Napjaink számítógépes és mobilos kártevői már nem csak a felhasználó idegesítésére vagy a vírusok írójának önös szórakoztatására szolgálnak: közvetlenül a pénzünket akarják.
Az már a múlt ködébe vész, pontosan miért is kezdtek el a számítástechnika hajnalán vírusokat írni egyesek. Az egykori trükkös programocskákra visszagondolva mindenesetre nosztalgikus idők voltak a mostani állapothoz képest, ugyanis általában csak néhány idegesítő feliratot vagy képet jelenítettek meg a képernyőn, de még a komolyabb versenyzőket is gyorsan ki lehetett irtani a rendszerből egy célzott vírusirtóval.
Az elmúlt évtizedekben azonban sokat változott a számítógépes és távközlési biztonság világa. Egyrészt megjelent az internet, amely kiváló terjesztési módszert biztosít a kártevők számára, másrészt pedig egy csomó új technológia és lehetőség felbukkanásával az egykori csínytevők bűnözőkké váltak: a vírusok, károkozók és egyéb támadások sokszor értékes pénzre, politikai vagy gazdasági előnyre váltható adatokat szereznek meg a megtámadott gépekről, és az elmúlt néhány évben felvirágzott a legújabb divat: a zsarolóvírus. A ransomware kategóriájú kártevők írói már nem elégszenek meg azzal, hogy indirekt módon gazdagodjanak meg adatok beszerzésével: inkább megbénítják a rendszerünket, elérhetetlenné teszik a legfontosabb fájljainkat és programjainkat, majd pedig a feloldásukért pénzt kérve igyekeznek kicsikarni az áldozatoktól a váltságdíjat.
Digitális pénzbehajtók
A ransomware jellegű támadások olyan szinten felpörögtek az elmúlt években, hogy már komoly gazdasági károkat okoznak. 2017 elején átlagosan két percenként történt ilyen eset valahol a világban, de ugyanazon év őszén már 40 másodpercenként fordult elő ilyesmi. Az idei év végére már 14 másodpercre csökken a támadások közötti átlagos idő, de persze nem csak az esetek sűrűsége kritikus. 2017-ben éves szinten 75 milliárd dollárnál járt az összeg, amelyet a zsarolóvírusok mögött állók bezsebeltek, és mivel leggyakrabban cégek és szervezetek az áldozatok, egyenként átlagosan 133 ezer dollár környékén fizettek az adataik visszaállításáért.
Az elmúlt idők talán lehgíresebb ransomware jellegű kártevője a WannaCry volt, amely 2017 májusában világszerte fertőzött meg Windows alapú gépeket. Ugyan a terjedését egy Windows frissítés, majd egy frissen felfedezett biztonsági kapcsoló segítségével viszonylag gyorsan le tudták állítani, de addigra is több százezer számítógépet fertőzött meg legalább 150 országban, a teljes kár pedig milliárd dolláros nagyságrendnél állt meg. A játékosokat 2016-ban a mentett állásokat és egyéb játékbeli tartalmakat lezáró TeslaCrypt támadta, és ugyanabban az évben Androidon is nagyot aratott a SimpleLocker nevű vírus. Legutóbb a Ryuk nevű ransomware váltott ki nagy felháborodást: ezzel olyan szervezeteket támadtak, amelyeknek fontos volt a folyamatos működés, például sajtótermékeket és közműveket, akik inkább fizettek, mert nem volt idejük máshogy orvosolni a lezárt adatok által okozott problémákat.
Sokszínű zsarolási módszerek
Zsarolóvírusokat sokféleképpen összeszedhetünk. Legtöbbször spam (levélszemét) vagy adathalász támadások állnak a háttérben, ilyenkor egy megtévesztő e-mail csatolmányát megnyitva, vagy egy trükkös weboldalt meglátogatva települ fel a vírus a gépünkre. Itt aztán az első fertőzés után terjeszkedni kezd, és ha a gép egy belső hálózat része, gyorsan befoglalja a többi elérhető eszközt is.
Az idők során a ransomware-eknek is több típusa alakult ki. A legegyszerűbbek azok, amelyek szimplán meggátolják, hogy hozzáférjünk bizonyos fájlokhoz és adatokhoz, de nem titkosítják ezeket. Az eggyel szofisztikáltabb megoldás már titkosítja is a megtámadott fájlokat, így ezek elérése csak a fizetés után megkapott kulcs használata után lehetséges újra. Akad olyan változat is, amely a gép meghajtóit alapvető vezérlői szinten titkosítja, így a teljes tárhely elérhetetlenné válik. És persze akadnak még trükkösebb változatok is, amelyek inkább begyűjtenek tőlünk titkos adatokat és ezután azzal fenyegetnek, hogy nyilvánosságra hozzák ezeket, hacsak nem utaljuk a váltságdíjat.
Bár egyértelműen a kiber-világon is túlmutató bűncselekményről van szó, hiszen jogosulatlan adatszerzés, betörés, zsarolás, kényszerítés és még egy csomó egyéb jogi formula alkalmazható lenne a támadók ellen, sajnos az elkövetők megtalálására és lekapcsolására viszonylag kicsi az esély. Ez leginkább annak köszönhető, hogy a váltságdíjak utalásakor lenyomozhatatlanok maradnak a bűnözők banki adatai és ezáltal a személyazonosságuk is, a fizetéseket ugyanis szinte minden esetben valamilyen kriptovalutában kérik. Így pedig kiválóan megoldhatják, hogy a valódi bankrendszeren kívül fogadják a tranzakciókat, azt pedig már senki nem nyomozhatja le, hogy honnan származik valakinek az a bitcoinja vagy ethereumja, amit egy hagyományos banknál dollárra, rubelre vagy bármilyen egyéb fizetőeszközre vált.
Kulcsra zárva
Egy zsarolóvírus jelenlétét többféleképpen is észlelhetjük. A legegyszerűbb az, amikor a kártevő azonnal, egyértelműen jelzi, mire számíthatunk, ilyenkor szépen felbukkan egy ablak, vagy megváltozik a Windows háttérképe, és egy üzenetet olvashatunk arról, hogy az adatainkat elzárták előlünk, majd pedig utasításokat adnak a feloldáshoz vezető váltságdíj kifizetésének módjaira. De vannak olyan vírusok is, amelyek lassan eszik be magukat a rendszerbe, és először csak puhatolóznak, milyen fájlokat szeretnénk a leggyakrabban elérni, hogy aztán ezek lezárásával a legnagyobb kárt okozzák. Ilyenkor gyakran csak azzal kezdődik a furcsaságok sora, hogy egyes fájloknál szabványos rendszer-hibaüzenet ugrik elő, miszerint az adott fájlt nem lehet megnyitni, vagy a fájltípust kezelő alkalmazás nem ismeri fel.
A legegyszerűbb persze az, ha egy céges gépen tapasztalunk ilyen érdekes viselkedést: elég csak körbenézni, és ha a munkatársak arcán is hasonló zavarodottságot látunk, akkor szinte biztos a diagnózis: zsarolóvírus áldozatai lettünk. Ilyenkor már nem nagyon tehetünk semmit, hacsak nem akarunk fizetni az adatok feloldásáért, de ezt senki nem ajánlja egyrészt a hihetetlenül borsos ár miatt, másrészt azért, mert semmi nem garantálja, hogy az elutalt bitcoinok után tényleg megkönyörülnek rajtunk az ismeretlen támadók. Szóval a megelőzés hihetetlenül fontos, ráadásul nem is olyan egyszerű, mint gondolnánk. A ransomware támadások ugyanis több esetben nem szimplán a régebbi értelemben vett vírusok, hanem inkább valamilyen olyan sérülékenységet használnak ki, amelyek az operációs rendszerben, vagy esetleg a gép főbb hardverelemeinek vezérlőrendszerében bújnak meg.
Így hát komplex védekezésre van szükség: nem elég csupán egyetlen kaput bezárni, az összes ablakot is kulcsra kell zárnunk, betömködni a rendszer minden rését és ezeket folyamatosan zárva is tartani. Mit jelent ez a gyakorlatban? Egyrészt azt, hogy a gép minden alapvető elemét frissítsük a Windowstól a BIOS-on át az egyes komponensek meghajtóiig. Másrészt használjunk folyamatosan frissített biztonsági megoldásokat és tűzfalakat, amelyek igyekeznek kiszűrni a próbálkozó kártevőket. Emellett pedig sosem lankadhat az éberségünk, amikor bármilyen e-mailes csatolmányt, vagy levélben küldött hivatkozást nyitunk meg, vagy esetleg ellenőrizetlen forrásból származó programokat telepítünk: az ördög jobb keze ugyanis ebben az esetben is a könnyelmű felhasználó.
A megelőzéshez tartozik az is, hogy gyakran mentsünk és archiváljunk minden olyan adatot, szoftvert és beállítást, amit fontosnak gondolunk, és ezeket tartsuk a napi használatban lévő gépeinktől elkülönítve. Így aztán ha elbuktunk egy zsaroló támadással szemben, még mindig ott a lehetőség arra, hogy a rendszert teljesen törölve, mindent formázva a mentésekből visszaszerezhessünk mindent anélkül, hogy a támadók egy bitfillért is kapnának tőlünk.
És végül ne higgyük, hogy csak azért, mert a hírekben legtöbbször nagyvállalatok, szervezetek elleni ransomware támadásokról hallunk, a kis Bt.-nk pár számítógépe, az otthoni PC vagy a zsebünkben pihenő telefon biztonságban van: gondoljunk csak bele, mennyi olyan adat pihen ezeken, ami égetően hiányozna, ha hirtelen elzárnák előlünk. Szóval mentésre és védelemre fel!
