1. Mik azok a zsarolóvírusok és hogyan működnek?

A zsarolóvírus (angolul ransomware) olyan kártékony szoftver, amely titkosítja a számítógépeden és mobil eszközeiden található fájlokat, és váltságdíjat követel ezek feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után a feloldásért többet kell fizetned, különben adataidat végérvényesen elérhetetlenné teszik.

A kártevők új generációja a megnövekedett számú fertőzött e-mailekkel terjed, amelyek eszközeidre letöltik és telepítik a zsarolóvírusokat. A leggyakoribb fajtája, a Nemucod is e-mailen keresztül, a mellékletben csatolt tömörített állományokban terjed. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálnak rávenni, hogy nyisd meg a mellékletet.

Amennyiben ez megtörténik, a program telepíti magát és HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. A trójai egy olyan URL-listát tartalmaz, amelynek felhasználásával különféle webszerverek, weboldalak meglátogatásával kártevőket próbál meg letölteni. Ha ez sikerül neki, akkor a nemkívánatos programokat fel is telepíti. A folyamat végén jelenleg a legtöbbször a TeslaCrypt és a Locky nevű zsarolóprogram kerül a készülékedre.

2. Miért szentelj fokozott figyelmet a védekezésnek?

Az elmúlt időszakban több fórumon és csatornán találkozhattál már olyan cikkekkel, amelyek a zsarolóvírusok veszélyeire hívják fel a figyelmet. A kártevők fejlődésének és újabb variánsainak felfedezéséről szóló hírek mellett, javarészt a látványos és sokakat érintő támadásokról olvashatsz mindenhol.

A védekezés fontosságát az is jelzi, hogy többek között a KÜRT Zrt. adatmentéssel foglalkozó szakembereihez is az év eleje óta folyamatosan növekvő számban érkeznek megkeresések zsarolóvírus okozta adatvesztés miatt. Míg 2015-ben havonta alig három megkeresés volt, idén már napi 2-3 ügyfél jelzi, hogy adatait titkosította valamelyik zsarolóvírus.

Cégünkhöz szintén folyamatosan érkeznek kérdések a védekezéssel kapcsolatban, felhasználói és vállalati oldalról egyaránt.

3. A számítógépes biztonság alappillérei

Számítógéped biztonsága érdekében mindenképp azt tanácsoljuk, hogy használj valamilyen vírusvédelmi megoldást, például az ESET Smart Security, ESET NOD32 Antivirus szoftvert. A vírusvédelmi megoldások használata nagymértékben segít, hogy a rendszereidet megvédhesd, de ehhez kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata, természetesen naprakész felismerési adatállományokkal.
 

Emellett pedig kulcsfontosságú, hogy az antivírus megoldásaink megfelelő beállításokkal rendelkezzenek. Például az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amennyiben ez a modul be van kapcsolva. Ennek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is. Az egyre gyakoribb támadások miatt érdemes az ESET szoftver verziójának ellenőrzése, és szükség esetén frissítése, valamint az említett Live Grid támogató opció ellenőrzése/beállítása.

Ha nem vagy benne biztos, hogy az opció a Te számítógépeden be van-e kapcsolva, kattints az alábbi gombra, és tudd meg, hogyan ellenőrizheted le:
 

A naprakész biztonsági szoftverek használata azonban a számítógépes biztonság alappillérei közül csak az egyiket jelenti. A hatékony védelem második lába a frissített operációs rendszer, és az alkalmazói szoftverek hibajavítási foltjainak haladéktalan letöltése és telepítése, hiszen a kártevők előszeretettel használják ki a javítatlan biztonsági réseket. Ehhez nem csak magának az operációs rendszernek, hanem a különféle alkalmazásoknak (Adobe Flash-től Java-n át Wordpressig) a hibajavításait is mindig futtasd le időben.

A védekezéshez mindenképpen azt tanácsoljuk, hogy az értékes és pótolhatatlan adataidról egy elkülönített, és fizikailag állandóan nem csatlakoztatott meghajtóra rendszeresen készíts mentéseket, és próbáld is ki azokat.
 

4. Hogyan védekezz a veszélyek ellen?

A zsarolóvírusok gyakran .exe vagy .pdf kiterjesztésű mellékletben érkeznek. Ezek detektálásánál hasznos lehet, ha bekapcsolod a fájlnév kiterjesztések megjelenítését, amit a következőképpen tehetsz meg:

1. A Mappabeállítások megnyitásához kattints a Start gombra, majd a Vezérlőpult parancsra.
2. Ezután kattints a Megjelenés és személyes beállítások lap Mappabeállítások elemére, vagy keresd a Mappa beállításai menüpontot.
3. Válaszd a Nézet fület, és a Speciális beállítások listában keresd meg az Ismert fájltípusok kiterjesztéseinek elrejtése sort.
4. A sor jelölőnégyzetéből töröld a jelet, majd kattints az OK gombra.

5. Mit tehetsz a vírustámadás után?

Mivel a titkosítás feltörése technikailag nem oldható meg, így az adatmentés a titkosított adatokra vonatkozóan a legtöbb esetben sikertelen lesz. Ha a számítógépeden be volt állítva visszaállítási pont, többnyire visszanyerhető valamekkora adattartalom.
 

Hogyan tisztíthatom meg számítógépemet a TeslaCrypt fertőzéstől?
 

Jó hírünk van a számodra! Amennyiben a TeslaCrypt újabb verzióinak (v3, v4) áldozatává váltál, van megoldás. Ha titkosított fájljaid .xxx, .ttt, .micro, .mp3 kiterjesztést kaptak, vagy változatanul maradtak, az ESET TeslaCrypt Decrypter program segítségével visszaállíthatod dokumentumaidat. A dekódolás lépéseit, valamint az alkalmazást itt töltheted le:
 

6. A mobilodról se feledkezz meg!

Amint említettük, a vírusok és más kártékony kódok készítői nem kizárólag a Windows-ra fókuszálnak. Az utóbbi években figyelmüket a legelterjedtebb mobil operációs rendszer, az Android is felkeltette.

Az ESET az Androidot futtató zsarolóvírusok számos családját vizsgálta már meg. A támadók számos technikát használnak, például antivírus programnak álcázzák magukat, vagy követelésüket úgy tüntetik fel, mintha a rendvédelmi szervek nevében zárnák le az eszközt (ilyen zsarolóvírus például a Reveton).

2014-ben találkoztak kutatóink az első zsarolóvírussal, amely Android operációs rendszeren kísérelte meg az adatok titkosítását. Azóta a támadók több mint 50 variánssal jelentkeztek, mindegyik fejlettebb és veszélyesebb volt, mint az előző verzió. Mindössze egy évre rá jelent meg az első olyan zsarolóvírus, amely lehetetlenné tette a telefonhoz való hozzáférést és azt egy véletlenszerűen előállított négyjegyű kóddal korlátozta.

Ne feledd, ezek a kártékony szoftverek képesek ellehetetleníteni eszközeid használatát és több száz dollárra rúgó váltságdíjat követeltek az áldozatoktól a hozzáférés helyreállításáért.

Hogyan biztosíthatod Androidos eszközeid védelmét?

A fentieken túl az is fontos, hogy működő biztonsági mentéssel rendelkezz minden Androidos eszközről. Nagy esély van arra, hogy azok a felhasználók, akik megfelelő ellenlépéseket tettek, soha sem fognak zsarolóvírussal szembesülni. És még ha – legrosszabb esetben - áldozatul is esnek, megfelelő mentés birtokában egy ilyen tapasztalat nem több apró kellemetlenségnél.

Mit tegyek, ha a telefonom megfertőződött?

Amennyiben zsarolóvírussal fertőződsz meg, az eltávolítás lehetőségei a kártékony kód variánsától függően többfélék lehetnek.

	1. Rendszerbetöltés biztonsági módban (safe mode) A legegyszerűbb képernyőzároló zsarolóvírusok esetében a csökkentett módú indítás – amelyben a nem gyári alkalmazások (beleértve a zsarolóvírust is) nem indulnak el – megoldja a helyzetet, és könnyedén el tudod távolítani a vírust.  A csökkentett módú indítás lépései eszközönként eltérőek, konkrét esetekben a leírás, vagy pedig egy megfelelő Google keresés ad megoldást.
	2. Vond vissza az eszközfelügyeleti jogosultságot a kártevőtől! Abban az esetben, ha az alkalmazás eszközfelügyeleti jogot kapott, - ez gyakran előfordul az egyre agresszívebb, új variánsok esetében - ezt a beállítások között meg kell vonnod, mielőtt eltávolítod.
	3. A Mobile Device Manager segítségével változtass jelszót! Ha a zsarolóvírus eszközfelügyeleti jog birtokában lezárta az eszközt az Android beépített PIN kódot vagy jelszót bekérő funkciójával, a helyzet bonyolultabb. A zárolás normál esetben a Google Android Device Manager szolgáltatásával, vagy egyéb MDM megoldással oldható fel. Amennyiben teljes felügyeletet szereztél (rootolt eszközök esetében), más megoldások is szóba jöhetnek.
	4. Vedd fel a kapcsolatot a terméktámogatással! Ha az eszközön tárolt állományokat a zsarolóvírus (pl. Android/Simplocker) titkosította, azt javasoljuk, hogy keresd fel védelmi szoftvered terméktámogatással foglalkozó szakembereit. A visszaállítás lehetősége a zsarolóvírus fajtájától függ.
	5. Gyári beállítások visszaállítása A gyári beállítások visszaállítása, amely minden adatot töröl az eszközről, csak végső esetben ajánlható, ha a fenti megoldások közül egyik sem használható már.

7. Végső megoldás: Fizess vagy sem?