A kártevők két fő típusba sorolhatóak: titkosító trójaiak, illetve képernyőzárak. A titkosító trójaiak módszeresen végigsöpörnek a merevlemezen, és úgy módosítják a dokumentumokat és a fotókat, hogy azok a titkosítás feloldásához szükséges kulcs nélkül soha többet nem lesznek megnyithatóak. A kulcsot a bűnözők árulják, átlagosan 150 ezer forint körüli összegért. Fizetni azonban megint csak szerfölött kockázatos, mivel jó eséllyel az adatok tulajdonosának pénze is elveszik, ám a feloldó kulcshoz nem jut hozzá.
Más megoldás viszont nincs igazán: a feltörésre még egy szuperszámítógép birtokában sincs esély.
A képernyőzárak jellemzően a teljes operációs rendszert zárolják, egészen addig, amíg a váltságdíjat ki nem fizeti a károsult. Többségük valamilyen „hatósági figyelmeztetést” jelenít meg, amely arról tájékoztat, hogy a gépen „inkriminált” állományok találhatóak, és a „hatóság” eljárást kezdeményez, hacsak a felhasználó nem fizeti be a rá kiszabott „büntetést”.
Zsaroló kártevőkből változatok százai léteznek, a legismertebb titkosítók a Cryptolocker, a Cryptowall, a VaultCrypt és a CTB-Locker, a legelterjedtebb képernyőzár pedig az FBI Trójai, vagy más néven Reveton.
Miért terjednek olyan jól?
A zsaroló kártevők rendszerint megtévesztéssel (social engineering) terjednek. Az emberek hajlamos arra, hogy segítsen a másiknak, és érdekeltek a nehézségek elkerülében. A bűnözők pedig kihasználják ezeket a tulajdonságokat.
Jellegzetes példa a hamis megrendelési visszaigazolás. Ezekhez az e-mailekhez rendszerint csatolva van egy fájl, melyet az áldozatnak meg kell nyitnia. Ha valaki kap egy e-mailt, amely arról tájékoztatja, hogy a „rendelése megérkezett”, de nem emlékszik arra, hogy rendelt volna valamit, akkor hajlamos megnyitni a csatolmányt, hogy „megtudja a részleteket”.
Egy másik, tipikus módja a megfertőződésnek az, ha fertőzött weboldalra tévedünk. Ilyenkor nincs szükség semmilyen letöltésre, és arra sem, hogy valamire rákattintsunk, egyszerűen böngészés közben fertőződik meg a számítógépünk.
A vírusok működését segítik a külső alkalmazások sérülékenységei. A Word, az Adobe Acrobat, a Java vagy magának az operációs rendszernek a biztonsági rései kihasználhatóak a terjesztésükre.
A zsaroló kártevők működése ráadásul rendkívül gyors. A csatolmány megnyitása után néhány ezredmásodperccel már zárolódhat is a gép; a titkosító kártevők is hasonlóan gyorsak. Mialatt a titkosító komponens telepítődik, a kártevő kapcsolatba lép a bűnözők szerverével, és letölti a titkosításra használt egyedi kulcsot. Amikor a zsaroló üzenet megjelenik a képernyőn, rendszerint már késő, nincs mentség, a dokumentumok titkosíttattak.
Miért nem mindig segít a vírusirtó?
A vírusirtó szoftverek gyártói évek óta koncentrálnak arra, hogy blokkolják a titkosító kártevők működését. A védelem alapját még mindig a rendszeresen frissített vírusleírások (szignatúrák) képezik, de ezek rendszeres frissítése már rég nem elegendő a védelemhez. A megelőző magatartás alapú védelem célja, hogy szignatúrák nélkül is felismerje a kártevőket, pusztán az alapján, ahogyan azok viselkednek a számítógépen.
Miért nem létezik önálló védelmi program a zsaroló kártevők ellen? Technikailag lehetséges lenne elkészíteni egy olyan szoftvert, mely védelmet nyújt a legtöbb zsaroló kártevő ellen. A probléma: ez a szoftver annyira leterhelné – és így lassítaná is – a számítógépeket, hogy a használók nem szívesen telepítenék a gépükre. A feladat tehát a vírusirtó szoftverek készítői számára az, hogy úgy nyújtsanak maximális védelmet, hogy közben minimalizálják a szoftvereik erőforrásigényét.
Mit tehetünk a fertőzés megelőzésére?
Mivel a zsaroló kártevők által titkosított adatokat nem lehet visszanyerni, a legfontosabb, hogy minden használó folyamatosan készítsen biztonsági másolatokat adatairól. Ideális esetben naponta készül ilyen másolat, melyet azután a számítógéptől teljesen külön tárolunk, ami azt jelenti, hogy a külső adathordozó sem vezeték nélküli, sem vezetékes hálózaton nincs összekapcsolva a számítógéppel. A feladat elvégzését megkönnyíti, hogy egyes vírusirtó szoftverekben (például G Data) van beépített mentési modul.
A G Data emellett azt tanácsolja, hogy a számítógép-használók folyamatosan telepítsék a külső alkalmazások és az operációs rendszer frissítéseit. A harmadik fél szoftvereiben rejtőző sérülékenységek ellen a vírusirtók sérülékenység elleni védelme (exploit protection) véd ugyan, de ennek megvannak a maga korlátai. A legjobb, ha minden alkalmazás biztonsági frissítéseit telepítjük.
A harmadik fontos teendő a magatartás alapú és a felhő alapú védelem aktiválása. A heurisztikus, proaktív, valamint a reputáció alapú védelmi technológiák kiegészítik a hagyományos vírusvédelmet, és további biztonsági rétegeket alakítanak ki a számítógépen. Segítségükkel a vírusirtó képes kiszűrni például azokat a még nem ismert kódokat, programokat, melyek hátsó kapukat nyitnak a gépen, és külső szerverekről próbálnak meg adatokat letölteni.
Bár nem létezik 100 százalékos biztonságot nyújtó védelmi program, de a folyamatosan frissített vírusirtó szoftver használata rendkívül hasznos, sőt, kötelező. A védelmi technológiák kombinálásával a minőségi szoftverek megbízhatóan védenek, a kockázatot pedig nulla közeli szintre csökkenti a rendszeres mentés.
Van néhány magatartási szabály, amit fontos megtartani. Megnyitás nélkül törlendők azok az e-mailek, amelyek
– ismeretlen feladótól érkeznek,
– sürgető hangneműen, és negatív következményeket helyeznek kilátásba,
– és valamilyen cselekvésre hívnak fel (ellenőrizze a mellékletet).
Mivel a kártevők jellemzően annak a használónak a nevében futnak a gépen, aki be van jelentkezve, így érdemes nem rendszergazdai, hanem általános felhasználói jogosultsággal használni a gépet.
Vállalati környezetben a különböző szoftverek futása korlátozható házirend-kezelővel is, a G Data Policy Manager segítségével például kijelölhető, hogy milyen gyártóktól származó programokat lehessen elindítani. Emellett lehetőség van arra, hogy a csoport-házirendek szerkesztésével korlátozzuk, milyen mappából legyenek futtathatóak a különböző programok. Mivel a legtöbb kártevő ideiglenes mappákból vagy a lomtárból indítja el magát, ez is növeli a biztonságot.
Mit tegyünk, ha megfertőződött a számítógépünk?
Először is ne essünk pánikba, mert az egészen biztosan csak ront a helyzeten. Az első és legfontosabb, hogy a fertőzött számítógépet kapcsoljuk le a hálózatról, hogy a fertőzés ne tudjon átterjedni más gépekre. Adott esetben a gépet kapcsoljuk ki, majd a merevlemezt tisztítsuk meg úgy a kártevőktől, hogy a vírusirtó indítólemezét használjuk, így nem az alapértelmezett operációs rendszert indítjuk el, hanem a vírusirtó szoftver kezelőfelületét.
A váltságdíjat ne fizessük ki! Egyáltalán nem garantált, hogy visszakapjuk az adatainkat, de ha fizetünk, azzal hozzájárulunk a szervezett bűnözés sikeréhez. Az adatainkat állítsuk helyre a külső mentésből, és ha erre szükség van, akkor egy adattörlő szoftver segítségével fertőtlenítsük a merevlemezt, majd telepítsük újra a számítógépet.
