Még mindig sokak esnek áldozatául a zsaroló vírusoknak, ezek közül is a legtöbb áldozatot a Locky vírus szedi. Megpróbáljuk összeszedni a Locky "ransomware" vagyis rosszindulatú zsaroló vírus tulajdonságait...
Mi is az a Locky?
A zsarolóvírusok, vagy angol nevükön ransomware-ek olyan kártékony programok, amelyek egy számítógépre jutva elérhetetlenné tesznek bizonyos fájlokat vagy akár az egész rendszert, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen. Mint ahogy a hétköznapi vírusok is eltérnek egymástól, így a zsarólóvírusok se egyformák, különböző módokon jutnak be az áldozat rendszerébe, illetve más-más módon próbálják fizetésre bírni. Alapvetően azonban két csoportba oszthatók:
A legelső ilyen jellegű vírus 1989-ben jelent meg, de csak jóval később kezdtek elterjedni a komolyabb kihívást jelentő, fejlettebb megoldások, és csak az utóbbi néhány hónapban kezdte a probléma a szélesebb közvélemény ingerküszöbét is megütni. Ebben nagy szerepe van annak, hogy magánemberek helyett egyre gyakrabban hivatalok, intézmények, ezen belül is kórházak gépeit megfertőző zsarolóvírusokról lehet hallani.
Hogy kerül a gépemre, hogyan terjed?
Leggyakrabban emailcsatolmányban, fertőzött weboldalakon terjednek, de akár megbízható oldalakról is össze lehet őket szedni, ha az azokat reklámokkal ellátó hirdetéskiszolgáló fertőződik meg.
Az egyik sláger a ransomware-piacon jelenleg a Locky, amely a világsajtót körbejáró amerikai esetek közül is a legtöbbnek az okozója volt. Idén februárban tűnt fel először, és emailben, azon belül is csatolt, első ránézésre valamilyen számlának tűnő Word-dokumentumban terjed, a fájlba ágyazott makró segítségével. "A makrók célja a gyakran ismételt műveletek automatizálása. Azonban bizonyos makrók biztonsági kockázatot jelenthetnek. A számítógépes bűnözők rosszindulatú makrót rejthetnek el egy dokumentumban vagy fájlban, amely vírust terjeszthet el a számítógépen" – írja a Microsoft is az Office honlapján. (Ugyanitt azt is elmagyarázzák, hogyan lehet kikapcsolni a makrókat a régebbi verziókban.)
Egy másik gyakran előforduló típus a SamSam, amely a zsarolóvírusok új generációja: nem óvatlan felhasználókon keresztül terjed, hanem egy javítatlanul hagyott sebezhetőséget kihasználva közvetlenül a szerverre jut be, így kifejezetten céges rendszerekre veszélyes. Hiába lehet a SamSam által kihasznált sebezhetőség több éves, a Cisco Talos biztonsági cég szerint így is több mint kétmillió rendszert érint. És ez még csak egyféle hiba (a JBoss alkalmazásszerver sebezhetősége), de jellemzően számos hasonló marad sokáig kijavítatlanul.
Fizessek a zsarolóknak?
Nem csoda, hogy a hekkerek egyre jobban kedvelik a ransomware-t, más malware-ekhez képest nagyon jó a megtérülési aránya: egy teljesen új ransomware kifejlesztése 5-6 ezer dollárba kerülhet, és bitcoinban akár 300-400 ezer dollárt is be tudnak szedni egy komolyabb változattal, havonta. Ráadásul egyszerű mutálni őket, sok olyan fejlesztőkészlet szerezhető be a feketepiacról, amelyekkel egy ransomware egyes tulajdonságai könnyedén változtatgathatók, így olyan variációkat lehet kis ráfordítással is összelegózni, amelyek simán átcsusszannak a vírusirtókon.
A szakemberek egybehangzó véleménye szerint éppen ezért nem szabad fizetni a zsarolóknak. Ha a zsarolás sikeres, az egyrészt fejlesztési forrással látja el a hekkereket, másrészt felbátorítja őket, hiszen visszaigazolja az üzleti modellt. Ráadásul az esetek zömében nem is kapja valóban vissza a fájljait, aki fizet. Tehát a fenti kérdésre a válasz egyértelmű: NEM!
Ha vissza is állítják a hekkerek a fájlokat, a veszély ettől még nem múlik el, maradhat a rendszerben olyan fájl, amellyel az később újra megfertőzhető. Általában ugyanis nem közvetlenül a ransomware kerül a gépre, hanem egy dropper program, ami megágyaz a gépen a vírusnak: a vírus viselkedését elrejtő rootkitet, hátsó kaput nyitó trójait telepít. Ezért hiába irtják ki magát a ransomware-t, ha a többi kártékony kód a gépen marad, és később esetleg újra letölt a gépre egy olyan variációt, amelyet a vírusirtó még nem ismer. De még ha konkrét utófertőzés nem is történik, az ott maradó kártékony kóddal a gép becsatolható egy zombihálózatba, amelyet aztán (akár ransomware-t tartalmazó) levélszemét szétküldésére vagy túlterheléses támadásokhoz lehet használni. Ritkán szokták a rosszindulatú hackerek elengedni azt a gépet, amit egyszer már sikerült megfertőzniük.
A legjobb mód a megelőzés, de hogyan?
Abban elég nagy egyetértés van az informatikusok között, hogy a legjobb fegyver a zsarolóvírusok ellen a megelőzés, és nagyjából mindenki ugyanazokat az alapvetéseket ajánlja. Ezekre érdemes, vagy kell figyelnünk:
Az emberi tényező
A legtöbb munkahelyen fogalmuk sincs arról a dolgozóknak, milyen minőségű adatokat kezelnek, és hogyan lehet ezeket biztonságosan kezelni. Nagyon gyakori eset, hogy az intézmény vagy cég felső vezetéséig eljut ugyan, hogy fontos a biztonság, ezért még áldozni is hajlandóak. Beterveznek erre egy sok millió forintos fejlesztési büdzsét, elköltik, és azt gondolják, hogy ezzel a biztonság meg van oldva. Ellenben azzal már nem számolnak, hogy ezt a rendszert a biztonsági szempontokat is figyelembe véve be kell tudni konfigurálni, akár hosszú évekig üzemeltetni is szükséges, és sajnos nem számolnak a dolgozók képzésével. Sajnos a megfelelően képzett szakember is kevés, pedig a megelőzésben nagyon fontos tényező az, hogy a felhasználó bírtokában legyen annak a tudásnak, amivel biztonságban tarthatja akár saját, akár munkahelyi adatállományát.