Zsarolóvírus (Ransomware)

2019. június 4. 17:55

Zsarolóvírus (ransomware) alatt olyan kártékony szoftvert értünk, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatokat, amelyeket csak váltságdíj megfizetése esetén tesz újra elérhetővé^[1]. Az ilyen típusú károkozók néhány közös jellemzője, hogy:

titkosítják az állományokat;
zsaroló üzenet jelenítenek meg;
határidőt szabnak a váltságdíj kifizetésére;
törlik az állományok egy részét;
az idő múlásával egyre több állományt tesznek végleg visszaállíthatatlanná.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak (lásd: exploit kitek) útján történő fertőződés. (Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat.)

Az is jellemző, hogy a támadók valamely sérülékenységet (például a CVE-2017-0144^[2] számú, lásd WannaCry^[3] támadás), hibás konfigurációt (például gyenge jelszóval védett, távoli asztallal elérhető adminisztrátori fiók) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─ valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat, vagy egy másik jellemző támadási mód szerint kizárja a felhasználót a rendszerből. Más esetekben ezen túl további módosítást is végezhet, mint például önmagának a továbbküldése, vagy kriptobányász tevékenység folytatása.

Működés

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt^[4] esetében).

Néhány hírhedt zsarolóvírus: WannaCry, Petya^[5], vagy utóbb a Dharma^[6], illetve a LockerGoga^[7].

Ha már megtörtént a baj

Mielőbb válasszuk le az adott eszközt a hálózatról.
A hálózaton állítsuk le a kifelé nyitott szolgáltatásokat és a belső fájlmegosztást is.
A fertőzött munkaállomás(ok)on a meghajtó teljes formázása javasolt. Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után lehet az adatokat az archív mentésekből helyreállítani.
Hordozható adattárolót (pendrive, külső merevlemez) sem ajánlott csatlakoztatni, hiszen ezzel a fertőzést tovább lehet vinni egy másik számítógépre.
Az incidens felderítése után gondoskodjunk a megfelelő (ellen)intézkedésekről.

Hogyan védekezhetünk?

Az operációs rendszer, illetve az alkalmazások (Adobe Flash, Java) hibajavításainak rendszeres telepítésén túl mindenképp javasolt valamilyen vírusvédelmi megoldás használata, illetve naprakészen tartása (termékverzió, felismerési adatállományok).

A legfontosabb védelmi intézkedés, amit tehetünk, hogy adatainkról egy elkülönített, és fizikailag is leválasztható meghajtóra rendszeresen mentéseket készítünk. (Lásd: 3-2-1 elv alapján, azaz a biztonsági mentésből őrizzünk meg legalább 3 példányt, 2 féle adathordozón, amelyből 1-et tároljunk teljesen offline.)
Fontos a biztonságtudatos internet használat: ismeretlen feladótól érkezett e-maileknek ne nyissuk meg a mellékletét ─ főképp ha ez egy tömörített, vagy dupla kiterjesztésű (.doc.exe) állomány ─ sem az e-mailekben szereplő hivatkozásokat.
Korlátozzuk a mappákhoz való hozzáférést.^[8]
Egyes vírusvédelmi megoldások képesek gyanús viselkedésminták alapján azonosítani és blokkolni a zsaroló kártevőket, ezáltal megelőzni a fertőzést.

Biztonsági javaslatok üzemeltetőknek:

Az internet felől nyitott portok szükségességét rendszeresen, tervezetten vizsgáljuk felül, a szükségtelen portokat tegyük elérhetetlenné, a szükségeseket pedig vessük fokozott felügyelet alá, naplózzuk és változtassuk meg az alapértelmezett portszámokat (pl.: RDP 3389 –> 63001).
Korlátozzuk a gyakori portok elérését az internet irányából (megadott IP címekről, csak bizonyos felhasználók számára).
Tiltsuk az üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérését, az üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő távoli elérése.
Tartsuk naprakészen a határvédelmi eszközök szoftvereit.
Frissítsük a határvédelmi eszközök feketelistáját (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
Függesszük fel a szükségtelen (nem használt) felhasználói fiókokat, a távoli eléréssel rendelkező felhasználók számát szűkítsük a minimális szintre.
Időközönként vizsgáljuk felül a felhasználók jogosultságait. (Tartsuk szem előtt a „legkissebb jogosultság” elvét.)
Alkalmazzunk szigorú jelszó házirendet.
Alkalmazzunk többfaktoros autentikációt (2FA, MFA) az adminisztrátori fiókokon.

További hasznos javaslatok:

Ne fizessünk váltságdíjat! Nincs rá garancia, hogy kapunk kódot a visszaállításra, és hogy az működőképes is lesz. Sok esetben szándékosan ─ vagy programozói hibából kifolyólag ─ eleve lehetetlenné teszik a visszafejtést.
A későbbi visszafejtés reményében célszerű a titkosított állományok megőrzése. Ebben nyújthat hatékony segítséget a CryptoSearch^[9] nevű, Michael Gillespie biztonsági kutató által Windows platformra készített ingyenes program, amely egy folyamatosan frissülő online adatbázist használva (ID Ransomware^[10]) jelenleg kb. 240 variáns felismerésével képes automatikusan detektálni a titkosított fájlokat és róluk egy, a felhasználó által választott meghajtóra – az eredeti könyvtárszerkezet megtartásával – mentést készíteni.