Sokan belefuthatnak, hogy egy hibás kattintás után minden adatuk elérhetetlenné válik és a több ezer dollárt követelnek tőlünk, hogy újra használhatóak legyenek fájljaink. Fontos, hogy még időben gondoskodjunk a megfelelő védelemről!
 

1. Mik azok a zsarolóvírusok és hogyan működnek?

Dekor

A zsarolóvírus (angolul ransomware) olyan kártékony szoftver, amely titkosítja a számítógépeden és mobil eszközeiden található fájlokat, és váltságdíjat követel ezek feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után a feloldásért többet kell fizetned, különben adataidat végérvényesen elérhetetlenné teszik.

A kártevők új generációja a megnövekedett számú fertőzött e-mailekkel terjed, amelyek eszközeidre letöltik és telepítik a zsarolóvírusokat. A leggyakoribb fajtája, a Nemucod is e-mailen keresztül, a mellékletben csatolt tömörített állományokban terjed. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálnak rávenni, hogy nyisd meg a mellékletet.

 

A zsarolóvírus működése

 

Amennyiben ez megtörténik, a program telepíti magát és HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. A trójai egy olyan URL-listát tartalmaz, amelynek felhasználásával különféle webszerverek, weboldalak meglátogatásával kártevőket próbál meg letölteni. Ha ez sikerül neki, akkor a nemkívánatos programokat fel is telepíti. A folyamat végén jelenleg a legtöbbször a TeslaCrypt és a Locky nevű zsarolóprogram kerül a készülékedre.

 

2. Miért szentelj fokozott figyelmet a védekezésnek?

Dekor

Az elmúlt időszakban több fórumon és csatornán találkozhattál már olyan cikkekkel, amelyek a zsarolóvírusok veszélyeire hívják fel a figyelmet. A kártevők fejlődésének és újabb variánsainak felfedezéséről szóló hírek mellett, javarészt a látványos és sokakat érintő támadásokról olvashatsz mindenhol.

A védekezés fontosságát az is jelzi, hogy többek között a KÜRT Zrt. adatmentéssel foglalkozó szakembereihez is az év eleje óta folyamatosan növekvő számban érkeznek megkeresések zsarolóvírus okozta adatvesztés miatt. Míg 2015-ben havonta alig három megkeresés volt, idén már napi 2-3 ügyfél jelzi, hogy adatait titkosította valamelyik zsarolóvírus.

Cégünkhöz szintén folyamatosan érkeznek kérdések a védekezéssel kapcsolatban, felhasználói és vállalati oldalról egyaránt.

 

3. A számítógépes biztonság alappillérei

Dekor

Számítógéped biztonsága érdekében mindenképp azt tanácsoljuk, hogy használj valamilyen vírusvédelmi megoldást, például az ESET Smart SecurityESET NOD32 Antivirus szoftvert. A vírusvédelmi megoldások használata nagymértékben segít, hogy a rendszereidet megvédhesd, de ehhez kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata, természetesen naprakész felismerési adatállományokkal.
 

Biztonsági szoftver

Biztonsági szoftverek
legújabb termékverziója, naprakész frissítéssel

Beállítás

Antivírus megoldások
megfelelő beállítása
(pl. ESET Live Grid)

Operációs rendszer

Frissített operációs rendszer
és alkalmazói szoftverek

Biztonsági mentés

Pótolhatatlan adatokról elkülönített meghajtón tárolt biztonsági mentések készítése


Emellett pedig kulcsfontosságú, hogy az antivírus megoldásaink megfelelő beállításokkal rendelkezzenek. Például az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amennyiben ez a modul be van kapcsolva. Ennek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is. Az egyre gyakoribb támadások miatt érdemes az ESET szoftver verziójának ellenőrzése, és szükség esetén frissítése, valamint az említett Live Grid támogató opció ellenőrzése/beállítása.

Ha nem vagy benne biztos, hogy az opció a Te számítógépeden be van-e kapcsolva, kattints az alábbi gombra, és tudd meg, hogyan ellenőrizheted le:
 

ESET Live Grid bekapcsolása
 

A naprakész biztonsági szoftverek használata azonban a számítógépes biztonság alappillérei közül csak az egyiket jelenti. A hatékony védelem második lába a frissített operációs rendszer, és az alkalmazói szoftverek hibajavítási foltjainak haladéktalan letöltése és telepítése, hiszen a kártevők előszeretettel használják ki a javítatlan biztonsági réseket. Ehhez nem csak magának az operációs rendszernek, hanem a különféle alkalmazásoknak (Adobe Flash-től Java-n át Wordpressig) a hibajavításait is mindig futtasd le időben.

A védekezéshez mindenképpen azt tanácsoljuk, hogy az értékes és pótolhatatlan adataidról egy elkülönített, és fizikailag állandóan nem csatlakoztatott meghajtóra rendszeresen készíts mentéseket, és próbáld is ki azokat.
 

4. Hogyan védekezz a veszélyek ellen?

Dekor

Ne nyissuk meg az ismeretlen leveleket

Ismeretlen feladótól érkezett
e-mailekben ne nyisd meg a
mellékletet, főleg ha ez
tömörített állomány.

Figyelmeztetés

Figyelmeztesd azon
családtagjaidat, ismerőseidet
és kollégáidat a veszélyekre,
akik leveleik többségét
külső irányból kapják.

Rendszeres mentés

Készíts rendszeresen biztonsági mentést adataidról, amelyek segítségével fertőzés esetén visszanyerheted azokat. A mentéseket külső adathordozókon tárold,
amelyek nincsenek csatlakoztatva a számítógépedhez.

Naprakész Windows

Tartsd naprakészen operációs
rendszeredet és szoftvereidet,
mindig telepítsd ezek frissítéseit.

Legújabb frissítés telepítése

Biztonsági szoftvereinknél kiemelten
fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata.

ESET Live Grid

Az ESET Live Grid felhő alapú
szolgáltatás segítségével számítógéped ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is.

   
A legújabb verziók letöltése ESET Live Grid bekapcsolása


A zsarolóvírusok gyakran .exe vagy .pdf kiterjesztésű mellékletben érkeznek. Ezek detektálásánál hasznos lehet, ha bekapcsolod a fájlnév kiterjesztések megjelenítését, amit a következőképpen tehetsz meg:

1. A Mappabeállítások megnyitásához kattints a Start gombra, majd a Vezérlőpult parancsra.
2. Ezután kattints a Megjelenés és személyes beállítások lap Mappabeállítások elemére, vagy keresd a Mappa beállításai menüpontot.
3. Válaszd a Nézet fület, és a Speciális beállítások listában keresd meg az Ismert fájltípusok kiterjesztéseinek elrejtése sort.
4. A sor jelölőnégyzetéből töröld a jelet, majd kattints az OK gombra.

 

5. Mit tehetsz a vírustámadás után?

Dekor

Gondolatok az adatvesztésről

Mindig gondold végig, hogy az
adatvesztés mitől következett be. A
zsaroló vírusok minden esetben jelzik
a felhasználónak, hogy az adatokat titkosították, és váltságdíjat kérnek.
 

Izolálás

Amennyiben a vírustámadás megtörtént,
a legfontosabb a számítógép izolálása.
Semmilyen körülmények között ne próbáld meg csatlakoztatni otthoni hálózatodhoz,
se vezetéken, se wifi-n, mert ezzel a többi számítógépen lévő adatot is kockáztatod.

Pendrive tiltás

Hordozható adattárolót (pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést továbbviheted
egy másik számítógépre.

Kérje szakember segítségét

A kárelhárítás után a zsarolóvírus
teljes eltávolítását mindenképpen
bízd szakemberre.

Teljes fomázás javasolt

A meghajtó teljes formázását
javasoljuk, ezzel biztosan eltűnik a
vírus minden nyoma.

Újratelepítés ajánlott

Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után
próbálkozz adataidat az archív
mentésekből helyreállítani.

Mivel a titkosítás feltörése technikailag nem oldható meg, így az adatmentés a titkosított adatokra vonatkozóan a legtöbb esetben sikertelen lesz. Ha a számítógépeden be volt állítva visszaállítási pont, többnyire visszanyerhető valamekkora adattartalom.
 



Hogyan tisztíthatom meg számítógépemet a TeslaCrypt fertőzéstől?
 

Jó hírünk van a számodra! Amennyiben a TeslaCrypt újabb verzióinak (v3, v4) áldozatává váltál, van megoldás. Ha titkosított fájljaid .xxx, .ttt, .micro, .mp3 kiterjesztést kaptak, vagy változatanul maradtak, az ESET TeslaCrypt Decrypter program segítségével visszaállíthatod dokumentumaidat. A dekódolás lépéseit, valamint az alkalmazást itt töltheted le:
 

Hogyan tisztíthatom meg a számítógépemet?
 

6. A mobilodról se feledkezz meg!

Dekor

Amint említettük, a vírusok és más kártékony kódok készítői nem kizárólag a Windows-ra fókuszálnak. Az utóbbi években figyelmüket a legelterjedtebb mobil operációs rendszer, az Android is felkeltette.

Az ESET az Androidot futtató zsarolóvírusok számos családját vizsgálta már meg. A támadók számos technikát használnak, például antivírus programnak álcázzák magukat, vagy követelésüket úgy tüntetik fel, mintha a rendvédelmi szervek nevében zárnák le az eszközt (ilyen zsarolóvírus például a Reveton).

2014-ben találkoztak kutatóink az első zsarolóvírussal, amely Android operációs rendszeren kísérelte meg az adatok titkosítását. Azóta a támadók több mint 50 variánssal jelentkeztek, mindegyik fejlettebb és veszélyesebb volt, mint az előző verzió. Mindössze egy évre rá jelent meg az első olyan zsarolóvírus, amely lehetetlenné tette a telefonhoz való hozzáférést és azt egy véletlenszerűen előállított négyjegyű kóddal korlátozta.

Ne feledd, ezek a kártékony szoftverek képesek ellehetetleníteni eszközeid használatát és több száz dollárra rúgó váltságdíjat követeltek az áldozatoktól a hozzáférés helyreállításáért.

 

Hogyan biztosíthatod Androidos eszközeid védelmét?

Figyelmeztetés

Képezd családtagjaidat, ismerőseidet és
munkatársaidat is.

Alkalmazásbolt

Kerüld a nem hivatalos, vagy egyéb gyártó által fenntartott alkalmazásboltokat.

Értékelés

Olvasd el a többi felhasználó visszajelzését! A káros és rosszindulatú működést a felhasználók hamar észreveszik.

Alkalmazás hozzáférés

Mindig ellenőrizd, hogy az alkalmazás által kért hozzáférések valóban szükségesek-e a megfelelő működéshez.

Lista az engedélyezett alkalmazásokról

Amennyiben lehetséges, készíts listát az engedélyezett alkalmazásokról.

Biztonsági szoftver

Használj
biztonsági
szoftvert.

Rendszeres frissítés

Rendszeresen frissítsd
telefonod alkalmazásait.

Rendszeres mentés

Fontos adataidat
rendszeresen mentsd el.

 

A fentieken túl az is fontos, hogy működő biztonsági mentéssel rendelkezz minden Androidos eszközről. Nagy esély van arra, hogy azok a felhasználók, akik megfelelő ellenlépéseket tettek, soha sem fognak zsarolóvírussal szembesülni. És még ha – legrosszabb esetben - áldozatul is esnek, megfelelő mentés birtokában egy ilyen tapasztalat nem több apró kellemetlenségnél.

 

Mit tegyek, ha a telefonom megfertőződött?

Amennyiben zsarolóvírussal fertőződsz meg, az eltávolítás lehetőségei a kártékony kód variánsától függően többfélék lehetnek.

 

Biztonságos mód

1. Rendszerbetöltés biztonsági módban (safe mode)

A legegyszerűbb képernyőzároló zsarolóvírusok esetében a csökkentett módú indítás – amelyben a nem gyári alkalmazások (beleértve a zsarolóvírust is) nem indulnak el – megoldja a helyzetet, és könnyedén el tudod távolítani a vírust.  A csökkentett módú indítás lépései eszközönként eltérőek, konkrét esetekben a leírás, vagy pedig egy megfelelő Google keresés ad megoldást.


Alkalmazásfelügyelet

2. Vond vissza az eszközfelügyeleti jogosultságot a kártevőtől!

Abban az esetben, ha az alkalmazás eszközfelügyeleti jogot kapott, - ez gyakran előfordul az egyre agresszívebb, új variánsok esetében - ezt a beállítások között meg kell vonnod, mielőtt eltávolítod.


Android Eszközkezelő

3. A Mobile Device Manager segítségével változtass jelszót!

Ha a zsarolóvírus eszközfelügyeleti jog birtokában lezárta az eszközt az Android beépített PIN kódot vagy jelszót bekérő funkciójával, a helyzet bonyolultabb. A zárolás normál esetben a Google Android Device Manager szolgáltatásával, vagy egyéb MDM megoldással oldható fel. Amennyiben teljes felügyeletet szereztél (rootolt eszközök esetében), más megoldások is szóba jöhetnek.


Kapcsolat

4. Vedd fel a kapcsolatot a terméktámogatással!

Ha az eszközön tárolt állományokat a zsarolóvírus (pl. Android/Simplocker) titkosította, azt javasoljuk, hogy keresd fel védelmi szoftvered terméktámogatással foglalkozó szakembereit. A visszaállítás lehetősége a zsarolóvírus fajtájától függ.


Gyári beállítások visszaállítása

5. Gyári beállítások visszaállítása

A gyári beállítások visszaállítása, amely minden adatot töröl az eszközről, csak végső esetben ajánlható, ha a fenti megoldások közül egyik sem használható már.

 

7. Végső megoldás: Fizess vagy sem?

Dekor

Az esetleges váltságdíj kifizetését nem javasoljuk, mivel ezzel részint tovább bátorítod a folyamatot, másrészt, mivel bűnözőkkel üzletelsz, semmilyen garancia sincs arra, hogy egyáltalán kapsz valamilyen kódot, és hogy az működőképes lesz. A beszámolók jelentős részénél - kb. 80-90%-ban - a fizetés ellenére sem érkezik feloldó kulcs.