Az öreg kontinens tagállamainak rendőri egységeit összefogó szervezet az Intel Security-vel és a Kaspersky Labbel karöltve magára vállalta a zsaroló programok elleni európai hadjárat feladatát. A holland rendőrség által is támogatott No More Ransom portál létrehozása a ransomware-ek jelentette fokozódó fenyegetés ellen született meg. A tavalyi rekordmennyiségű, közel egymilliónyi pórul járt internetező alkotta tábor jelentős csökkentését célozták meg.

Ehhez a fent említett portálon számos információ nyújt segítséget. Egyrészt nagy hangsúlyt fektetnek a felhasználók oktatására: felhívják a figyelmet a veszélyre és arra, milyen forrásból érkezik a fenyegetés. Ennél sokkal nagyobb lépést jelent annak a közel 160 ezer kulcsnak a közzététele, melyekkel számos ransomware-titkosítás feloldható.

Árnyékban

A zsaroló programok egyik legdurvábbika a 2014-ben felbukkant Shade trójai. A website-okon és fertőzött e-mail csatolmányokon keresztül terjedő ártalmas program különösen sok embernek okozott gondot; a fontos állományokat titkosító malware csak akkor engedett hozzáférést a védetté vált adatokhoz, ha a pórul járt internetező kinyitotta digitális pénztárcáját, hogy a Shade alkotóit „támogassa”.

Időközben azonban a Shade vezérlő és irányító szervereit a rendőrség lekapcsolta, átvizsgálásukkal pedig fellelték a kódvisszafejtéshez szükséges kulcsokat. Ezek aztán a Kaspersky és az Intel Security birtokába kerültek, a cégek pedig elérhetővé tették az érintettek számára. Utóbbiak fellélegezhetnek: anélkül férhetnek ismét hozzá fontos állományaikhoz, hogy fizetniük kellene a ransomware-ek készítőinek.

A Shade-en túl többek között a CoinVault és a Bitcryptor, a Rannoh, az AutoIt, a Fury, a Crybola és  a Cryakl zsaroló programok ellen is található eszköz a No More Ransom portálon.

Pedig olyan egyszerű lenne védekezni

Jornt van der Wiel, a Kaspersky kutatórészlegének szakértője szerint „a titkosítást alkalmazó ransomware-ekkel napjainkban az a legnagyobb probléma, hogy mihelyst zárolásra kerülnek, a felhasználóknak fizetniük kell a feloldásért. Ez jelentős lökést ad az illegális digitális tevékenységeket működtető gazdaságnak, aminek felismerésével egyre több és több új szereplő lép a piacra, ami persze együtt jár a támadások számának növekedésével is.”

„Csak akkor változtathatunk a helyzeten, ha összehangoljuk a ransomware-ekkel szemben folytatott erőfeszítéseinket. A visszafejtő eszközök megjelenése csak az első lépés ezen az úton” – fogalmazott van der Wiel.

Maga a védekezés egyébként nem lenne különösen megterhelő: a titok a rendszeres és biztonságos adatmentésben rejlik. Így, ha meg is fertőződik az internetező számítógép, pár kattintással helyre lehetne állítani a titkosítottá vált állományokat a backupból.

Itt az első zsaroló program Macekre

A márciusban megjelent, KeRanger néven futó károkozó egy népszerű nyílt forráskódú BitTorrent kliensen, a Transmissionön keresztül fertőzi az Apple gépeket. Két éve már egyszer felbukkant egy Mac OS X-specifikus zsaroló, a Kaspesky Lab által felfedezett FileCoder, az azonban még egy meglehetősen kezdetleges károkozó volt, fertőzése nem is okozott komolyabb károkat. A KeRanger azonban már a Windowsokon és az Androidon is egyre népszerűbb károkozótípus kifejlett példánya.

A KeRanger első körben 72 órára zárja ki a felhasználót a gépéből. A zárolás feloldásáért 1 bitcoint kér, ez márciusi árfolyamon valamivel több mint 400 dollár (mintegy 115 ezer forint). A KeRanger azért tudta megkerülni az Apple Gatekeeper védelmét, mert érvényes tanúsítvány használt az alkalmazás aláírására. Az Apple azóta már eltávolította a kompromittált tanúsítványt.