Ransomware – Túszdráma a világhálón

A ransomware az utóbbi időszak talán legnagyobb port kavart digitális kártevője; észrevétlenül szivároghat be a legapróbb biztonsági réseken is akár egy egyszerű spam vagy böngészőben megnyitott oldal óvatlan megnézésével, és akárki áldozatául eshet, aki értékes információkat tárol számítógépén.

ransomware-1

A ransomware aktiválása után „túszul ejtheti” a gép bármelyik külső (!) és belső adattárolóján található fájlokat, vagy akár az egész UI-t is az Asztal, vagy a beviteli eszközök (pl. billentyűzet, egér) blokkolásával; radikális esetben képeket posztolhat a felhasználóról az internetre, melyek eltávolításáért követelhet anyagi ellenszolgáltatást. A váltságdíjat általában nehezen visszakövethető internetes pénznemben követelik, mint pl. a BitCoin, de egyes fajták akár emeltdíjas sms küldését is kérhetik – a fájlok dekódolására viszont a kifizetés után sincs semmilyen garancia.

A ransomware Oroszországból ered, ami máig az egyik legfertőzöttebb országnak számít; 2005-2006 között voltak az első észlelések, és néhány éven belül a határt átlépve egész Európában elterjedté vált. Azóta számtalan változata alakult ki, amikből a pcworld.com cikkje sokat részletesen ismertet; a Simplocker például egyes weblapokon küld egy hamis kérést új Java vagy Flash plugin letöltéséhez – a letöltött file viszont magát a Simplockert tartalmazza.

Rendkívül „népszerű” változat még a Reveton, másnéven Rendőrségi Ransomware; ez nemzetbiztonsági vagy rendfenntartási szerveknek (akár az FBI-nak is) kiadva magát zárja le a gyanútlan felhasználó gépét, és bírságnak álcázva kéri a váltságdíjat.

reveton

A legfejlettebb ransomwareként jelenleg a Crypto Lockert tartják számon; ahogy a szakértőkkel készített interjúk részleteiből kiderül, a Crypto Locker kódolásának alapjául ugyanaz a Windows kód szolgált, ami az operációs rendszer BitLocker névre keresztelt beépített biztonsági titkosító eszközének is. Aszimmetrikus kulcsot használ – egyet a kódoláshoz, és egy másikat a dekódoláshoz, a kódot pedig túszejtés után továbbítja a támadó C&C szerverének, hogy a célpont ne férhessen hozzá. A támadó szervereit pedig egy ingyenes anonimitási projekt, a Tor lehetőségeit kihasználva teszi szinte teljesen lekövethetetlenné.

crypto-locker

És hogy mi a teendő fertőzés esetén? A nagyobb antivirus és antimalware cégek, mint például a Norton Antivirusos Symantec, a NOD-os Eset, a BitDefender és a McAffee biztosítanak részletes és névreszóló leírásokat a különféle ransomware-ek kezeléséhez és eltávolításához, míg a Microsoft biztonsági portálján fájlnevek alapján kínálnak egyéni troubleshooting lehetőségeket.

Egyben azonban mindannyian egyetértenek – SEMMIKÉPPEN NE FIZESSÜK KI A VÁLTSÁGDÍJAT, a folyamat ugyanis szakember segítségével visszafordítható.

Hozzászólás

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.