Jenő
-3 °C
6 °C

Ketyegő bombákkal vannak tele a mailboxok

2017-05-13T071059Z 1482144777 RC1AC858A1E0 RTRMADP 3 CYBER-ATTAC
2017.05.15. 16:11

A WannaCry nevű zsarolóvírus több százezer számítógépbe férkőzött be a hétvégén a világ több mint 150 országában. A főleg emailen terjedő vírus gyárakat, kórházakat, iskolákat, mobilszolgáltatókat, üzleteket fertőzött meg világszerte. Bár áradásszerű terjedését sikerült megakasztani, biztonságtechnikai szakértők nagyon tartottak a hétfői munkakezdéstől, amikor dolgozók milliói kapcsolják be a számítógépüket, ami újabb lendületet adhat a vírus terjedésének.

Egyelőre nem volt újabb fellángolás a hétfői munkakezdés után, de a szakemberek szerint a veszély nem múlt el. Ketyegő bombákkal vannak tele az emberek mailboxai, jellemezte a helyzetet igencsak találóan egy hongkongi biztonságtechnikai cég, a Network Box ügyvezetője.

De mit csinál egy zsarolóvírus?

Mielőtt a konkrét esettel továbbmennénk, nézzük meg röviden, hogyan működnek a zsarolóvírusok és miért veszélyes összevissza kattintgatni ismeretlen csatolmányokra. A zsarolóvírus (angolul ransomware) egy kártékony szoftver, amelyre általánosan két állítás igaz:

  • zárolja az áldozat hozzáférését a teljes számítógéphez vagy titkosítja a fájlokat,
  • a visszaállításért váltságdíjat követel, innen ered ugye a neve.
u5ecpcfiltnjxnfa0k7g

Nem mostani találmány, már 1989-ben felbukkant az első ilyen jellegű vírus. Az AIDS Trojant Josheph Pop írta, az AUTOEXEC.BAT fájlon keresztül fertőzött, titkosította a fájlneveket és 189 dollárt kért az áldozatoktól a titkosítás feloldásáért. De a vírusirtók könnyen visszaállították az elrejtett fájlokat, így nem állíthatjuk, hogy sikeres volt a vírus. Az utódok ennél sokkal kifinomultabban támadnak, ezeknél a vírusirtók jellemzően már nem, vagy nehezen tudják visszaállítani az eredeti állapotot.

A zsarolóvírusok nem egyformák, különböző módon próbálnak az áldozat számítógépébe férkőzni és a fizetést is más-más módokon próbálják elérni. Az egyszerűbbek lockolják, vagyis kizárják a felhasználókat a gépükről, általában valamilyen hatóságnak álcázva magukat. Az egyik leismertebb ilyen vírus 2012-ben terjedt el, a Reveton azt állította, hogy az áldozat gépét illegális tevékenységhez használták, például gyerekpornót vagy illegális szoftvereket töltöttek le rajta. Itt az ijesztgetés a lényeg, azt hitetik el a felhasználóval, ha nem fizet, akkor komoly büntetés vár rá. Persze ezt soha nem a bűnüldöző szervek küldik ki, miért is tennének ilyet, mégis sokan bedőlnek ezeknek a vírusoknak.

A zsarolóvírusok másik nagyobb fajtáját a cryproware néven futó szoftverek, amelyek a gép teljes tartalmát titkosítják. Ma már ezek a népszerűbbek, a mostani WannaCry is ilyen jellegű vírus, 300 dollárnak megfelelő Bitcoint kér a blokkolás feloldásáért. A G DATA szakértői szerint a WannaCry egy olyan exploit (sérülékenység) kódon alapul, amelyet eredetileg az amerikai NSA fejlesztett annak érdekében, hogy más országok hálózataiba behatoljon. Az ETERNALBLUE kódot a múlt hónapban szivárogtatta ki a Shadow Brokers hekkercsoport.

Világméretű pusztítás

A vírus elképesztően gyorsan és hatékonyan terjedt el, a támadás első három órájában 11 ország számítógépeit érte el, első körben Spanyolország, Oroszország és Nagy-Britannia volt érintett, de egy napon belül szinte alig volt olyan ország a világon, amelyet ne ért volna el. Magyarországi cégeket is érint a támadás.

Kapcsolódó

Zsarolóvírus söpört végig a világon

Angliai kórházak után több más országból is érkeztek hírek ugyanolyan támadásokról.

A vírus a felhasználók miatt terjedhetett ilyen gyorsan, mert készítői a Windows egy korábbi hibáját használták ki, amelyre a Microsoft azóta kiadta a javítást. Tehát, ahogy az lenni szokott, azok a gépek veszélyeztetettek, amelyekre nem telepítették a legfrissebb javítócsomagot.

A Microsoft szerint a mostani támadást egyfajta ébresztőként is szolgálhat a kormányoknak, hogy ők is lépjenek a kiberbiztonság érdekében, ne a magánfelhasználókra, cégekre várjanak. A javítócsomagot már márciusban kiadta a cég, de rengetegen nem töltötték még le. És itt nem csak magánszemélyekről van szó ugye, állami intézmények, cégek, nagyvállalatok sem frissítették operációs rendszerüket.

A Microsoft azt is megjegyezte, hogy ez a támadássorozat is mutatja, hogy a kormányoknak fel kell hagynia azzal, hogy sebezhetőségeket gyűjtenek saját célra, és nem közlik azokat az érintett cégekkel, amelyek kijavíthatnák a hibákat. Ezúttal is ez történt, hiszen az NSA hiába fedezte fel már korábban a biztonsági rést, nem tudatta a Microsofttal, így hosszú időn át bárki kihasználhatta.

Odafigyeléssel megelőzhető

A legfontosabb kérdés ilyenkor, hogyan tudjuk megvédeni számítógépünket és mit tehetünk, ha mégis megfertőződött. A WannaCry zsarolóvírus Windows-gépeket fertőz, a legveszélyeztetettebbek a még mindig Windows XP-t használók köre, de a Windows 8, 10 és 7 is érintett. Azok vannak veszélyben, akik nem frissítik az operációs rendszerüket, összevissza kattintgatnak böngészőjükben, minden csatolmányt megnyitnak válogatás nélkül. A legegyszerűbb védekezés, ha kicsit odafigyelünk arra, mit hogyan használunk:

  • Nem látogatunk gyanús weboldalakat, erre egyébként is figyelmeztetnek már a böngészők. 
  • Nem kattintunk ismeretlenektől érkezett emailre, főleg nem annak csatolmányára.
  • Mindig készítünk biztonsági mentést, amelyről bármikor visszaállíthatóak nélkülözhetetlen fájljaink.
  • Naprakészen tartjuk operációs rendszerünket és böngészőnket, ami azt jelenti, hogy figyeljük és letöltjük a kiadott frissítéseket.
  • Az sem árt, ha tűzfalat és vírusirtót használunk.
  • Ne töltsünk le ismeretlen oldalakról ingyenes szoftvereket.
  • A Microsoft ezen kívül azt is ajánlja, hogy blokkoljuk a felugró hirdetéseket is.

A vírusirtó kérdését itt érdemes körüljárni, mert a hagyományos szoftverek nem tudják kiszűrni az ilyen hirtelen felbukkanó vírusokat. De létezik a vírusirtóknak egy új generációja, amely tanulással a vírusok viselkedése, terjedése alapján képes lehet kiszűrni az új trójait.

Na és ha már megfertőződött a számítógép?

Az első és legfontosabb, amit ilyenkor tanácsolnak a szakemberek, hogy ne fizessünk váltságdíjat. Egyrészt az nem garantálja, hogy feloldják a zárolást, másrészt mégiscsak bűnözőknek fizetünk, hogy aztán még több embert vágjanak át.

A fertőzött számítógépet mindenképpen el kell szigetelni a hálózaton lévő többi géptől. Egyszerűen azért, hogy ne fertőzze tovább a többi gépet. Pont emiatt hordozható adattárolót, vagyis pendrive-ot, külső merevlemezt se tegyen a gépébe. Kevesen tudják egyedül visszaállítani a rendszert (ezen a linken a Microsoft azért próbál segítséget adni), ezért a közvetlen kárelhárítás után szakemberre kell bízni a fájlok visszaállítását. Szerencsére a mostani vírus egyelőre intézményeket és cégeket támad, magánemberek egyelőre nem célpontok. De nem árt résen lenni, mert már hétvégén megjelentek a vírus mutációi, és ki tudja, hova fejlődnek a következő napokban vagy hetekben. Szakemberek szerint ugyanis

a mostani hullámot több másik is követheti.

Ahogy cikkünk elején említettük, ma is lehet egy újabb felfutása a vírusnak, amikor a hétvége után először gépük elé ülők bekapcsolják a számítógépet. Mivel a délelőtti órákban nem érkezett újabb tömeges fertőzésekről hír, feltételezhető, hogy sokakhoz eljutott a hét végi támadás híre, és a szokásosnál is körültekintőbben kattintgat mindenki. 

(Borítókép: REUTERS/Kacper Pempel)

Köszönjük, hogy minket olvasol minden nap!

Ha szeretnél még sokáig sok ilyen, vagy még jobb cikket olvasni az Indexen, ha szeretnéd, ha még lenne független, nagy elérésű sajtó Magyarországon, amit vidéken és a határon túl is olvasnak, akkor támogasd az Indexet!

Tudj meg többet az Index támogatói kampányáról!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?