Gyakori kérdések a zsarolásról

A zsarolóvírusok történelme

1989: Az első ismert zsarolóvírus, az 1989 AIDS Trojan (más néven «PC Cyborg») felbukkanása; szerzője Joseph Popp
2005: Májusban megjelenik egy erőszakos zsarolóvírus
2006: 2006 derekán a Gpcode, a TROJ.RANSOM.A, az Archiveus, a Krotten, a Cryzip, a MayArchive és más féregvírusok egyre kifinomultabb RSA-titkosítási sémákat kezdenek használni, egyre hosszabb kulcsméretekkel
2011: Megjelenik egy, a Windows termékaktiválási üzenetére hasonlító zsarolóvírus
2013: Felbukkan egy, a Stamp.EK biztonságirés-kereső készleten alapuló zsarolóvírus, illetve egy Mac OS X rendszerre írt zsarolóvírus is. A CryptoLocker az év utolsó négy hónapjában körülbelül 5 millió dollárt kaszál
2015: Többféle vírus többféle platformon okoz jelentős károkat

A zsarolóvírusok típusai

  • Titkosító zsarolóvírusok

Az ilyen zsarolóvírusok titkosítják a személyes és munkahelyi fájlokat (dokumentumokat, táblázatokat, képeket és videókat) és mappákat.

A titkosítás után törli a vírus az érintett fájlokat, a felhasználók pedig általában egy szövegfájlt találnak az elérhetetlenné tett fájlok mappáiban. A szövegfájlban lévő zsarolólevél tartalmazza a fizetési instrukciókat.

Előfordulhat, hogy a probléma csak az érintett fájlok megnyitásakor tapasztalható.

Egyes titkosító zsarolóvírusok az alábbiakhoz hasonló zárolási képernyőket jelenítenek meg:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Képernyőzáras zsarolóvírus — WinLocker

Ez a zsarolóvírus zárolja a számítógép képernyőjét, és váltságdíjat követel.

Az általa megjelenített teljes képernyős kép minden más ablakot elfed.

A személyes fájlokat azonban nem titkosítja ez a zsarolóvírus.

Polyransom2

  • Master Boot Record (MBR) típusú zsarolóvírusok

A Master Boot Record (MBR), azaz a rendszerindító rekord a számítógép merevlemezének az operációs rendszer indítását engedélyező része.

Az MBR-zsarolóvírusok a számítógép rendszerindító rekordjának módosításával megszakítják a rendszerindítási folyamatot.

A rendszer helyett ilyenkor egy zsarolólevél jelenik meg a képernyőn.

Master-Boot.jpg

  • Webszervereket titkosító zsarolóvírusok

Ezek a zsarolóvírusok webszervereket támadnak, és titkosítják a rajtuk található fájlokat.

A támadók gyakran a tartalomkezelő rendszerek ismert biztonsági réseit használják ki a zsarolóvírusok telepítésére a webes szolgáltatásokban.

Ransomware encrypting web servers

  • Mobilkészülékes zsarolóvírusok (Android)

A mobilkészülékek (jellemzően az androidos készülékek) elsősorban letöltéseken keresztül fertőzhetők meg.

Emellett magukat valamilyen népszerű alkalmazásnak, például Adobe Flashnek vagy víruskeresőnek álcázó hamis alkalmazásokon keresztül is történnek támadások.

Mobile Ransomware

Áldozatként célszerű-e kifizetnem a váltságdíjat?

Sosem javasolt kifizetni a váltságdíjat, főleg azért, mert ez nem jelent garanciát a probléma megoldására. Számos, akár szándékolatlan hiba is felmerülhet. Előfordulhat például, hogy a kártevő kódjában lévő hiba miatt a megfelelő kulccsal sem sikerül visszafejteni (dekódolni) az adatokat.

Ráadásul a váltságdíj kifizetése azt bizonyítja a kiberbűnözők számára, hogy jó módszert találtak a pénzszerzésre. Ennek eredményeként pedig folytatni fogják tevékenységüket, újabb és újabb rendszereket próbálnak feltörni, így a nagyobb számú sikeres fertőzés következtében még több pénzt keresnek.

Hogyan zajlik egy zsarolóvírusos támadás?

A zsarolóvírusos támadások rendszerint emailekhez csatolt mellékletekben indulnak. Ezek futtatható fájlok, tömörített fájlok és képek is lehetnek. A melléklet megnyitásakor a kártevő bejut az áldozat rendszerébe. A kiberbűnözők weboldalakat is megfertőzhetnek a kártevőkkel. Amikor a látogató meglátogat egy weboldalt – amiről lehet, hogy nem is tud –, a kártevő szintén bejut a rendszerbe.

A fertőzés nem válik rögtön észrevehetővé a felhasználó számára. A kártevők csendben működnek a háttérben, majd egyszer csak aktiválódik a rendszert vagy az adatokat zároló mechanizmus. Ekkor megjelenik egy párbeszédpanel vagy ablak, amely tájékoztatja a felhasználót, hogy zárolták az adatait, és csak váltságdíj fejében juthat hozzájuk újra.  Ezen a ponton már mindenféle biztonsági eszközzel késő másolatot készíteni az adatokról.

Az alábbi videó részletesebben is bemutatja a zsarolóvírusok működését:

Kik válhatnak a zsarolóvírusok áldozatává?

Bárki, minden számítógép-felhasználó, minden cég és minden más szervezet áldozatává válhat a zsarolóvírusoknak. A kiberbűnözők nem válogatnak, és gyakran a lehető legtöbb fertőzés elérése a céljuk, hogy így maximalizálhassák profitjukat.

Fenyegethetik-e a vállalkozások növekedését a zsarolóvírusok?

Igen, hiszen a kiberbűnözők is tisztában vannak vele, hogy a szervezetek könnyebben fizetnek váltságdíjat, mivel az elérhetetlenné tett adatok jellemzően bizalmasak, és elengedhetetlenek a cég zavarmentes működéséhez. Ráadásul egyes esetekben a váltságdíjnál is többe kerül a biztonsági másolatokból végzett helyreállítás.

Miért olyan nehéz univerzális megoldást találni a zsarolóvírusok ellen?

Napjainkban felfutóban vannak a zsarolóvírusok – jelenleg több mint 50 ilyen kártevőcsaládot ismerünk, és a számuk folyamatosan növekszik. És minden újabb variáns jobb titkosítást és újabb trükköket használ. Emellett már nem lehet csendben elmenni!

Az egyik ok, amiért ilyen nehéz univerzális megoldást alkotni, hogy a titkosítás önmagában nem kártevőkre jellemző funkció, hanem egy remek találmány, amit számos legitim alkalmazás is használ.

Az első kriptográfiai kártevő szimmetrikus kulcsú titkosítást alkalmazott, azaz ugyanaz a kulccsal lehetett visszafejteni az adatokat, amivel titkosították őket. A titkosított adatokat a biztonsági cégek rendszerint sikeresen vissza tudták fejteni. A kiberbűnözők egy idő múlva viszont áttértek az aszimmetrikus kriptográfiai algoritmusokra, amelyek két kulcsot használnak, egy nyilvánosat a fájlok titkosításához, és egy titkosat a visszafejtéshez.

Az egyik leghíresebb zsarolóvírus, a CryptoLocker Trojan is nyilvános kulcsú (aszimmetrikus) titkosítást használ. A fertőzött számítógépek mindegyike csatlakozik egy műveletvezérlő szerverhez, ahonnan letölti a nyilvános kulcsot. A titkos kulcshoz viszont csak a CryptoLockert készítő kiberbűnözők férnek hozzá. Az áldozatnak rendszerint legfeljebb 72 órát adnak a váltságdíj kifizetésére a titkos kulcs végleges törlése előtt. E kulcs hiányában viszont lehetetlen visszafejteni a titkosított fájlokat.

Éppen ezért a megelőzésre kell fókuszálni. A legtöbb víruskereső szoftvernek van zsarolóvírusokat észlelő modulja, amely már a fertőzés korai fázisában jelezni tudja a veszélyt, amivel elkerülhető az érzékeny adatok elvesztése. Minden felhasználónak fontos meggyőződnie róla, hogy az ilyen jellegű funkció be van-e kapcsolva a víruskereső megoldásában.

Mekkora az esélye, hogy segíteni tudnak az áldozatoknak a fájljaik visszanyerésében?

A No More Ransom projektet még csak most hívtuk életre, de folyamatosan együtt dolgozunk más biztonsági cégekkel és bűnüldöző szervekkel, hogy a zsarolóvírusok lehető legtöbb változatának a lehető legtöbb kulcsát azonosítani tudjuk. Ha úgy véli, hogy a munkánkat segítő információkkal rendelkezik, kérjük, ossza meg velünk.

Mire szolgál a Crypto Sheriff, és hogyan vehető igénybe a szolgáltatása?

A Crypto Sheriff nevű eszköz a készülékére bejutott zsarolóvírus azonosításában nyújt nekünk segítséget. Az eszköz vizsgálatainak eredménye alapján ellenőrizni tudjuk, hogy van-e dekódoló megoldás az adott vírushoz. Az alábbi videó részletesebben is bemutatja az eszköz működését:

Nem működik a dekódolóeszköz, pedig biztosan a megfelelőt használom. Mi ennek az oka?

Ez is előfordul. Néha nem sikerül vagy hosszabb időbe kerül hozzájutnunk az összes kulcshoz. Látogasson vissza rendszeresen az oldalunkra.

Mikor van lehetőség a zsarolóvírusok által titkosított fájlok dekódolására?

A dekódolás az alábbi esetekben lehetséges:

  • A kártevő szerzője programozási hibát vétett, lehetővé téve a titkosítás feltörését. A Petya és a CryptXXX zsarolóvírus esetén például ez történt.
  • A kártevő szerzője megbánja tettét, és közzéteszi a kulcsokat (vagy egy fő kulcsot), ahogy tette azt a TeslaCrypt szerzője is.
  • A bűnüldöző szervek lefoglalják a titkos kulcsokat tartalmazó szervert, és nyilvánosságra hozzák a kulcsokat. Erre a CoinVault a jó példa.


Néha a váltságdíj megfizetése is megoldás lehet, azonban a fizetés nem garancia rá, hogy a fájlok dekódolása ténylegesen meg is fog történni. Ráadásul a fizetéssel a bűnözők üzleti modelljének jövedelmezőségét erősíti, így részben felelőssé válik a jövőbeli zsarolóvírusok fertőzéseiért.

Miért indították el a No More Ransom kezdeményezést?

Nem titok, hogy a felhasználók rendszerein tárolt adatokat titkosító, majd váltságdíjat követelő zsarolóvírusok hatalmas kiberbiztonsági problémává nőtték ki magukat az elmúlt években. Konkrétan annyira elterjedtek, hogy járványnak is nevezhetnénk a helyzetet. A zsarolóvírusok áldozatává vált felhasználók száma rohamosan emelkedik: 2015 áprilisa és 2016 márciusa között 718 ezer felhasználót támadtak meg sikeresen, ami a 2014-2015-ös időszakhoz képest 5,5-szörös növekedésnek felel meg.

A rendőrség önmagában nem tud harcolni a kiberbűnözőkkel, sem a zsarolóvírusokkal. Ugyanakkor a biztonsági szakértők sem tudják felvenni a harcot a bűnüldöző szervek támogatása nélkül. A zsarolóvírusok elleni harc felelősségét közösen kell vállalnia a rendőrségnek, az igazságügyi szerveknek, az Europolnak és az IT-biztonsági cégeknek, és ez a közös fellépés közös erőfeszítéseket igényel. Együtt minden lehetséges lépést meg fogunk tenni, hogy ellehetetlenítsük a bűnözők pénzszerzési módszereit, és visszaadjuk a fájlokat a jogos tulajdonosaiknak – anélkül hogy ezért hatalmas összegeket kellene fizetniük.

Az én országomban is vannak hasonló kezdeményezések?

A "No More Ransom" egy nemzetközi kezdeményezés, amely megmutatja az állami szféra és a magánszektor összefogásának erejét a kiberbűnözők ellen folytatott küzdelemben. Az együttműködés nem áll meg az országhatároknál. A projekt fő célja az ismeretterjesztés, a felhasználók megtanítása a zsarolóvírusok támadásának megelőzési módjaira a világ minden részén. Hisszük, hogy előbb-utóbb a földkerekség minden pontján támogatást fognak kapni az áldozatok a zsarolóvírusok okozta károk mérsékléséhez. A rendszereik elérhetővé tételével bátorítani kívánjuk a felhasználókat, hogy elhiggyék: felléphetnek a zsarolás ellen, és elkerülhető, hogy váltságdíj fizetésével még jutalmazzák is a bűnözőket.

A jelenlegi kezdeti fázisban az oldalunk négy dekódolóeszközt tartalmaz különböző típusú kártevőkhöz. A weboldalon elérhető eszközök mind ingyenesek, és működni fognak a weboldalon említett zsarolóvírusok áldozatainak gépein, akármelyik pontján is vannak a világnak.