Ransomware (zsarolóvírus) támadások és kezelésük

Manapság igen sok szó esik a ransomware támadásokról a hírekben. Meglepő, hogy milyen kevesen tudják, valójában mit jelent ez és mi történik, ha megtámadnak vele.

Itt egy lista arról, hogy milyen intézkedésekkel védhetjük meg magunkat ellen és mit tegyünk, ha már bekövetkezett a legrosszabb.

Mi a Ransomware?

A Ransomware a malware-eknek egy olyan kategóriája, amely pénzt próbál kicsalni áldozataitól – zsarolásnak kitéve őket. A legtöbb programot úgy tervezték, hogy csendesen üljenek a rendszerünkben és lassan titkosítsák a fájljainkat. Csak miután befejezték a titkosítást, jelenik meg a halálos üzenetük – miszerint fizessünk, vagy örökre elveszítjük a fájljainkat.

Nem létezik hibátlan biztonsági rendszer. A malware-ek mindig egy lépéssel előrébb járnak. Ha áldozatul esnénk, itt van néhány hasznos útmutatás, ami segíthet:

1. Lépés: Minimalizáljuk a kárt

Először is, izoláljuk az érintet rendszert, különösen, ha az a hálózatunkhoz van csatlakoztatva, így megelőzhetjük, hogy más rendszerek is megfertőződjenek.

Ha IT adminisztrátorok vagyunk és a szervereink megfertőződtek, húzzuk ki az összes Ethernet kábelt.

Ne próbáljunk biztonsági mentést készíteni azáltal, hogy kimásoljuk a fájlokat egy külső lemezre. Azt gondolhatjuk, hogy jó ötlet lehetne megőrizni a még nem titkosított fájlokat, de ezzel terjeszthetjük a malware-t. Amikor berakunk egy lemezt/USB-t a fertőzött számítógépbe, a malware megint lemásolhatja önmagát az újonnan betett meghajtóra.

Amikor ezt a lemezt/USB-t egy másik számítógépbe tesszük, a malware azt a rendszert is megfertőzheti. Vagy, ami a legrosszabb, végül újra megfertőzhetjük a saját rendszerünket, miután mindent megtettünk a kitisztítása érdekében.  Ezért a legjobb, ha egyszerűen karanténba tesszük az érintett számítógépet.

2. Lépés: Azonosítsuk a ransomware típusát

Számos típusa van a ransomware-eknek, némelyik sokkal veszélyesebb és nehezebben kezelhető, mint a többi. Különböző stratégiákat használhatunk, hogy megszabaduljunk tőlük, a támadás típusától és jellemzőitől függően. A leggyakoribb fajták a következő kategóriákba esnek:

  1. Scareware/Fake antivirus
    A
    Scareware, amit ál antivirusnak is mondanak, egy olyan kategóriája a malware-eknek, amely abban a hitben tartja a felhasználókat, hogy valami elromlott a rendszerükben.
    Ezután venniük kell néhány másik szoftvert, hogy megtisztíthassák azt. Természetesen semmi hiba nincs a számítógéppel és gyakran a többi szoftver vásárlása eredményez valódi fertőzést.
    A legtöbb esetben, ez úgy működik, hogy mutat egy felugró üzenetet, ami olyan problémákat jelent be, mint hogy vírust talált és a rendszer lelassult vagy éppen rendszerleíró adatbázis problémák merültek fel – mindez nagy félkövér betűkkel jelenhet meg a képernyő közepén. Clickbait-et is tartalmazhat, amivisszairányítja a felhasználót a malware weboldalára, akkor is, ha a felugró ablak már be lett zárva. Itt egy kép róla:
    Talán a Scareware-rel a legkönnyebb elbánni az összes malware fajta közül. Egyszerűen zárjuk be a böngésző lapot és a felugró ablak eltűnik. Ha az operációs rendszerünkben is felugró ablakokat kapunk, szükség lehet a tettes végrehajtó fájl azonosítására, a Feladatkezelő vagy egy haladószintű folyamat feltáró használatával. Ezután csak töröljük vagy uninstalláljuk. Ha még mindig problémáink vannak, scanneljük át a gépet egy antivirus vagy anti-malware program használatával.
  2. Képernyő lezáró ransomware
    A ransomware-ek ezen kategóriája nem engedi, hogy futtassuk a számítógépünket, amíg ki nem fizettük a váltságdíjat. A legtöbb esetben, egy teljes képernyős ablak jelenik meg egy figyelmeztető üzenettel. Azt állíthatja, hogy az FBI-tól származik, mivel észrevették, hogy illegális tartalmakat töltöttünk le. Más esetekben, pornográf kép kerül be háttérnek, amit nem lehet lecserélni. Azon alapul, hogy megszégyeníti az áldozatot, amíg az nem fizet. Több haladószintű program követi a felhasználói aktivitást néhány napig, majd testreszabott figyelmeztetést jelenít meg, hogy még hihetőbbé és megfélemlítőbbé tegye az üzenetét. Itt egy példa:
    Ha egy ilyennel fertőződnénk meg, próbáljuk meg azonosítani a végrehajtó programot, ami első sorban okozza a problémát. A legtöbb esetben, egyszerűen nyomjunk CTRL + ALT + DEL -t a Feladatkezelő megnyitásához és így bezárhatjuk a programot.
    Miután letöröltük a végrehajtó programot, jó ötlet, ha lefuttatunk egy teljes antivírus scan-t is, hogy eltakarítsunk minden fennmaradó maradványt. Ha ezek a megoldások nem működnek, szükség lehet a Windows visszaállítására vagy helyreállítására, hogy visszahthese solutions don’t work, you may need to restore or recover Windows to get it baozzunk egy olyan állapotot, amikor a malware még nem volt jelen vagy alvó módban volt.
  3. Fájl-titkosító ransomware
    Az utolsó és legveszélyesebb kategória azon programoké, amelyek titkosítják az összes fájlunkat és használhatatlanná teszik őket, amíg meg nem fizetjük a váltságdíjat a zsarolóknak. Tipikus, hogy behatolnak az áldozat rendszerébe és csendesen elkezdenek titkosítani minden fájlt, teljesen használhatatlanná téve őket.
    Amikor ez befejeződött, váltságdíjat követelnek, hogy feloldják a titkosítást. Manapság, az olyan kriptovaluták, mint a bitcoin és az általuk biztosított anonimitás kiváló utat biztosítanak a támadóknak a fizetés követelésére.  Itt van egy kép, amit a Wannacry által megtámadott felhasználók láthattak:
    Azt is érdemes megérteni, hogy hogyan működnek a titkosítások. Ez segíthet kulcsokat találni ahhoz, hogy miként oldhatjuk fel a titkosítást a fájljainkról.
    A legtöbb program a szimmetrikus és aszimmetrikus titkosítás egy kombinációját használja a futásakor (katt  ide több információért a titkosítási típusokról). A szimmetrikus titkosítás hasznos, mert lehetővé teszi a támadó számára, hogy jóval gyorsabban titkosíthassa a fájlokat, mint az aszimmetrikus esetében. Az aszimmetrikus titkosítás mindazonáltal azt jelenti, hogy a támadóknak csak egyetlen privát kulcsot kell védelmeznie. Másképpen szimmetrikus kulcsok fenntartására és védelmére lenne szükségük minden áldozat esetében.

A Command and control server-ek / a vírus működését és felhasználását irányító szerverek (C&C) általánosan használatosak a program kommunikáció során. A fájl-titkosító ransomware-ek ily módon szimmetrikus és aszimmetrikus titkosítást is használhatnak egy támadás végrehajtásához:

  • A privát-nyilvános kulcs a támadó oldaláról generálódik, a számos elérhető aszimmetrikus titkosítási algoritmus bármelyikének felhasználásával, mint például az RSA-256.
  • A private kulcsokat a támadó védi, míg a nyilvánosak a ransomware programba vannak beágyazva.
  • Egy új áldozat-rendszer fertőződik meg a ransomware által. Az egyedi rendszer azonosítóvl vagy az áldozat azonosítójával küldi tovább az információkat a C&C szerver felé.
  • Az egyik szimmetrikus titkosítású algoritmus (pl. AES) használatával, a szerver elkészíti és elküldi a szimmetrikus kulcsot, ami specifikus az áldozat rendszerére. A szimmetrikus kulcs ezután titkosításra kerül a privát segítségével.
  • A ransomware program beágyazott nyilvános kulcsot használ a szimmetrikus kulcs megfejtéséhez – ezután elkezdi az összes fájl titkosítását.

Most, hogy már tudjuk, pontosan miként működnek a ransomware programok, nézzük, milyen opcióink vannak, ha a rendszerünk már megfertőződött.

3. Lépés: Döntsük el a stratégiát

A ransomware-ek első két kategóriájának kiküszöbölését már viszonylag egyszerű módon megvitattuk fentebb.

A fájl-titkosító programok kizárása már bonyolultabb. Először is, azonosítanunk kell a malware típusát, amivel dolgunk akadt. Szűkös információk állhatnak rendelkezésre a frissebb programokhoz, mivel minden nap újak íródnak. De a legtöbb esetben, képesnek kell lennünk azonosítani őket egy kis kutatás árán.

Próbáljunk screenshot-okat készíteni a zsaroló figyelmeztetésekről, majd fordított képkereséssel azonosítani a ransomware pontos típusát. A figyelmeztetésben szereplő kifejezésekre is rákereshetünk.

Döntsük el, hogy ki akarjuk-e fizetni a váltságdíjat vagy sem. Habár nem ajánlott fizetni a támadóknak, mivel ez felbátoríthatja őket, néha az adataink túl érzékenyek vagy fontosak ahhoz, hogy elveszítsük őket. Használjuk az ítélőképességünket és ne fizessünk addig, amíg abszolút nem szükséges.

A legrosszabb esetben természetesen azzal is számolnunk kell, hogy nincs garancia az adataink visszatérítésére, még a váltságdíj megfizetése után sem.

4. Lépés: Tegyünk lépéseket

Ha azonosítani tudjuk a gépünket megfertőző ransomware adatait, keressünk rá a weben, hogy miként tudnánk eltávolítani. A malware kód sosem hatékony. A fejlesztő talán elfelejtette törölni a titkosítási kulcsot a programból, aminek segítségével dekódolhatók a fájlok.

Ha a ransomware eléggé jól ismert és van néhány kiskapuja, akkor meg kell találnunk azon online útmutatókat és oktatóanyagokat, amelyek segítenek eltávoltani, mint például az olyan oldalak, mint a nomoreransom.org.

Mivel számos ransomware program egyszerűen törli az eredeti fájlokat, miután titkosította a másolatukat, lehetséges lehet visszaállítani őket egy adatvisszaállító szoftver használatával. Amikor kitörlünk egy fájlt, az valójában fizikailag nem törlődik a lemezről, hacsaknem felülíródik egy másikkal. Ezért lehetséges lehet visszaállítani a fontos adatokat egy ingyenes visszaállító szoftver használatával.

Ha ezen módszerek egyikével sem járunk sikerrel, döntést kell hoznunk. Kifizetjük a váltságdíjat vagy elveszítjük az adatainkat. Még ha fizetünk is, az adataink visszaállítása természetesen nem garantált. Ez egy olyan helyzet, ahol teljességgel a támadók “jóindulatára” vagyunk utalva.

Megpróbálhatunk tárgyalni is a támadókkal, a zsaroló figyelmeztetésben szereplő emailen. Meglepődnénk, hogy ez milyen gyakran működhet.

Ha amellett döntünk, hogy nem fizetjük ki a váltságdíjat, a következő lépés megtisztítani a PC-nket, de az adatokat örökre ELVESZÍTJÜK. Ha van biztonsági mentésünk egy külső lemezen, azt ne tegyük a PC-nkbe, mielőtt nem formattáltuk azt teljesen.

A legjobb út a ransomware kitisztítására, az operációs rendszerünk hard formattálása. Ha nem szeretnénk ilyen drasztikus lépést tenni, győződjünk meg róla, hogy a ransomware nem fertőzte meg a boot szektort. Erről bővebb információkat is találunk az interneten.

A következőkben, frissítsük az antivirus programunkat és végezzünk egy teljes deep scan-t a rendszerünkön. Jó ötlet lehet kiegészíteni az antivirust egy anti-malware programmal, a teljes védelem érdekében. Így biztosan eltávolíthatjuk a ransomware-t.

5. Lépés: Tudakozódás

Most, hogy megszabadultunk a ransomware-ünktől, ideje utánanézni, hogy elsősorban miért támadtak meg bennünket. Ahogy azt egy bölcs mondta egyszer: “Megelőzni jobb, mint gyógyítani” és ez az online biztonságra mindennél jobban igaz. A védelem csak annyira erős, mint a felhasználó és alapos védelmi intézkedésekkel, bármilyen malware számára megnehezítjük a támadást.

Maradjunk éberek és tartsuk észben a következő pontokat:

  1. Mindig tartsuk naprakészen az antivírus programunkat.
  2. Mindig ellenőrizzük a meglátogatott weboldal URL-jét.
  3. Ne futtassunk megbízhatatlan programokat a rendszerünkön. Az olyan fájlok, mint a crack-ek, serial-ek, patch-ek stb. a malware-ek leggyakoribb forrásai.
  4. Ne engedélyezzük megbízhatatlan oldalaknak, hogy végrehajtható tartalmakat futtassanak a böngészőnkben.
  5. Tartsuk az operációs rendszerünket naprakészen. A malware-ek, beleértve a ransomware-eket, gyakran terjednek megjavítatlan biztonsági sebezhetőségeken keresztül a régebbi operációs rendszerekben. Egy hack például kiaknázhat egy bug-ot a Windows RDP szoftverében, hogy hozzáférést szerezzen a nyilvánosan internethez kapcsolódó rendszerhez és végrehajtsa a malware-t.
Hasznos volt? Oszd meg!
Megosztás Facebookon
0
Tweet-elés
0
Ossza meg ha úgy látja, hogy a Google nem tud eleget önről
0