A zsaroló kártevők (ransomware) titkosítják a helyi, hálózati mappákban és csatlakoztatott adathordozókon található fájlokat, a titkosításhoz használt, általában egyedi titkosító kulcsot (key) a kártevő eljuttatja a támadónak (pl. TOR hálózaton). A fájlok titkosításának feloldásához általában egy pénzért kínált program és a támadónál lévő kulcs használható.
A titkosítás feloldása (decryption) a kulcs nélkül általában nem lehetséges. Egy frissített anti-malware szoftver, vagy célzott eltávolító eszköz általában megtalálja és eltávolítja a kártevőt, ám nyilvánvalóan nem tudja visszaállítani a titkosítással elérhetetlenné tett fájlokat. Az elérhetetlenné tett fájlok visszaállítására a biztonsági mentések (backup) és a Windows rendszerekben szokásos ún. korábbi verziók (más neveken: previous version, árnyékmásolat, volume shadow copy) használhatóak lehetnek, amennyiben a vírus az érintett állományokat még nem érte el.
Egyes kártevő variánsok nyilvántartanak egy listát az általuk titkosítással elérhetetlenné tett fájlokról, más variánsok esetében ilyen lista előállítható. Ezen lehetőségek híján manuálisan kell beazonosítani a titkosítással elérhetetlenné tett fájlokat.
A fertőzött számítógépeket a fertőzés eltávolításáig indokolt leválasztani a hálózatról, a külső adathordozók használata is kerülendő.
Visszaállítás Windows biztonsági mentésből vagy korábbi verzióból:
Windows XP
Ha korábban nem állított be visszaállítási pontot a Rendszer-visszaállítás eszközben, akkor nem állítható vissza a számítógép egy korábbi állapotba.
Rendszer-visszaállítás eszköz használatával:
- Jelentkezzen be rendszergazdaként a Windows rendszerbe.
- Kattintson a “Start” menü “Minden program” pontjára, majd a “Kellékek“, ezután a “Rendszereszközök” pontra, végül a “Rendszer-visszaállítás” parancsra.
- Az “Üdvözli a Rendszer-visszaállítás” lapon jelölje be “A számítógép visszaállítása egy korábbi időpontra” választógombot, és kattintson a “Tovább” gombra.
- A “Válassza ki a visszaállítási pontot” lapon kattintson az “Ezen a listán kattintson egy visszaállítási pontra” listában található legújabb rendszer-ellenőrzési pontra, majd kattintson a “Tovább” gombra. (Ekkor egy rendszer-visszaállítási üzenet jelenhet meg, amely a Rendszer-visszaállítás eszköz által elvégzendő konfigurációmódosításokról nyújt tájékoztatást. Kattintson az “OK” gombra.
- Az “Erősítse meg a visszaállítási pont kijelölését” lapon kattintson a “Tovább” gombra. A Rendszer-visszaállítás segédprogram ezt követően visszaállítja a Windows XP rendszer korábbi konfigurációját, majd újraindítja a számítógépet.
- Jelentkezzen be rendszergazdaként a számítógépre. Ezután kattintson az “OK” gombra a Rendszer-visszaállítás eszköz “A visszaállítás befejeződött” lapján.
A Rendszer-visszaállítás indítása a parancssorból:
- Indítsa újra a számítógépet, és az operációs rendszer betöltési folyamatának kezdetén nyomja le és tartsa nyomva az “F8” billentyűt a számítógép parancssoros “csökkentett módban” történő indításához. (A csökkentett üzemmódban való indításról [http://support2.microsoft.com/kb/315222/hu itt] talál bővebb információt.)
- A nyílbillentyűkkel jelölje ki a “Csökkentett mód parancssorral” indítási módot.
- Ha a rendszer felkéri az operációs rendszer kiválasztására, a nyílbillentyűk használatával válassza ki számítógépe megfelelő operációs rendszerét, majd nyomja le az “ENTER” billentyűt.
- Jelentkezzen be rendszergazdaként, vagy egy rendszergazdai hitelesítő adatokkal rendelkező fiókkal.
- Írja be a parancssorba a %systemroot%\system32\restore\rstrui.exe parancsot, majd nyomja le az “Enter” billentyűt.
- A számítógép működőképes állapotba történő visszaállításához kövesse a képernyőn megjelenő utasításokat.
Windows Vista
Ha a Rendszervédelem be van kapcsolva, a Windows automatikusan létrehozza a legutóbbi visszaállítási pont óta módosított fájlok árnyékmásolatát. Amennyiben a merevlemez több partíciót is tartalmaz, vagy ha több merevlemez van a számítógépben, a Rendszervédelem beállítást a többi partíción illetve merevlemezen is be kell kapcsolni. A rendszervédelem automatikusan be van kapcsolva azon meghajtó esetében, amelyre a Windows telepítve van. Más meghajtók esetén a következő módon kapcsolhatja be:
- A Rendszer megnyitásához kattintson a “Start” gombra, kattintson a “Vezérlőpult” parancsra, kattintson a “Rendszer és karbantartás” segédeszközre, majd ezután kattintson a “Rendszer” fülre.
- A bal oldali műveletsávon kattintson a “Rendszervédelem” műveletre. Amennyiben a rendszer rendszergazda jelszót vagy megerősítést kér, írja be a jelszót vagy hagyja jóvá a műveletet.
- Az “Automatikus visszaállítási pontok” szakaszban jelölje be a jelölőnégyzetet azon lemezek mellet, ahol a Rendszervédelem szolgáltatást be kívánja kapcsolni, majd kattintson az “OK” gombra.
A fájlok és mappák korábbi verzióinak eléréséhez:
- Kattintson a jobb gombbal a fájlra vagy mappára, és kattintson a “Korábbi verzió visszaállítása” parancsra.
- Megjelenik egy lista, amely az adott fájl vagy mappa rendelkezésre álló korábbi verzióit tartalmazza. Amennyiben mindkét típus rendelkezésre áll, a lista tartalmazza a fájlok biztonsági másolatait és árnyékmásolatait is.
- A számítógépen tárolt árnyékmásolat visszaállításához:
- Kattintson a jobb gombbal a fájlra vagy mappára, majd kattintson a “Korábbi verzió visszaállítása” parancsra.
- Ezután jelölje ki a fájl vagy mappa visszaállítani kívánt korábbi verzióját, kattintson a “Visszaállítás” gombra, és megtörténik a fájl vagy mappa korábbi verziójának visszaállítása.
Árnyékmásolat hasonlóképpen állítható vissza egy hálózati helyről, ha a számítógép csatlakoztatva van a hálózathoz, és a hálózati hely elérhető (a számítógép be van kapcsolva és van jogosultsága hozzáférni az adott számítógéphez illetve merevlemezhez).
Biztonsági másolatot ugyanígy lehet visszaállítani, de ebben az esetben a fájl biztonsági másolatát a “Korábbi verziók” lapon kell kijelölni. Amikor a “Visszaállítás” gombra kattint, a Windows megnyitja a “Fájlok visszaállítása” varázslót, és innentől a varázsló utasításait kell követnie. A fájlok biztonsági másolatának visszaállításához hozzá kell tudnia férni a biztonsági másolatokat tartalmazó cserélhető tárolóhoz vagy adathordozóhoz (például külső vagy belső merevlemezhez, illetve CD vagy DVD lemezhez).
Windows 7
- A Rendszer megnyitásához kattintson a “Start” gombra, kattintson a jobb gombbal a “Számítógép” elemre, majd kattintson a “Tulajdonságok” parancsra.
- A bal oldali ablaktáblában kattintson a “Rendszervédelem” hivatkozásra. Amennyiben a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy hagyja jóvá a műveletet.
- Kattintson a meghajtóra, majd kattintson a “Beállítás” gombra.
- Hajtsa végre az alábbi műveletek valamelyikét:
- A rendszerbeállítások és a fájlok korábbi verziói visszaállításának bekapcsolásához kattintson a “Rendszerbeállítások” és fájlok korábbi verzióinak visszaállítása parancsra.
- A fájlok korábbi verziói visszaállításának bekapcsolásához kattintson a “Csak a fájlok korábbi verzióinak visszaállítása” parancsra.
- Kattintson az “OK” gombra.
A fájlok és mappák korábbi verzióinak eléréséhez:
- Kattintson a jobb gombbal a fájlra vagy mappára, és kattintson a “Korábbi verziók visszaállítása” parancsra.
- Megjelenik egy lista, amely az adott fájl vagy mappa rendelkezésre álló korábbi verzióit tartalmazza. A lista a biztonsági másolatba mentett fájlokat (ha a Windows biztonsági másolat eszközzel végzi a fájlok biztonsági mentését) és a visszaállítási pontokat is tartalmazza.
- (Egy tárban található fájl vagy mappa korábbi verziójának visszaállításához kattintson a jobb gombbal a fájlra vagy mappára annak mentési helyén (ne a tárban). Ha például egy kép előző verzióját kívánja visszaállítani, amely a Képek tárban is elérhető, de a Képek mappában található, kattintson a jobb gombbal a Képek mappára, majd kattintson a “Korábbi verziók visszaállítása” parancsra.)
- Egy fájl vagy mappa korábbi verziójának visszaállítása előtt jelölje ki a korábbi verziót, majd kattintson a Megnyitás lehetőségre annak ellenőrzéséhez, hogy valóban a kívánt verziót választotta-e ki.
- majd kattintson a “Visszaállítás” parancsra.
Ha az előző verziót egy visszaállítási pontból állítja vissza, a fájl már mentve van a számítógépen, tehát ezenkívül nem kell semmi mást tennie. Ha biztonsági másolatokban lévő fájlból vagy mappából kíván előző verziót visszaállítani, az előző verzió kijelölése, majd a “Visszaállítás” gombra való kattintás után a Windows megnyitja a “Fájlok visszaállítása” varázslót, ezután kövesse a varázsló utasításait. A biztonsági másolatokat tároló meghajtónak vagy adathordozónak elérhetőnek kell lennie, ha egy biztonsági másolat elemeit kívánja visszaállítani.
Visszaállíthat olyan fájlokat is, amelyek biztonsági másolata egy másik, Windows Vista vagy Windows 7 operációs rendszert futtató számítógépen készült.
- A Biztonsági mentés és visszaállítás megnyitásához kattintson a “Start” gombra, majd a “Vezérlőpult” parancsra, azután a “Rendszer és biztonság” lap “Biztonsági mentés és visszaállítás” parancsára.
- Kattintson a “Fájlok visszaállítása másik biztonsági másolatból” parancsra, majd kövesse a varázsló lépéseit. Amennyiben a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy hagyja jóvá a műveletet.
Fájlok visszaállítása fájlok biztonsági másolatából a számítógép biztonsági rendszerkép-másolatból való visszaállítását követően:
Miután visszaállította a számítógépet egy biztonsági rendszerkép-másolatból, elképzelhető, hogy egyes fájlok újabb verzióival is rendelkeznek, amelyeket a fájlok biztonsági másolatából vissza szeretne állítani. Mivel abba az állapotba állt vissza a számítógép, amelyben a biztonsági lemezkép-másolat készítésekor volt, a Windows biztonsági másolat-készítő eszközének Fájlok visszaállítása varázslójában egyetlen, a biztonsági lemezkép-másolat létrehozása után készült fájl biztonsági másolata sem lesz látható. Ha egy biztonsági lemezkép-másolat létrehozása után készült fájl biztonsági mentését kívánja visszaállítani, tegye az alábbiakat:
A “Biztonsági mentés és visszaállítás” megnyitásához kattintson a “Start gombra“, majd a “Vezérlőpult” parancsra, azután a “Rendszer és biztonság” lap “Biztonsági mentés és visszaállítás” parancsára.
- Kattintson “Fájlok visszaállítása” másik biztonsági másolatból elemre. Amennyiben a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy hagyja jóvá a műveletet.
- A “Biztonsági mentés” időköze mezőben válassza ki azt a dátumtartományt, amely tartalmazza a visszaállítani kívánt fájlokat, majd kövesse a varázsló lépéseit.
- Biztonsági mentés (backup): http://windows.microsoft.com/hu-hu/windows/back-up-restore-faq
- Korábbi verziók (previous versions): http://windows.microsoft.com/hu-hu/windows/previous-versions-files-faq
A fenti címeken további információt talál a beállításokkal és funkciókkal kapcsolatban.
Visszafejtő alkalmazás
Ezenkívül elérhetőek visszafejtő alkalmazások is, a zsaroló kártevők egyes fajtáira, melyeknek eredményessége az egyes rendszerek esetében változó lehet.
- McAfee Stinger: http://www.mcafee.com/us/downloads/free-tools/stinger.aspx
- Symantec Endpoint Protection: http://www.symantec.com/security_response/definitions/download/detail.jsp?gid=sep
- ESET Rogue Application Remover (ERAR): http://kb.eset.com/esetkb/index?page=content&id=SOLN3035
- Windows Defender Offline: http://windows.microsoft.com/hu-hu/windows/what-is-windows-defender-offline
Kockázatok csökkentése
1. Megelőzés
1.1. Kártevők szűrése
Meg kell akadályozni, hogy rosszindulatú kódok befolyásoljanak rendszerbeállításokat és tartalmakat, érzékeny adatokat szerezzenek meg, vagy terjedjenek: Vírus és kémprogramok elleni automatikus védelmet kell alkalmazni minél több ponton a munkaállomások, szerverek és mobil eszközök folyamatos figyelése és védelme érdekében.
- SANS: Rosszindulatú kód elleni védekezés (5. kritikus biztonsági kontroll) https://www.sans.org/critical-security-controls/control/5
1.2. Kártevőket terjesztő e-mailek szűrése
A kártevők elleni védekezés hatékony módjai a kéretlen, és gyakran kártékony kódot csatolmány vagy hivatkozás formájában terjesztő levelek ellen a gyanús csatolmányok és linkek szűrése.
Gyanús csatolmányok az operációs rendszer, vagy valamilyen telepített program számára futtatható fájlok, például:
386|exe|ad|ade|adp|asp|bas|bat|chm|cmd|com|cpl|crt|exe|hlp|hta|inf|ins|isp|jar|js|jse|msc|
msi|msp|mst|pcd|pif|reg|scr|sct|shb|shs|vb|vba|vbe|vbs|vss|vst|vsw|ws|wsc|wsf|wsh
Nem kevésbé kockázatosak ezek a fájltípusok tömörített állományokon belül, pl:
7z|arj|bz2|cab|docm|docx|dotm|dotx|dotx|gz|jar|potm|potx|ppam|ppsm|ppsx|pptm|pptx|
pptx|rar|sldm|sldx|tar|thmx|tz|xdp|xml|xlam|xlsb|xlsm|xlsx|xlsx|xltm|xltx|zip
A legtöbb levelező kiszolgáló és -kliens beállítható ilyen csatolmányok automatikus szűrésére, például:
- Microsoft: Exchange 2013 – Attachment filtering on Edge Transport servers https://technet.microsoft.com/en-us/library/bb124399.asp
- Microsoft: Zárolt mellékletek az Outlook programban https://support.office.microsoft.com/hu-hu/article/Blocked-attachments-in-Outlook-3811cddc-17c3-4279-a30c-060ba0207372
1.3. Kártevőket felismerő szoftverek használata
A fájlok kiterjesztésének vizsgálata nem elegendő a kártevők vizsgálatához, és nem alkalmas például a valamilyen sérülékenységet kihasználó kártevők (exploit-ok) ellen. Ezek ellen különböző szerver és kliensoldali kártevő elleni védelmek használhatóak, például a kártevőket is detektáló spam szűrők, és a munkaállomásokon futó valós idejű védelmek — bár ezen védelmek legtöbbször csak a már ismertté vált kártevőket tudják azonosítani. Ezen védelmek megléte mára elengedhetetlen, de még együttesen sem jelent teljes védelmet a kártevők ellen.
A tapasztalatok szerint a kikapcsolt, lejárt licenszű, vagy nem frissülő adatbázissal rendelkező védelmek gyakorlatilag egyenértékűek a védelem hiányával, lásd:
- Microsoft: Security Intelligence Report, Volume 17 http://www.microsoft.com/en-us/download/details.aspx?id=44937
1.4. Felhasználók érzékenyítése
A kártevők többsége a felhasználók óvatlanságát, kíváncsiságát, hiszékenységét kihasználva éri el, hogy a felhasználók egy alkalmazást futtassanak, vagy egy rosszindulatú weboldalt meglátogassanak. Gyanúsnak kell tekinteni az olyan e-maileket amelyek például:
a) váratlanok
- feladó ismeretlen
- nem tartalmaznak név szerinti megszólítást
- a címzett számára szokatlan nyelven íródtak – tipikusan nem magyarul
b) fabrikáltak
- a feladó neve nem áll összhangban a feladó e-mail címével
- nyelvezetük hibákkal teli vagy összefüggéstelen
- elfedett vagy képi hivatkozásokat tartalmaznak
További felismerési tanácsokért lásd:
- Apple: A rosszindulatú, adathalász e-mailek felismerése http://support.apple.com/hu-hu/HT4933
- Microsoft: Az adathalászati célú e-mailek felismerése http://windows.microsoft.com/hu-hu/windows/outlook/abuse-phishing-junk-email
2. Kárenyhítés
2.1. Biztonsági mentés
A támadásból származó károk minimalizálhatóak: A szervezeten belül olyan megbízható folyamatokat kell megvalósítani, ami alapján egy támadás informatikai rendszerekre gyakorolt hatásait meg lehet szüntetni. Automatikusan menteni kell minden információt, amire az egyes rendszerek teljes helyreállítása során szükség lehet, beleértve az operációs rendszert, az alkalmazást és az adatokat. Minden rendszerről készüljön legalább heti mentés, az érzékeny rendszerekről ennél gyakrabban. Rendszeresen tesztelni kell a mentéseket, gyakorolni a visszaállítási eljárásokat.
A mentések legalább egy példányát olyan helyen kell tárolni, mely elérhetetlen a rendszerből. Ezzel csökkenthetőek az olyan kártevők okozta kockázatok, melyek a számukra elérhető adatokat titkosítják, vagy más módon manipulálják, beleértve a mentés céljául szolgáló meghajtókat.
- SANS: Adat visszaállítási képesség (8. kritikus biztonsági kontroll) https://www.sans.org/critical-security-controls/control/8
2.2. Jogosultságok “szükséges és elégséges” elv szerinti kiosztása
A munkaállomások, laptopok és szerverek rendszergazdai felhasználói fiókjait védeni és használatukat korlátozni kell. Ha a megtévesztett felhasználó nem rendelkezik rendszergazdai jogosultságokkal, akkor a fertőzés által okozható kár alacsonyabb lehet.
A titkosítással zsaroló kártevők esetében különösen fontosak a hálózati meghajtókon található fájlok, könyvtárak írási jogosultságai: a jogosultságok “szükséges és elégséges” elv alapján történő kiosztásával megvédhetők más felhasználók adatai.
- SANS: Rendszergazdai jogosultságok ellenőrzött használata (12. kritikus biztonsági kontroll) https://www.sans.org/critical-security-controls/control/12
- SANS: Hozzáférés-kezelés a “szükséges és elégséges” elv alapján (15. kritikus biztonsági kontroll) https://www.sans.org/critical-security-controls/control/15