkészítve ilyen esetek megelőzésére. És mivel egy ilyen támadáskor az adatokhoz való hozzáférésen emberek élete múlhat, sokkal nagyobb a sikeres támadás lehetősége is.
A ransomware-ek sem tökéletesek
Bár jobb félni, mint megijedni, a teljes képhez hozzátartozik, hogy nem minden zsarolóvírus olyan veszélyes, mint elsőre látszik. Jól példázza ezt a két közelmúltban felfedezett károkozó, a Petya és a Jigsaw is. Ugyanis mindkettőben olyan szoftverhibát találtak a kutatók, amelyet kihasználva az áldozatok visszakaphatják a dokumentumaikat és az eszközeiket váltságdíj megfizetése nélkül is.
A Petya úgy kényszeríti ki a gép újraindítását, hogy kék halált okoz. Az újraindítás után azonban nem az operációs rendszer nyitó képernyője jelenik meg, hanem egy felugró ablak, amely tájékoztatja a felhasználót, hogy titkosították a gépén tárolt állományokat, és ha hozzá akar férni a géphez, fizessen 0,99 bitcoint, mai árfolyamán nagyjából 456 dollárt vagy 128 ezer forintot.
Csakhogy szerencsére – mint azt az ESET kutatói kiderítették – a Petya hazudik: voltaképpen nem titkosítja a fájlokat, hanem a fájlrendszert manipulálja. Módosítja a master boot recordot, és csupán a master file table-t titkosítja. Így viszont viszonylag könnyen lehetett olyan programot készíteni, amivel visszaállíthatók a zárolt gépen a fájlok. Ez a visszaállító egyébként ingyenesen letölthető a GitHub-ról.
Szintén nem hibátlan a játékos Jigsaw zsaroló (neve a Fűrész című közismert horrorfilmre utal). A játék lényege egyszerű: 60 percenként töröl fájlokat, amíg a gép tulajdonosa nem fizet 150 dollár váltságdíjat: először 1, aztán 2, 4, 8, 16 stb. darab fájlt töröl, így a károkozás exponenciálisan nő. Sőt írói beépítettek egy extra büntetést is: újraindítás esetén ezer fájl tűnik el a gépről. Azonban a kutatók rájöttek, hogy a Jigsaw is rejt hibákat, így a károk enyhíthetők. Ezeket a hibákat kihasználva sikerült elkészíteni egy visszafejtő programot, a JigSawDecryptert (ez sok forrásból letölthető), amellyel csökkenthetők a károk.
Hasonlóképpen készült visszafejtő az Autolockyhoz is.
Ne fizessen!
A biztonsági cégek egyöntetűen amellett foglalnak állást, hogy nem szabad fizetni. Az ESET erre két indokot is mond. Egyrészt érdemes szakemberekhez fordulni, mert sok esetben, ahogy ez a fenti példáknál látható, van ellenszer. Másrészt – mint arra Csizmazia-Darab is utalt előadásában a konferencián – a váltságdíjjal támogatjuk a bűnözőket, akik a pénzből további fejlesztéseket finanszírozhatnak. Minta azzal korábban foglalkoztunk, a kiberbűnözői csoportok egyre inkább átveszik a vállalati működési modellt, amelyben a fejlesztések is szervezetten történnek a befolyt pénzekből.
Tehát ha van is néhány ransomware ellen visszafejtő program, jobb félni, mint megijedni. Azaz a megelőzésre kell összpontosítani: legyen naprakész az operációs rendszer és az összes telepített szoftver, használjunk többrétegű védelmet biztosító biztonsági szoftvereket, és rendszeresen készítsünk biztonsági mentést értékes adatainkról.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak