Mi az a Ransomware?

A rosszindulatú programok egyik legújabb típusát ransomware néven ismerik. A ransomware egy különösen csúnya típusú rosszindulatú program, mivel átmegy és titkosít minden fájlt a számítógépén, majd megjelenít egy váltságdíjat. Eszköze feloldásához ki kell fizetnie a váltságdíjat, hogy aztán megkapja a feloldó kódot. Történelmileg a legtöbb zsarolóvírus-kampány valóban dekódolja a fájlokat, miután a váltságdíjat kifizették, mivel a hackerek alkuvégét fenntartó nyilvánosságra hozatal fontos része annak, hogy rávegyék az embereket a fizetésre.

Megjegyzés: Általában ajánlott, hogy ne fizesse ki a váltságdíjat. Ez továbbra is bizonyítja, hogy a zsarolóprogramok nyereségesek lehetnek, de nem garantálja, hogy ismét hozzáférhet adataihoz.  

Tipp: A titkosítás az adatok titkosítási kóddal és kulccsal történő titkosításának folyamata. A titkosított adatokat csak a visszafejtő kulcs használatával lehet visszafejteni.

Hogyan működik?

Mint minden rosszindulatú programnak, a zsarolóprogramnak is be kell jutnia a számítógépére, hogy futhasson. Számos lehetséges fertőzési módszer létezik, de a leggyakoribb módszerek a weboldalak fertőzött letöltése, a rosszindulatú hirdetések és a rosszindulatú e-mail mellékletek.

Tipp: A rosszindulatú reklámozás rosszindulatú szoftverek hirdetési hálózatokon keresztül történő szállításának gyakorlata.

Miután letöltötte a számítógépére, a ransomware elkezdi titkosítani a fájlokat a háttérben. Egyes változatok a lehető leggyorsabban megteszik ezt, és észreveheti, hogy ez befolyásolja a rendszer teljesítményét, de akkor kevés ideje van bármit is tenni ellene. Egyes ransomware-változatok lassan titkosítják az adatokat, hogy csökkentsék annak esélyét, hogy működés közben észreveszik őket. Néhány zsarolóvírus-változat hetekig vagy hónapokig szunnyadt, hogy bekerüljön a rendszer visszaállításához használható biztonsági másolatokba.

Tipp: A Ransomware rendszerint elkerüli a kritikus rendszerfájlok titkosítását. A Windowsnak továbbra is működnie kell, de minden személyes fájl stb. titkosítva lesz.

Miután a ransomware mindent titkosított a számítógépen, az utolsó lépése egy váltságdíj-jegyzet létrehozása, általában az asztalon. A váltságdíj-jegyzet általában elmagyarázza, mi történt, útmutatást ad a váltságdíj kifizetéséhez, és mi történik, ha nem. Általában határidőt is határoznak meg, az áremelés veszélyével vagy a fizetésre buzdító kulcs törlésével.

A zsarolóprogramok számos változata olyan funkciót biztosít, amely lehetővé teszi néhány fájl visszafejtését „jóakaratú” gesztusként annak bizonyítására, hogy a fájlok visszafejthetők. A fizetési mód jellemzően bitcoin vagy más kriptovaluta. A váltságdíj-jegyzet általában számos linket tartalmaz olyan webhelyekre, ahol megvásárolhatja a megfelelő kriptovalutákat, hogy megkönnyítse az emberek fizetését.

Miután megadta a fizetést, vagy néha a fizetési igazolást, általában megkapja a visszafejtési kulcsot, amellyel visszafejtheti adatait. Sajnos vannak olyan változatok, amelyek soha nem dekódolják, még akkor sem, ha fizetsz –  vagyis NE fizess, hanem keress más megoldásokat.

A számítógépen a titkosítási folyamat általában véletlenszerűen generált szimmetrikus titkosítási kulccsal történik. Ezt a titkosítási kulcsot ezután egy aszimmetrikus titkosítási kulccsal titkosítják, amelyhez a ransomware készítője rendelkezik a megfelelő visszafejtő kulccsal. Ez azt jelenti, hogy csak a ransomware készítője tudja visszafejteni a számítógépe visszafejtéséhez szükséges jelszót.

Tipp: Kétféle titkosítási algoritmus létezik, a szimmetrikus vége aszimmetrikus. A szimmetrikus titkosítás ugyanazt a titkosítási kulcsot használja az adatok titkosításához és visszafejtéséhez, míg az aszimmetrikus titkosítás más kulcsot használ az adatok titkosításához és visszafejtéséhez. Az aszimmetrikus titkosítás lehetővé teszi, hogy egy személy több embernek adja meg ugyanazt a titkosítási kulcsot, miközben megtartja az egyetlen visszafejtő kulcsot.

Egyes ransomware-változatok olyan támogatási funkciókat is tartalmaznak, amelyek lehetővé teszik, hogy kapcsolatba léphessen a csalást futtató személlyel. Ennek célja, hogy segítsen végigvezetni a fizetési folyamaton, azonban néhány ember sikeresen megpróbálta lealkudni az árat.

Tipp: Egyes esetekben a zsarolóprogramokat másodlagos fertőzésként telepítik, hogy megpróbálják elfedni egy másik vírus létezését, amely esetleg más adatokat lopott el rejtetten. Ebben az esetben a cél elsősorban a naplófájlok titkosítása, valamint az incidensre adott válasz és a kriminalisztika folyamatának megnehezítése. Ezt a fajta támadást általában csak a vállalkozások elleni célzott támadásoknál alkalmazzák, nem pedig az általános számítógép-felhasználókat.

Hogyan védd meg magad

Csökkentheti annak esélyét, hogy megfertőződjön zsarolóprogramokkal és más rosszindulatú programokkal, ha óvatosan jár az interneten. Ne nyisson meg olyan e-mail mellékleteket, amelyeket nem várt, még akkor sem, ha megbízik a feladóban. Soha ne engedélyezze a makrókat az irodai dokumentumokban, különösen akkor, ha a dokumentumot az internetről töltötték le. Az Office dokumentummakrók gyakori fertőzési módszerek.

Egy hirdetésblokkoló, például az uBlock Origin, jó eszköz lehet a rosszindulatú hirdetések elleni védelemre. Gondoskodnia kell arról is, hogy csak legitim és megbízható webhelyekről töltsön le fájlokat, mivel a rosszindulatú programok gyakran elrejthetők a fertőzött letöltésekben, amelyek fizetős szoftverek ingyenes verzióinak álcázzák magukat.

A vírusirtó vagy kártevőirtó szoftver birtoklása és használata általában jó védekezés a rosszindulatú programok ellen, amelyek képesek túllépni az első védelmi vonalon.

Segítség, megfertőződtem!

Ha abban a helyzetben találja magát, hogy a zsarolóvírus átvette az uralmat a számítógépén, akkor ingyenesen feloldhatja a zsarolóprogramot. Számos zsarolóprogramot rosszul terveztek meg, és/vagy a bűnüldöző szervek már eltávolították őket.

Ezekben az esetekben lehetséges, hogy a fő visszafejtő kulcs azonosításra került, és elérhető. Az Europol EC3 (Európai Kiberbűnözési Központ) rendelkezik egy „ Crypto Sheriff ” nevű eszközzel, amellyel azonosítani lehet a ransomware típusát, majd összekapcsolhatja Önt a megfelelő visszafejtő eszközzel, ha van ilyen.

Az egyik legjobb védelem a ransomware ellen a jó biztonsági mentés. Ezeket a biztonsági másolatokat olyan merevlemezen kell tárolni, amely nem csatlakozik a számítógéphez, vagy ugyanabban a hálózatban, mint a számítógép, hogy megakadályozzák a fertőzést. A biztonsági másolatot csak a zsarolóprogram eltávolítása után szabad csatlakoztatni az érintett számítógéphez, ellenkező esetben az is titkosítva lesz.