Zsarolóvírus (Ransomware)

Zsarolóvírus (ransomware) alatt olyan kártékony szoftvert értünk, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatokat, amelyeket csak váltságdíj megfizetése esetén tesz újra elérhetővé[1]. Az ilyen típusú károkozók néhány közös jellemzője, hogy:

  • titkosítják az állományokat;
  • zsaroló üzenet jelenítenek meg;
  • határidőt szabnak a váltságdíj kifizetésére;
  • törlik az állományok egy részét;
  • az idő múlásával egyre több állományt tesznek végleg visszaállíthatatlanná.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak (lásd: exploit kitek) útján történő fertőződés. (Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat.)

Az is jellemző, hogy a támadók valamely sérülékenységet (például a CVE-2017-0144[2] számú, lásd WannaCry[3] támadás), hibás konfigurációt (például gyenge jelszóval védett, távoli asztallal elérhető adminisztrátori fiók) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─ valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat, vagy egy másik jellemző támadási mód szerint kizárja a felhasználót a rendszerből. Más esetekben ezen túl további módosítást is végezhet, mint például önmagának a továbbküldése, vagy kriptobányász tevékenység folytatása.

Működés

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt[4] esetében).

Néhány hírhedt zsarolóvírus: WannaCry, Petya[5], vagy utóbb a Dharma[6], illetve a LockerGoga[7].

Ha már megtörtént a baj

  • Mielőbb válasszuk le az adott eszközt a hálózatról.
  • A hálózaton állítsuk le a kifelé nyitott szolgáltatásokat és a belső fájlmegosztást is.
  • A fertőzött munkaállomás(ok)on a meghajtó teljes formázása javasolt. Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után lehet az adatokat az archív mentésekből helyreállítani.
  • Hordozható adattárolót (pendrive, külső merevlemez) sem ajánlott csatlakoztatni, hiszen ezzel a fertőzést tovább lehet vinni egy másik számítógépre.
  • Az incidens felderítése után gondoskodjunk a megfelelő (ellen)intézkedésekről.

Hogyan védekezhetünk?

Az operációs rendszer, illetve az alkalmazások (Adobe Flash, Java) hibajavításainak rendszeres telepítésén túl mindenképp javasolt valamilyen vírusvédelmi megoldás használata, illetve naprakészen tartása (termékverzió, felismerési adatállományok).

  • A legfontosabb védelmi intézkedés, amit tehetünk, hogy adatainkról egy elkülönített, és fizikailag is leválasztható meghajtóra rendszeresen mentéseket készítünk. (Lásd: 3-2-1 elv alapján, azaz a biztonsági mentésből őrizzünk meg legalább 3 példányt, 2 féle adathordozón, amelyből 1-et tároljunk teljesen offline.)
  • Fontos a biztonságtudatos internet használat: ismeretlen feladótól érkezett e-maileknek ne nyissuk meg a mellékletét ─ főképp ha ez egy tömörített, vagy dupla kiterjesztésű (.doc.exe) állomány ─ sem az e-mailekben szereplő hivatkozásokat.
  • Korlátozzuk a mappákhoz való hozzáférést.[8]
  • Egyes vírusvédelmi megoldások képesek gyanús viselkedésminták alapján azonosítani és blokkolni a zsaroló kártevőket, ezáltal megelőzni a fertőzést.

Biztonsági javaslatok üzemeltetőknek:

  • Az internet felől nyitott portok szükségességét rendszeresen, tervezetten vizsgáljuk felül, a szükségtelen portokat tegyük elérhetetlenné, a szükségeseket pedig vessük fokozott felügyelet alá, naplózzuk és változtassuk meg az alapértelmezett portszámokat (pl.: RDP 3389 –> 63001).
  • Korlátozzuk a gyakori portok elérését az internet irányából (megadott IP címekről, csak bizonyos felhasználók számára).
  • Tiltsuk az üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérését, az üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő távoli elérése.
  • Tartsuk naprakészen a határvédelmi eszközök szoftvereit.
  • Frissítsük a határvédelmi eszközök feketelistáját (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
  • Függesszük fel a szükségtelen (nem használt) felhasználói fiókokat, a távoli eléréssel rendelkező felhasználók számát szűkítsük a minimális szintre.
  • Időközönként vizsgáljuk felül a felhasználók jogosultságait. (Tartsuk szem előtt a „legkissebb jogosultság” elvét.)
  • Alkalmazzunk szigorú jelszó házirendet.
  • Alkalmazzunk többfaktoros autentikációt (2FA, MFA) az adminisztrátori fiókokon.

 További hasznos javaslatok:

  • Ne fizessünk váltságdíjat! Nincs rá garancia, hogy kapunk kódot a visszaállításra, és hogy az működőképes is lesz. Sok esetben szándékosan ─ vagy programozói hibából kifolyólag ─ eleve lehetetlenné teszik a visszafejtést.
  • A későbbi visszafejtés reményében célszerű a titkosított állományok megőrzése. Ebben nyújthat hatékony segítséget a CryptoSearch[9] nevű, Michael Gillespie biztonsági kutató által Windows platformra készített ingyenes program, amely egy folyamatosan frissülő online adatbázist használva (ID Ransomware[10]) jelenleg kb. 240 variáns felismerésével képes automatikusan detektálni a titkosított fájlokat és róluk egy, a felhasználó által választott meghajtóra – az eredeti könyvtárszerkezet megtartásával – mentést készíteni.

Források:

[1]https://us.norton.com/internetsecurity-malware-ransomware-5-dos-and-donts.html

[2]https://nvd.nist.gov/vuln/detail/CVE-2017-0144

[3]https://nki.gov.hu/figyelmeztetesek/karos-kod/wannacry-zsarolovirus/

[4]https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

[5]https://nki.gov.hu/figyelmeztetesek/karos-kod/petya-trojai/

[6]https://nki.gov.hu/figyelmeztetesek/tajekoztatas/rendkivuli-tajekoztato-dharma-zsarolovirus-terjesztesrol/

[7]https://nki.gov.hu/it-biztonsag/hirek/a-lockergoga-jelenleg-az-egyik-legaktivabb-zsarolovirus/

[8]https://docs.microsoft.com/hu-hu/windows/security/threat-protection/windows-defender-exploit-guard/enable-controlled-folders-exploit-guard

[9]https://cryptosearch.site/

[10]https://id-ransomware.malwarehunterteam.com/

 

További hivatkozások:

http://www.mcafee.com/us/security-awareness/articles/ransomware.aspx

https://www.trendmicro.com/vinfo/us/security/definition/Ransomware

https://www.malwarebytes.com/ransomware/

http://www.pandasecurity.com/mediacenter/malware/what-is-ransomware