A tartalomból:

1. Mik azok a zsarolóvírusok és hogyan működnek?

2. Miért szenteljen fokozott figyelmet a védekezésnek?

3. A számítógépes biztonság alappillérei

4. Hogyan védekezhet a veszélyek ellen?

5. Haladó szintű szoftver beállítási lehetőségek a zsarolóvírusok ellen

6. Mit tehet a vírustámadás után?

7. Ne feledkezzen meg a vállalati Androidos telefonokról sem!

8. Végső megoldás: Fizessen vagy sem?

 

Zsarolóvírusok

1. Mik azok a zsarolóvírusok és hogyan működnek?

Dekor

A zsarolóvírus (angolul ransomware) olyan kártékony szoftver, amely titkosítja a számítógépén és mobil eszközein található fájlokat, és váltságdíjat követel ezek feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után a feloldásért többet kell fizetnie, különben adatait végérvényesen elérhetetlenné teszik.

A kártevők új generációja a megnövekedett számú fertőzött e-mailekkel terjed, amelyek letöltik és telepítik az Ön eszközeire a zsarolóvírusokat. A leggyakoribb fajtája, a Nemucod is e-mailen keresztül, a mellékletben csatolt tömörített állományokban terjed. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni, hogy nyissa meg a mellékletet.

 

 

Amennyiben ez megtörténik, a program telepíti magát és HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. A trójai egy olyan URL-listát tartalmaz, amelynek felhasználásával különféle webszerverek, weboldalak meglátogatásával kártevőket próbál meg letölteni. Ha ez sikerül neki, akkor a nemkívánatos programokat fel is telepíti. A folyamat végén jelenleg a legtöbbször a TeslaCrypt és a Locky nevű zsarolóprogram kerül készülékére.

 

2. Miért szenteljen fokozott figyelmet a védekezésnek?

Dekor

Az elmúlt időszakban több fórumon és csatornán találkozhatott már olyan cikkekkel, amelyek a zsarolóvírusok veszélyeire hívják fel a figyelmet. A kártevők fejlődéséről és újabb variánsainak felfedezéséről szóló hírek mellett, javarészt a látványos és sokakat érintő támadásokról olvashat mindenhol.

A védekezés fontosságát az is jelzi, hogy többek között a KÜRT Zrt. adatmentéssel foglalkozó szakembereihez is az év eleje óta folyamatosan növekvő számban érkeznek megkeresések zsarolóvírus okozta adatvesztés miatt. Míg 2015-ben havonta alig három megkeresés volt, idén már napi 2-3 ügyfél jelzi, hogy adatait titkosította valamelyik zsarolóvírus.

Cégünkhöz szintén folyamatosan érkeznek kérdések a védekezéssel kapcsolatban, felhasználói és vállalati oldalról egyaránt.

 

3. A számítógépes biztonság alappillérei

Dekor

Hogy biztonságban tudhassa cége számítógépeit és adatait, mindenképpen azt tanácsoljuk, hogy használjanak valamilyen vírusvédelmi megoldást, például az ESET Endpoint Security, vagy ESET Endpoint Antivirus szoftvert. A vírusvédelmi megoldások használata nagymértékben segít, hogy a rendszereit megvédhesse, de ehhez kiemelten fontos a legújabb frissítések telepítése, valamint lehetőség szerint a legújabb termékverzió használata, természetesen naprakész felismerési adatállományokkal.
 

Biztonsági szoftver

Biztonsági szoftverek legújabb termékverziója, naprakész frissítéssel

Beállítás

Antivírus megoldások megfelelő beállítása (pl. ESET Live Grid)

Operációs rendszer

Frissített operációs rendszer
és alkalmazói szoftverek

Biztonsági mentés

Pótolhatatlan adatokról elkülönített meghajtón tárolt
biztonsági mentések készítése


Emellett pedig kulcsfontosságú, hogy az antivírus megoldásaink megfelelő beállításokkal rendelkezzenek. Például az ESET termékek felhasználóit az ESET Live Grid felhő alapú szolgáltatása védi, amennyiben ez a modul be van kapcsolva. Ennek segítségével a számítógépek ellenőrzése és az új kártevők felismerése még gyorsabbá és hatékonyabbá válik, valamint aktívan blokkolja a zsarolóprogramok folyamatát is. Az egyre gyakoribb támadások miatt érdemes az ESET szoftver verziójának ellenőrzése, és szükség esetén frissítése, valamint az említett Live Grid támogató opció ellenőrzése/beállítása.

Ha Ön nem biztos abban, hogy az opció a vállalkozása számítógépein be van-e kapcsolva, kattintson az alábbi gombra, és tudja meg, hogyan ellenőrizheti le:
 

ESET Live Grid bekapcsolása


A naprakész biztonsági szoftverek használata azonban a számítógépes biztonság alappillérei közül csak az egyiket jelenti. A hatékony védelem második lába a frissített operációs rendszer, és az alkalmazói szoftverek hibajavítási foltjainak haladéktalan letöltése és telepítése, hiszen a kártevők előszeretettel használják ki a javítatlan biztonsági réseket. Ehhez nem csak magának az operációs rendszernek, hanem a különféle alkalmazásoknak (Adobe Flash-től Java-n át Wordpressig) a hibajavításait is mindig futtassa le időben.

A védekezéshez mindenképpen azt tanácsoljuk, hogy az értékes és pótolhatatlan adatokról egy elkülönített, és fizikailag állandóan nem csatlakoztatott meghajtóra rendszeresen készítsen mentéseket, és próbálja is ki azokat.

 

4. Hogyan védekezhet a veszélyek ellen?

Dekor

Ne nyissuk meg az ismeretlen leveleket

Ismeretlen feladótól érkezett e-mailekben
ne nyissa meg a mellékletet, főleg ha ez
tömörített állomány

Figyelmeztetés

Munkahelyén figyelmeztesse azon
kollégáit a veszélyekre, akik főleg
külső irányból kapják leveleik többségét
(pl. pénzügyi vagy HR osztály)

Rendszeres mentés

Készítsen rendszeresen biztonsági
mentést adatairól, melyek
segítségével fertőzés esetén azok
visszanyerhetőek. Biztonsági
mentéseit külső adathordozókon
tárolja, amelyek nincsenek
csatlakoztatva a számítógéphez.

Naprakész Windows

Tartsa naprakészen operációs
rendszereit és szoftvereit,
mindig telepítse ezek frissítéseit.

Legújabb frissítés telepítése

Biztonsági szoftvereinknél kiemelten fontos
a legújabb frissítések telepítése, valamint
lehetőség szerint a legújabb termékverzió
használata.

ESET Live Grid

Az ESET Live Grid felhő alapú
szolgáltatás segítségével a
számítógépek ellenőrzése és az új
kártevők felismerése még gyorsabbá és
hatékonyabbá válik, valamint aktívan
blokkolja a zsarolóprogramok folyamatát is.

Fájlnév kiterjesztések megjelenítése

Kapcsolja be a fájlnév
kiterjesztések megjelenítését a
Vezérlőpult - Mappa beállítások menüpontban.

Makrók letiltása

Tiltson le minden makrót,
kivéve a digitálisan aláírtakat.

Applocker

Használja a Windows-ban
ingyenesen elérhető
Applocker alkalmazást.


A zsarolóvírusok gyakran .exe vagy .pdf kiterjesztésű mellékletben érkeznek. Ezek detektálásánál hasznos lehet, ha bekapcsolja a fájlnév kiterjesztések megjelenítését, amit a következőképpen tehet meg:

1. A Mappabeállítások megnyitásához kattintson a Start gombra, majd a Vezérlőpult parancsra.
2. Ezután kattintson a Megjelenés és személyes beállítások lap Mappabeállítások elemére, vagy keresse a Mappa beállításai menüpontot.
3. Válassza a Nézet fület, és a Speciális beállítások listában keresse meg az Ismert fájltípusok kiterjesztéseinek elrejtése sort.
4. A sor jelölőnégyzetéből törölje a jelet, majd kattintson az OK gombra.
 

5. Haladó szintű szoftver beállítási lehetőségek a zsarolóvírusok ellen

Dekor

A lenti gombra kattintva letöltheti az ESET angol nyelvű útmutatóját, amellyel részletes, magasabb szintű beállításokat eszközölhet a levélszemét szűrő, tűzfal és behatolásmegelőző rendszereken, így még nagyobb védelmet biztosíthat számítógépeinek a zsarolóvírusok ellen!

FIGYELEM: Szeretnénk felhívni a figyelmét, hogy az útmutatóban javasolt beállítások több terméktámogatással kapcsolatos megkeresést eredményezhetnek a végfelhasználók részéről, hiszen a beállítások alkalmazásával bizonyos programok és szolgáltatások blokkolásra kerülnek, melyről a termék értesítést is küld a felhasználó felé.

 

Zsarolóvírus - Végpontvédelem videósegédlet Zsarolóvírus - Végpontvédelem útmutató Zsarolóvírus - levelezőszerver védelem


 

6. Mit tehet a vírustámadás után?

Dekor

Gondolatok az adatvesztésről

Mindig gondolja végig, hogy az
adatvesztés mitől következett be. A
zsarolóvírusok minden esetben jelzik
a felhasználónak, hogy az adatokat titkosították, és váltságdíjat kérnek.
 

Izolálás

Amennyiben a vírustámadás megtörtént,
a legfontosabb a számítógép izolálása. Semmilyen körülmények között ne
próbálja meg csatlakoztatni cége
számítógépes hálózatához, se vezetéken,
se wifi-n, mert ezzel a többi számítógépen lévő adatot is kockáztatja.

Pendrive tiltás

Hordozható adattárolót (pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést továbbviheti
egy másik számítógépre.

Kérje szakember segítségét

A kárelhárítás után a zsarolóvírus
teljes eltávolítását mindenképpen
bízza szakemberre.

Teljes fomázás javasolt

A meghajtó teljes formázását
javasoljuk, ezzel biztosan eltűnik a
vírus minden nyoma.

Újratelepítés ajánlott

Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után próbálkozzon adatait az archív
mentésekből helyreállítani.
 

Mivel a titkosítás feltörése technikailag nem oldható meg, így az adatmentés a titkosított adatokra vonatkozóan a legtöbb esetben sikertelen lesz. Ha a számítógépein be volt állítva visszaállítási pont, többnyire visszanyerhető valamekkora adattartalom.
 



Hogyan tisztíthatja meg számítógépét a TeslaCrypt fertőzéstől?

Amennyiben a TeslaCrypt újabb verzióival (v3, v4) fertőződött meg, jó hírünk van az Ön számára! Ha titkosított fájljai .xxx, .ttt, .micro, .mp3 kiterjesztést kaptak, vagy változatanul maradtak, az ESET TeslaCrypt Decrypter program segítségével visszaállíthatja dokumentumait. A dekódolás lépéseit, valamint az alkalmazást itt töltheti le:

 

Hogyan tisztíthatom meg a számítógépemet?

 

7. Ne feledkezzen meg a vállalati Androidos telefonokról sem!

Dekor

Ahogy említettük, a vírusok és más kártékony kódok készítői nem kizárólag a Windows-ra fókuszálnak. Az utóbbi években figyelmüket a legelterjedtebb mobil operációs rendszer, az Android is felkeltette, amely számos vállalkozás okostelefonjain és táblagépein fut.

Az ESET az Androidot futtató zsarolóvírusok számos családját vizsgálta már meg. A támadók számos technikát használnak, például antivírus programnak álcázzák magukat, vagy követelésüket úgy tüntetik fel, mintha a rendvédelmi szervek nevében zárnák le az eszközt (ilyen zsarolóvírus például a Reveton).

2014-ben találkoztak kutatóink az első zsarolóvírussal, amely Android operációs rendszeren kísérelte meg az adatok titkosítását. Azóta a támadók több mint 50 variánssal jelentkeztek, mindegyik fejlettebb és veszélyesebb volt, mint az előző verzió. Mindössze egy évre rá jelent meg az első olyan zsarolóvírus, amely lehetetlenné tette a telefonhoz való hozzáférést és azt egy véletlenszerűen előállított négyjegyű kóddal korlátozta.

Ne feledjük, hogy mindezek a kártékony szoftverek képesek ellehetetleníteni a mindennapi üzletmenetet és több száz dollárra rúgó váltságdíjat követelnek az áldozatoktól és vállalataiktól a hozzáférés helyreállításáért.

 

Hogyan biztosíthatja Androidos eszközei védelmét?

Figyelmeztetés

Képezze munkatársait. Fontos, hogy az Androidos eszközöket használó munkavállalók tisztában legyenek a zsarolóvírusok jelentette veszéllyel és megelőző lépéseket tegyenek.

Alkalmazásbolt

Kerülje vagy tiltsa le a nem hivatalos, vagy egyéb gyártó által fenntartott alkalmazásboltokat.

Értékelés

Letöltés előtt olvassa el a többi felhasználó visszajelzését. A káros és rosszindulatú működést a felhasználók hamar észreveszik.

Alkalmazás hozzáférés

Munkatársai mindig ellenőrizzék
le, hogy az alkalmazás által kért hozzáférések valóban szükségesek-e a megfelelő működéshez.

Lista az engedélyezett alkalmazásokról

Amennyiben lehetséges,
készítsen listát a vállalati eszközökön engedélyezett alkalmazásokról.

Biztonsági szoftver

Használjon biztonsági szoftvert vállalkozása mobil eszközein is.

Rendszeres frissítés

Rendszeresen frissítse
telefonja alkalmazásait.

Rendszeres mentés

Fontos adatait
rendszeresen mentse el.

 

A fentieken túl az is fontos, hogy működő biztonsági mentéssel rendelkezzen vállalkozása összes Androidos eszközéről. Nagy esély van arra, hogy azok a felhasználók, akik megfelelő ellenlépéseket tettek, soha sem fognak zsarolóvírussal szembesülni. És még ha – legrosszabb esetben - áldozatul is esnek, megfelelő mentés birtokában egy ilyen tapasztalat nem több apró kellemetlenségnél.

 

Mit tegyen, ha céges telefonja megfertőződött?

Amennyiben az Ön vagy munkavállalója eszköze megfertőződik zsarolóvírussal, az eltávolítás lehetőségei a kártékony kód variánsától függően többfélék lehetnek.

 

Biztonságos mód

1. Rendszerbetöltés biztonsági módban (safe mode)

A legegyszerűbb képernyőzároló zsarolóvírusok esetében a csökkentett módú indítás – amelyben a nem gyári alkalmazások (beleértve a zsarolóvírust is) nem indulnak el – megoldja a helyzetet, és könnyedén el tudja távolítani a vírust.  A csökkentett módú indítás lépései eszközönként eltérőek, konkrét esetekben a leírás, vagy pedig egy megfelelő Google keresés ad megoldást.


Alkalmazásfelügyelet

2. Vonja vissza az eszközfelügyeleti jogosultságot a kártevőtől!

Abban az esetben, ha az alkalmazás eszközfelügyeleti jogot kapott, - ez gyakran előfordul az egyre agresszívebb, új variánsok esetében - ezt a beállítások között meg kell vonnia, mielőtt eltávolítja.


Android Eszközkezelő

3. A Mobile Device Manager segítségével változtassa meg jelszavát!

Ha a zsarolóvírus eszközfelügyeleti jog birtokában lezárta az eszközt az Android beépített PIN kódot vagy jelszót bekérő funkciójával, a helyzet bonyolultabb. A zárolás normál esetben a Google Android Device Manager szolgáltatásával, vagy egyéb MDM megoldással oldható fel. Amennyiben teljes felügyeletet szerzett (rootolt eszközök esetében), más megoldások is szóba jöhetnek.


Kapcsolat

4. Vegye fel a kapcsolatot a terméktámogatással!

Ha az eszközön tárolt állományokat a zsarolóvírus (pl. Android/Simplocker) titkosította, azt javasoljuk, hogy keresse fel védelmi szoftvere terméktámogatással foglalkozó szakembereit. A visszaállítás lehetősége a zsarolóvírus fajtájától függ.


Gyári beállítások visszaállítása

5. Gyári beállítások visszaállítása

A gyári beállítások visszaállítása, amely minden adatot töröl az eszközről, csak végső esetben ajánlható, ha a fenti megoldások közül egyik sem használható már.

 

8. Végső megoldás: Fizessen vagy sem?

Dekor

Az esetleges váltságdíj kifizetését nem javasoljuk, mivel ezzel részint tovább bátorítja a folyamatot, másrészt, mivel bűnözőkkel üzletel, semmilyen garancia sincs arra, hogy egyáltalán kap valamilyen kódot, és hogy az működőképes lesz. A beszámolók jelentős részénél - kb. 80-90%-ban - a fizetés ellenére sem érkezik feloldó kulcs.

 

 

Dekor
A legújabb verziók letöltése ESET Live Grid bekapcsolása Hogyan tisztíthatja meg számítógépét?