Hogyan vehetjük fel a harcot a zsarolóvírusokkal! Kisokos a szakértőktől

Bár rengetegszer esik szó a zsarolóvírusokról a dolog továbbra is napirenden van, sőt, a csalók újabb és újabb módszerekkel próbálják átverni a netezőket. Éppen ezért ez a két téma, a zsarolóvírusok és az adathalászat került az idén 10. alkalommal, októberben sorra kerülő Európai Kiberbiztonsági Hónap középpontjába. Magyarország 2016 óta vesz részt a sorozatban. A kampánnyal összefüggő tervezési és koordinálási feladatokat, valamint az érintett nemzeti és EU-s felekkel való kapcsolattartást és egyeztetést a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet látja el.

A zsarolóvírus vagy zsarolóprogram olyan szoftver, amely valamilyen módszer alapján zárol egy számítógépet vagy titkosítás útján elérhetetlenné tesz egyes fájlokat a tulajdonosa számára. A bűnözők ígéretei alapján ezeket csak a megadott váltságdíj kifizetése után teszik újra elérhetővé. A kártevők nem véletlenül vannak évek óta a fókuszban. Az elmúlt évek tendenciái azt mutatják, hogy egyes csoportok a nagyobb haszonszerzés reményében egyre sűrűbben támadnak nagyobb vállalatokat. Az ilyen fenyegetéssel szemben az egyéni felhasználók sincsenek biztonságban, azonban fontos tudni, hogy sokkal kecsegtetőbb célpontot nyújt egy olyan vállalat, amely több milliós vagy milliárdos bevétellel rendelkezik és olyan adatokat, információkat kezel és tárol, amelyek nyilvánosságra hozatala vagy elérhetetlenné tétele óriási anyagi és pr-károkat okozna a vállalat számára.

Ezzel összhangban a zsarolóvíursokról Halász Viktor rendőr százados (Készenléti Rendőrség, Nemzeti Nyomozó Iroda) a szeptemberi Belügyi Szemlében megjelent “Zsarolóvírusok és a No More Ransom projekt” című cikkében a következőképpen fogalmaz : “A zsarolóvírusok az utóbbi másfél évtizedben a számos vírusvariáns egyikéből rövid idő alatt az egyik leghatékonyabb, legjövedelmezőbb és legkisebb kockázattal járó fegyverré nőtték ki magukat a kiberbűnözők kezében. A kriptovaluták elterjedésével párhuzamosan a ransomware támadások számának rohamos emelkedésének lehettünk tanúi, és emellett a támadások mögött álló technológiák is megállás nélkül fejlődtek. Mindez oda vezetett, hogy ma már minden internetfelhasználónak és vállalkozásnak figyelemmel kell lennie a ransomware támadások kockázataira, a bűnüldöző hatóságok tagjainak pedig tisztában kell lenniük ezeknek a kártevőknek a jellemzőivel, a működésük főbb elveivel és a bűnözők által használt módszerekkel, hogy hatékonyan tudjanak reagálni ezekre a támadásokra.”

A Magyar Nemzeti Bank “Fintech és digitalizációs jelentésében pedig arról ír, hogy a zsarolóvírus okozta károk összege évről évre nő, a támadások pedig egyre kifinomultabbak lesznek. A bűnözők biztosra szeretnének menni a váltságdíj megszerzésénél, ezért az újabb trendek szerint már nem csak titkosítják az adatokat, hanem ki is juttatják a bizalmas információkat a céges hálózatból és azért is váltságdíjat kérnek, hogy ne hozzák ezeket nyilvánosságra. “A vállalatokat támadó zsarolóvírusok váltságdíjkérő üzeneteiben emellett megjelent egy újabb motívum: az elégedetlen alkalmazottak figyelmét arra hívják fel a bűnözők, hogy részesedésért cserébe segíthetnek bejuttatni a vírust a cégükhöz. Olyan eset is ismert, mikor a bűnözök először egy kibertámadás elleni biztosítást értékesítő biztosítót támadtak meg, majd az ügyfelek listájának bírtokában sorra támadták a biztosítottakat, hiszen akinek van ilyen esetre biztosítása, nagyobb eséllyel fogja kifizetni a váltságdíjat. Az ehhez hasonló tendenciák miatt a szabályozók és hatóságok új eszközöket keresnek a zsarolóvírusok visszaszorítására: a pénz kifizetését a pénzmosás-megelőzési szabályok konzervatív érvényesítésével igyekeznek megakadályozni, a zsarolóvírusok mögött álló bűnbandákat pedig nagyszabású nemzetközi akciók keretében számolják fel” - írja a jegybank.

Halász Viktor már idézett cikkéből kiderül az is, hogy “a zsarolóvírusok kapcsán az egyik leggyakrabban felmerülő kérdés, fizessünk-e a zsarolóknak vagy sem”. Természetesen amennyiben van alternatív mód az adatok visszaszerzésére, úgy a válasz egyértelmű. “Legtöbbször azonban – főleg egy friss vírusvariáns esetén – az adatok gyors visszaszerzésére nincs más reális lehetőség. A bűnüldöző szervek ajánlása ekkor is az, hogy a zsarolóknak semmiképpen se fizessünk, hiszen ez egyrészről további forrásokkal látja el a bűnözőket, másrészről egy következő zsarolás esetén potenciális célpontként tekintenek majd ránk (miután egyszer már fizetési hajlandóságról tettünk bizonyságot), harmadrészt pedig semmi garancia nincs arra, hogy a fizetés hatására a zsarolók valóban betartják az ígéretüket.”

Mi a megoldás?

Számos könyvet tele lehetne írni a zsarolóvírusok okozta káreseményekkel, de a lényeg, ha el is kapnak egy-egy zsarolóvírust, jön helyette új, a korábbinál gonoszabb, kifinomultabb, ezért mindenkinek legyen szó cégről vagy átlagos felhasználóról, mindenképp érdemes tudni, hogyan lehet védekezni. Ebben segít többek között a kiberbiztonsági területen nemzetközi szinten is elismert Kürt Zrt. A cég az Infotér oldalain már évekkel ezelőtt publikált - de ma  is érvényes információkat nyújtó -  egy kisokost, valamint rengeteg információ található ugyanerről az Europol (Európai Rendőrségi Hivatal) által menedzselt No More Ransom projekt központi webolalán  is. Az alábbi lista hosszú, de érdemes mindenkinek végignéznie, ha el szeretne bánni a zsarolóvíursokkal.

A No More Ransom projekt szakértői a következőket tanácsolják:

• Rendszeresen készítsen biztonsági másolatot a számítógépén tárolt adatokról, hogy egy zsarolóvírus fertőzés ne semmisítse meg végleg személyes adatait!

A legjobb, ha két biztonsági másolatot készít: egyet a felhőben tárol (ne felejtsen el olyan szolgáltatást használni, amely automatikus biztonsági másolatot készít a fájljairól), egyet pedig fizikailag (hordozható merevlemez, Pendrive, extra laptop stb.). Ha végzett a biztonsági másolat készítésével, válassza le ezeket a számítógépről. A Windows és az Apple beépített felhőalapú mentési funkciókkal szállítják számítógépeiket, mint például a Windows biztonsági másolat vagy az Apple Time Machine. A biztonsági másolatok akkor is hasznosak lehetnek, ha véletlenül töröl egy kritikus fájlt, vagy merevlemez-meghibásodást tapasztal.

• Ne kattintson a linkekre spam, váratlan vagy gyanús e-mailekben!

Soha ne nyissa meg ismeretlenektől származó e-mail mellékleteket. A kiberbűnözők gyakran hamis e-mail üzeneteket terjesztenek, amelyek nagyon hasonlítanak egy online áruház, bank, rendőrség, bíróság vagy az adóhivatal e-mail értesítésére. Megpróbálják rávenni a címzetteket arra, hogy rákattintsanak egy rosszindulatú linkre, amely rászabadítja a kártevőt a rendszerükre. Ne feledje, hogy bármelyik felhasználói fiók sérülhet, így rosszindulatú hivatkozásokat lehet küldeni barátok, kollégák vagy online játékpartnerek e-mailjeiről és közösségi média fiókjairól. Ha egy kapcsolattartótól kapott melléklet gyanúsnak tűnik, jobb, ha megbízható csatornán, például telefonon kérdez rá.

• Kerülje a személyes adatok megosztását!

A zsarolóvírus támadást tervező kiberbűnözők megpróbálják előre összegyűjteni az Ön személyes adatait, hogy csapdájuk meggyőzőbb legyen. Ezt például kifejezetten Önt megcélzó adathalász e-maileken keresztül teszik meg. Ha nem megbízható vagy nem ellenőrzött forrásból érkezik hívás, szöveges üzenet vagy e-mail, amely személyes adatokat kér, soha ne adja meg azokat. Mindig bizonyosodjon meg a partner hitelességéről. Ha információt kérő cég keres meg Önt, hagyja figyelmen kívül a kérést. Ehelyett vegye fel közvetlenül a kapcsolatot a céggel a hivatalos honlapján található elérhetőségeken keresztül, hogy ellenőrizze, a megkeresés valódi-e.

• Legyen körültekintő a bizalmas adatokkal!

Az érzékeny adatokat a mindennaposan használt adatoktól eltérően kell kezelni. A hosszabb távra elmenteni kívánt képeket, üzleti dokumentumokat, személyes adatokat, stb. különálló eszközökön tárolja. Távolítsa el az adatokat, ha már nincs rá szükség, például temp fájlokat, böngésző előzményeket, régi képeket / szövegeket stb. A károk minimalizálása érdekében gondoskodjon arról, hogy minden fiók egyedi és erős jelszavakat használjon, ha a hitelesítő adatok kiszivárognak. Gyakran frissítse a jelszavakat, és fontolja meg jelszókezelő használatát! Szintén fontolja meg az érzékeny fájlok felhasználói szinten történő titkosítását (a teljes lemezes titkosításon túl)!

• Ha lehet, használjon multi faktoros hitelesítést a fontos online fiókokon.

A multi faktoros hitelesítés (MFA) egy további biztonsági réteg, amelyet arra használnak, hogy megbizonyosodjanak arról, hogy az online szolgáltatáshoz (például banki, e-mailes vagy közösségi médiafiókokhoz) hozzáférni próbáló emberek valóban a tulajdonosok-e. Miután megadta felhasználónevét és jelszavát, további információkat kell megadnia (második lépés). Ennek az információnak olyannak kell lennie, amelyhez csak Ön férhet hozzá, például egy szöveges üzenetben küldött kód vagy egy hitelesítő szolgáltatás által generált kód. A többfaktoros azonosítás (MFA) elérhető a legtöbb nagy online szolgáltatónál. Míg egyes szolgáltatóknál alapértelmezetten aktív, másoknál kézzel kell bekapcsolnia. Ellenőrizze fiókja biztonsági beállításait (ezt kétlépcsős azonosításnak is nevezhetjük).

• Legyen óvatos internetböngészés közben, ne kattintson a gyanús linkekre, előugró ablakokra vagy párbeszédpanelekre!

Ezek olyan linkek, amik nem értelmezhetőek, vagy nem tartalmaznak értelmes szavakat. Ha rájuk kattint, rosszindulatú programokat tölthet le, ezzel megfertőzve rendszereit, és a link gyakran nem az eredetileg megnyitni kívánt webhelyre vezet. Ha nem biztos benne, akkor először ellenőrizze a weboldalt egy keresőmotoron keresztül, hogy lássa, létezik-e valóban.

• Mindig csak megbízható webhelyeket látogasson és csak hivatalos szoftververziókat töltsön le!

Ha valamit letölt a telefonjára vagy tabletjére, győződjön meg róla, hogy megbízható forrásokat és üzleteket használ, például az App Store-ot (Apple) vagy a Google Play Store-t (Android). A csaló webhelyek felismerésének legjobb módja az, ha nagyon figyelünk az URL-re. Az URL-ben szereplő domain névnek meg kell egyeznie a webhely nevével. A HTTPS kapcsolat és a lakat ikon megjelenítése ugyan a biztonságos kapcsolat jelei, de ez nem feltétlenül jelenti azt, hogy teljes mértékben megbízhat benne.

• Használjon robusztus biztonsági termékeket, hogy megvédje rendszerét minden fenyegetéstől, beleértve a zsarolóvírusokat is!

 Ne kapcsolja ki a „heurisztikus funkciókat”, mivel ezek segítenek olyan zsarolóvírus minták felfedezésében, amelyeket korábban még nem észleltek.

• Soha ne csatlakoztasson ismeretlen USB-meghajtókat a rendszereihe!

Ne csatlakoztasson USB-s vagy más cserélhető adattároló eszközt a számítógépébe, ha nem tudja, honnan származnak. A kiberbűnözők megfertőzhették az eszközt zsarolóvírus programmal, és nyilvános helyen hagyták, hogy rávegyék annak felhasználásra.

• Ha lehet, használjon virtuális magánhálózatot (VPN) nyilvános Wi-Fi használatakor!

Amikor nyilvános Wi-Fi-hálózathoz csatlakozik, eszköze kiszolgáltatottabb a támadásoknak. A védelme érdekében kerülje a nyilvános Wi-Fi használatát bizalmas tranzakciókhoz, vagy használjon biztonságos VPN-t.

• Győződjön meg arról, hogy a biztonsági szoftvere és az operációs rendszere naprakész!

Amikor az operációs rendszerhez (OS) vagy az alkalmazásokhoz kiadnak egy frissítést, telepítse azt. Ha a szoftver lehetőséget kínál a frissítések automatikus telepítésére, használja azt.

• Ne használjon magas jogosultságú (pl. rendszergazdai jogokkal rendelkező) felhasználói profilokat napi üzleti tevékenységhez!

Az adminisztrátori jogok lehetővé teszik a felhasználók számára, hogy új szoftvereket telepítsenek és ellenőrizzék a rendszerek működését. Helyette végezze napi feladatait egy általános felhasználói fiókkal. Ez segít megelőzni a rendszer károsodását, ha egy rosszindulatú futtatható fájlra kattint, vagy ha egy hacker behatol a hálózatba.

• Engedélyezze a „Fájlkiterjesztések megjelenítése” opciót számítógépén a Windows beállításai között!

Így sokkal könnyebben felismeri a potenciálisan rosszindulatú programokat. Tartózkodjunk az olyan fájlkiterjesztéstől, mint a ".exe", ".vbs" és a ".scr". A csalók több fájlkiterjesztést tesznek egymás után, hogy elrejtsenek egy rosszindulatú futtatható fájlt, például videónak, fotónak vagy dokumentumnak álcázva azt (például hot-chics.avi.exe vagy doc.scr).

• Kapcsolja be a helyi tűzfalat!

Üzemeltessen helyi tűzfalat az illetéktelen hozzáférés elleni védelem érdekében.

Mi a teendő, ha baj van?

• Ha a védekezés ellenére mégis megjelent a kártevő, azaz potenciálisan csaló vagy ismeretlen folyamatot fedez fel a gépén, azonnal húzza ki az internetet vagy más hálózati kapcsolatokat (például otthoni Wi-Fi-t) - ez megakadályozza a fertőzés terjedését.
• Ne fizessen váltságdíjat. Így ön finanszírozná a bűnözőket, és ez arra ösztönzi őket, hogy folytassák illegális tevékenységüket. Nincs garancia arra, hogy hozzá tud férni az adatokhoz vagy az eszközhöz, és sokkal valószínűbb, hogy a jövőben ismét célba veszik.
• Készítsen fényképet vagy képernyőképet a képernyőn látható váltságdíjról.
• Ha rendelkezésre áll, használjon víruskereső vagy kártevőirtó szoftvert a zsarolóvírusok eltávolítására az eszközről. Előfordulhat, hogy újra kell indítania a rendszert csökkentett módban.
• A zsarolóvírus eltávolítása nem fogja visszafejteni a már titkosított fájlokat, de lehetővé teszi a következő lépések végrehajtását anélkül, hogy új fájlok titkosításra kerülnének.
• Ha volt biztonsági másolata, állítsa vissza adatait, és olvassa el tanácsainkat, hogy meg tudja akadályozni, hogy ismét áldozattá váljon.
• Ha nincs biztonsági másolata, látogasson el a www.nomoreransom.org oldalra, és ellenőrizze, hogy készülékét olyan zsarolóvírus változat fertőzte-e meg, amelyhez feloldó kulcs ingyenesen elérhető. A zsarolóvírussal által megjelenített üzenet információi hasznosak lehetnek ebben a folyamatban.
• Tegyen feljelentést a rendőrségnél. Minél több információt ad meg, a bűnüldözés annál hatékonyabban derítheti fel a bűnözőket.