Néhány naponta számolunk be mi (és a világsajtó is) a zsarolóvírusok okozta károkról, amelyek gyors terjedése az ESET szakértői szerint több okra vezethető vissza. Az egyik, hogy a kiberbűnözők látványos és szokatlan támadási célpontokat választanak, elég itt az egészségügyi intézményekre gondolni. Az amerikai kórházak, amelyek nem tudták megvédeni a betegek adatait, vagy a hazai veszprémi kórház, amelynek működését szintén megzavarták a zsarolóvírusok. Az, hogy emberek élete és egészsége került veszélybe, néhány intézményt arra kényszerített, hogy dollárok ezreit fizesse ki a támadóknak. A pszichológiai hadviselés módszerei, mint például a visszaszámláló, vagy más hasonló trükk alkalmazása csak azért, hogy gyorsabban fizessék ki a váltságdíjat, szintén felkeltette az újságírók figyelmét a jelenség iránt. Ezek mellett azonban az újfajta számítógépes bűncselekmények puszta mennyisége is jó okot szolgáltatott a rengeteg megjelenésre. Egy hónappal ezelőtt az ESET már figyelmeztette a felhasználókat a fertőzött e-mailek robbanásszerű terjedésére, amelyek zsarolóvírusokat terjesztettek és e-mail fiókokat árasztottak el velük a világ minden táján.

Az egyik leghíresebb JS/TrojanDownloader.Nemucod trójai, amely azzal, hogy úgy tett, mintha ártalmatlan csatolmányokat hordozna, tömegesen szedte áldozatait, akik így letöltötték és telepítették valamelyik olyan jól ismert zsarolóvírus családot, mint a TeslaCrypt vagy a Locky. Úgy tűnik, hogy ezt a taktikát hatékonynak értékelték a bűnözők, mivel több hullámban is próbálkoztak vele. A kiberbűnözők emellett a zsarolóvírusok változatainak egy szélesebb palettáját is használták a támadások során, beleértve a CTBLocker vagy a Filecoder.DG kártevőket.

Az ügyetlenebb próbálkozók: Petya is hibázott

Egy kis bizakodásra adhat okot, hogy nem minden zsarolóvírus olyan veszélyes, mint a fentebb említett családok. A felhasználók szerencséjére ez volt a helyzet két újabb keletű zsarolóvírus – a Petya és a Jigsaw – esetében is, amelyeket az ESET vizsgált. Mindkettő tartalmazott olyan kivitelezési hibát, amely lehetővé tette az érintett áldozatoknak, hogy visszakapják a dokumentumaikat és az eszközeiket anélkül, hogy fizetniük kellett volna érte.

A Petya, amelyet először a Trend Micro észlelt, “kék halált” okoz, miután sikeresen beszivárgott a Windowsba, és ezzel rákényszeríti az áldozatot, hogy újraindítsa a számítógépét. Ha a felhasználó ez megteszi, az operációs rendszert betöltése helyett egy felugró ablakkal találkozik, amelyen egy követelés jelenik meg 0.99 bitcoin (kb. 431 dollár) értékű váltságdíj kifizetésére. Az ESET vizsgálata azonban kimutatta, hogy a Petya (a zsaroló üzenetben megjelenő követelés ellenére) nem titkosítja magukat a fájlokat a számítógép lemezein, hanem csak a fájlrendszert. Ami így lehetővé teszi a felhasználóknak, hogy az elérhető eszközök segítségével visszaállítsák a fájlokat, amely ugyan így is némi költséget jelenthet. Igaz rendelkezésre áll egy ingyenes visszafejtő eszköz is, amely a struktúrában hagyott kiskapukon alapszik, és így lehetővé teszi a felhasználónak, hogy visszaállítsa a korábbi fájlrendszert.

A zsarolóvírus, amely játszani akar

Egy másik zsarolóvírus család, amely az elmúlt időszakban az ESET kutatóinak látókörébe került, a Jigsaw volt. A Fűrész című népszerű horror filmre utalva megpróbál „játszani” az áldozataival azzal, hogy destruktív szabályokat állít fel. Ha a felhasználó nem fizet az első órában, a zsarolóvírus törölni fog egy fájlt. Ha nem fizet a második óra elteltével sem, a törölt fájlok száma kettőre növekszik. Minden további órával a törölt fájlok száma exponenciálisan nő, ami jelentős adatkárosodáshoz vezethet. A Jigsaw figyelmezteti is az áldozatot, hogy minden egyes, a számítógép újraindítására irányuló próbálkozást 1000 másik fájl törlésével bünteti. Azonban a zsarolóvírus kódját vizsgálva az ESET kutatói rájöttek, hogy a Jigsaw is rejt hibákat. A kártevő ugyanazt a statikus kulcsot használja minden titkosításhoz, így már létezik egy visszafejtő eszköz, amely nyilvánosan elérhető a felhasználók számára.

Utánzó Locky

Egy másoló program, amelyet az ESET rendszere Win32/Filecoder.Autolocky.A vagy röviden Autolocky-ként észlelt, jó példája annak, ahogyan a zsarolóvírusok készítői megpróbálnak mások „hírnevéből” táplálkozni, de gyakran elbuknak a kivitelezési fázisban. A rossz kódolásnak köszönhetően a visszafejtő kulcsot kizárólag Internet Exploreren keresztül küldik és a fertőzött gépen könnyen lekövethető az előzményekben. Az Autolocky áldozatai szintén szerencsések, mivel létezik egy könnyen elérhető visszafejtő eszköz, amivel visszaszerezhetik a fájljaikat.

Ahogy ezek a közelmúltbeli példák is mutatják, a felhasználóknak nem kellene bedőlniük a zsarolóvírusok megfélemlítő taktikáinak, és meg kell tagadniuk a követelt váltságdíj kifizetését. Létezik megoldás vagy visszafejtő eszköz néhány zsarolóvírus család ellen, amelyek képesek biztonságosan és megbízhatóan visszaállítani a fájlokat, megkímélve ezzel a felhasználók pénzét és elvágva a jövőbeli kiberbűnözés finanszírozását. Ezek a megoldások elvileg képesek visszafejteni az éppen aktuális jelenlegi kartevő változatok titkosítását, ezért érdemes először a blogbejegyzésben megtalálható linkeken próbálkozni az elhárítással.

Annak ellenére, hogy néhány zsarolóvírus hibás vagy tökéletlen, a kiberbűnözők napról napra javítják a szoftverjeiket. A megelőzés ezért elengedhetetlen, hogy biztonságban tartsuk magunkat a zsarolóvírusoktól – még a gyengébbektől is.

Ennek érdekében arra van szükség, hogy az operációs rendszer és a szoftver mindig naprakész legyen, használjunk hatékony számítógépvédő programot, amely a védelem több rétegével rendelkezik, és rendszeresen mentsünk el minden fontos és értékes adatot egy offline helyen (mint egy külső adattároló). Legyünk nagyon óvatosak, amikor rákattintunk valamire egy e-mailben vagy a böngészőben. Ha ismeretlen forrástól kaptunk üzenetet, vagy valamiért gyanúsnak tűnik a levél, akkor töröljük. Biztonsági szoftvereinknél kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata.