Összehangoltan támadnak a zsarolóvírusok

A zsaroló vírusok veszélyeivel napjainkban már szinte minden cégvezető és informatikai szakember tisztában van. A megfelelő védekezési stratégiával kapcsolatban azonban még a legtöbb vállalatnál tanácstalanok az illetékesek. Sokan biztonsági tartalékkal készülnek és fizetnek a zsarolóknak, de a szakértők szerint ez nem jó ötlet. A Trend Micro szakértői most összegyűjtötték a leggyakoribb taktikákat és eljárásokat.

"A ransomware-ek rendkívül összetett, gondosan megszerkesztett programok, amelyeket ráadásul folyamatosan továbbfejlesztenek, hogy ellenálljanak az újabb és újabb védekezési módszereknek is. Egy zsaroló vírus nem csupán a fájlokat titkosítja, de arról is gondoskodik, hogy nehéz legyen megakadályozni a tevékenységét és kiirtani a rendszerből. Például törli az árnyékmásolatokat, módosítja a rendszerindítást, elkezdi továbbterjeszteni önmagát, és még az egyszerűbb vírusirtókat is képes megkerülni. Ilyen összetett fenyegetés ellen csak a többszintű védelem nyújthat megoldást" – foglalta össze Gömbös Attila, a Trend Micro rendszermérnöke.

Kép: Pixabay

Összehangolt, átfogó támadás

Amikor egy vállalat informatikai szakembere azt észleli, hogy zsaroló program került a szervezet rendszerébe és titkosította a fájlokat, az első logikus lépés az, hogy leválasztja a fertőzött számítógépet a hálózatról, és elszigeteli. Majd megpróbálja megtisztítani az érintett gépet és helyreállítani a fájlokat, azonban ilyenkor lépnek akcióba a ransomware különféle önvédelmi funkciói. A gyakori módszerek közé tartozik például az árnyékmásolatok törlése, melynek során a vírus eltávolítja a biztonsági másolatokat, lehetetlenné téve a fájlok helyreállítását. Ezt a technikát alkalmazza többek között a CRYPWALL, a Locky, a CERBER és a CRYPTESLA.

Akad olyan zsaroló vírus is, mint például a PETYA, amely többek között arra is képes, hogy átírja vagy törölje a fő rendszerindító rekordot. Ezáltal nem lehet újraindítani a rendszert, így még nehezebb biztonságos módban belépve helyreállítani a fájlokat. Szintén nehezítheti a probléma elhárítását például az, ha a vírus automatikusan terjeszteni kezdi magát a hordozható meghajtókon és a megosztott hálózati meghajtókon keresztül, mint például a Zcryptor (ZCRYPT crypto-ransomware). Emellett egyes ransomware-ek arra is kifinomult technikákat tartalmaznak, hogy kicselezzék az egyszerűbb vírusirtókat, és rejtve maradjanak előlük.

Újabb veszélyes vírus érte el Európát
A zsarolóvírusok újabb hulláma érte el Európát, de most Magyarország a közepesen fertőzött országok közé tartozik, a szomszédos országok nagyobb veszélyben vannak – hívta fel a figyelmet az ESET.
Támadás minden irányból

Az is megnehezíti a védekezést, hogy egy ransomware számos különféle ponton hatolhat be a vállalat rendszerébe. A leggyakoribb módszer az e-mailes terjesztés, amelyet a TorrentLocker készítői fejlesztettek tökélyre. Ez a vírus Ausztráliában és Európában okozott komoly bosszúságot számos vállalatnak és felhasználónak. A vírus célországtól függően testre szabja az üzeneteket. Ausztráliában például úgy néztek ki a levelek, mintha az ausztrál szövetségi rendőrségtől, az AUPosttól (ausztrál posta), vagy valamelyik helyi vállalattól érkeztek volna. Az üzeneteket ráadásul csak releváns e-mail címekre küldték ki, így a levélszemétszűrőket is elkerülték. Az ilyen levélszemétben terjesztett zsaroló vírusok tipikusan valamilyen álcázott, rosszindulatú mellékletet tartalmaznak, például makrók vagy JavaScript-kódok formájában, amelyek a vírus letöltőprogramjaként szolgálnak.

Zsaroló vírusok azonban feltört weboldalakról is letöltődhetnek a felhasználók gépére. 2015 decemberében például a The Independent hírportál blogoldalát törték fel, és használták a TeslaCrypt 2.0 terjesztésére. Számos ransomware családot pedig rosszindulatú hirdetéseken keresztül elérhető, biztonsági rések kihasználására használt készletek terjesztenek. Így amikor egy felhasználó egy rosszindulatú hirdetéseket tartalmazó oldalra látogat, megvan a veszélye, hogy veszélyforrások sokaságával fertőződik meg a gépe, köztük zsaroló programokkal is - különösen abban az esetben, ha nem naprakész rendszert és szoftvereket használ.

A többszintű védelem a kulcs

Egyre több vállalatnál inkább biztonsági tartalékkal készülnek a ransomware-ek okozta fenyegetésre, hogy baj esetén azonnal fizethessenek és visszakaphassák a fájlokat. Ez azonban rendkívül rossz módszer, hiszen akiről már biztosan tudják a hackerek, hogy kifizeti a váltságdíjat, azt később is célkeresztbe veszik majd. A biztonsági mentések készítése első lépésnek elengedhetetlen és erősen ajánlott. De – mint a fentiek is mutatják – nem nyújt száz százalékos biztonságot. A Trend Micro szakértői szerint olyan többszintű védelemre és átfogó stratégiára van szükség, amely a végpontoktól a hálózatokon át egészen a szerverekig az informatikai rendszer több pontján gondoskodik a környezet biztonságáról. Ezen a linken pedig bárki tesztelheti, hogy védelmi rendszere kellően felkészült-e egy lehetséges támadásra.

 

Véleményvezér

Legyél hatósági főállatorvos állatorvosi diploma nélkül

Legyél hatósági főállatorvos állatorvosi diploma nélkül 

Kevés a hatósági állatorvos.
Kormányváltó hangulat

Kormányváltó hangulat 

Oda a Fidesz népszerűsége.
Sok nagy okos már világháborút lát

Sok nagy okos már világháborút lát 

Az orosz ballisztikus rakéta bevetése egy teszt volt.
Súlyos higiéniai problémák miatt megbüntették a szekszárdi kórházat

Súlyos higiéniai problémák miatt megbüntették a szekszárdi kórházat 

A büntetés mértéke nevetséges.
Bécsben olcsóbb lakni, mint Budapesten

Bécsben olcsóbb lakni, mint Budapesten 

A jövedelemhez képest Bécsben a legolcsóbb a lakhatás egész Európában.
Obszcén szavakkal fideszes nyugdíjas kommandó fogadta Magyar Pétert a miskolci gyermekotthon előtt

Obszcén szavakkal fideszes nyugdíjas kommandó fogadta Magyar Pétert a miskolci gyermekotthon előtt 

A nyugdíjas fizetések nagyon felizgultak Magyar Péter látogatása miatt.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo