"A ransomware-ek rendkívül összetett, gondosan megszerkesztett programok, amelyeket ráadásul folyamatosan továbbfejlesztenek, hogy ellenálljanak az újabb és újabb védekezési módszereknek is. Egy zsaroló vírus nem csupán a fájlokat titkosítja, de arról is gondoskodik, hogy nehéz legyen megakadályozni a tevékenységét és kiirtani a rendszerből. Például törli az árnyékmásolatokat, módosítja a rendszerindítást, elkezdi továbbterjeszteni önmagát, és még az egyszerűbb vírusirtókat is képes megkerülni. Ilyen összetett fenyegetés ellen csak a többszintű védelem nyújthat megoldást" – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.
Összehangolt, átfogó támadás
Amikor egy vállalat informatikai szakembere azt észleli, hogy zsaroló program került a szervezet rendszerébe és titkosította a fájlokat, az első logikus lépés az, hogy leválasztja a fertőzött számítógépet a hálózatról, és elszigeteli. Majd megpróbálja megtisztítani az érintett gépet és helyreállítani a fájlokat, azonban ilyenkor lépnek akcióba a ransomware különféle önvédelmi funkciói. A gyakori módszerek közé tartozik például az árnyékmásolatok törlése, melynek során a vírus eltávolítja a biztonsági másolatokat, lehetetlenné téve a fájlok helyreállítását. Ezt a technikát alkalmazza többek között a CRYPWALL, a Locky, a CERBER és a CRYPTESLA.
Akad olyan zsaroló vírus is, mint például a PETYA, amely többek között arra is képes, hogy átírja vagy törölje a fő rendszerindító rekordot. Ezáltal nem lehet újraindítani a rendszert, így még nehezebb biztonságos módban belépve helyreállítani a fájlokat. Szintén nehezítheti a probléma elhárítását például az, ha a vírus automatikusan terjeszteni kezdi magát a hordozható meghajtókon és a megosztott hálózati meghajtókon keresztül, mint például a Zcryptor (ZCRYPT crypto-ransomware). Emellett egyes ransomware-ek arra is kifinomult technikákat tartalmaznak, hogy kicselezzék az egyszerűbb vírusirtókat, és rejtve maradjanak előlük.
Az is megnehezíti a védekezést, hogy egy ransomware számos különféle ponton hatolhat be a vállalat rendszerébe. A leggyakoribb módszer az e-mailes terjesztés, amelyet a TorrentLocker készítői fejlesztettek tökélyre. Ez a vírus Ausztráliában és Európában okozott komoly bosszúságot számos vállalatnak és felhasználónak. A vírus célországtól függően testre szabja az üzeneteket. Ausztráliában például úgy néztek ki a levelek, mintha az ausztrál szövetségi rendőrségtől, az AUPosttól (ausztrál posta), vagy valamelyik helyi vállalattól érkeztek volna. Az üzeneteket ráadásul csak releváns e-mail címekre küldték ki, így a levélszemétszűrőket is elkerülték. Az ilyen levélszemétben terjesztett zsaroló vírusok tipikusan valamilyen álcázott, rosszindulatú mellékletet tartalmaznak, például makrók vagy JavaScript-kódok formájában, amelyek a vírus letöltőprogramjaként szolgálnak.
Zsaroló vírusok azonban feltört weboldalakról is letöltődhetnek a felhasználók gépére. 2015 decemberében például a The Independent hírportál blogoldalát törték fel, és használták a TeslaCrypt 2.0 terjesztésére. Számos ransomware családot pedig rosszindulatú hirdetéseken keresztül elérhető, biztonsági rések kihasználására használt készletek terjesztenek. Így amikor egy felhasználó egy rosszindulatú hirdetéseket tartalmazó oldalra látogat, megvan a veszélye, hogy veszélyforrások sokaságával fertőződik meg a gépe, köztük zsaroló programokkal is - különösen abban az esetben, ha nem naprakész rendszert és szoftvereket használ.
A többszintű védelem a kulcs
Egyre több vállalatnál inkább biztonsági tartalékkal készülnek a ransomware-ek okozta fenyegetésre, hogy baj esetén azonnal fizethessenek és visszakaphassák a fájlokat. Ez azonban rendkívül rossz módszer, hiszen akiről már biztosan tudják a hackerek, hogy kifizeti a váltságdíjat, azt később is célkeresztbe veszik majd. A biztonsági mentések készítése első lépésnek elengedhetetlen és erősen ajánlott. De – mint a fentiek is mutatják – nem nyújt száz százalékos biztonságot. A Trend Micro szakértői szerint olyan többszintű védelemre és átfogó stratégiára van szükség, amely a végpontoktól a hálózatokon át egészen a szerverekig az informatikai rendszer több pontján gondoskodik a környezet biztonságáról. Ezen a linken pedig bárki tesztelheti, hogy védelmi rendszere kellően felkészült-e egy lehetséges támadásra.