Zsarolóprogram (ransomware) – mi az, hogyan működik és története
Zsarolóprogram (ransomware): mi ez, hogyan működik, története és védekezési tippek — teljes, naprakész útmutató a kiberbiztonság alapjairól és esettanulmányokról.
A ransomware a rosszindulatú szoftverek egy típusa. Korlátozza a hozzáférést az általa megfertőzött számítógépes rendszerhez vagy az általa tárolt adatokhoz (gyakran titkosítási technikák alkalmazásával), és váltságdíjat követel a kártevő program készítőjének (készítőinek). Ennek célja a korlátozás megszüntetése. A zsarolóprogramok egyes formái a rendszer merevlemezén lévő fájlokat titkosítják. Mások egyszerűen zárolják a rendszert, és olyan üzeneteket jelenítenek meg, amelyek célja, hogy a felhasználót fizetésre bírják.
A zsarolóprogramok először Oroszországban váltak népszerűvé. Mostanra a zsarolóvírusos csalások használata nemzetközileg is elterjedt. 2013 júniusában a McAfee közölte, hogy 2013 első három hónapjában több mint 250 000 egyedi mintát gyűjtött be a zsarolóprogramokból. Ez több mint kétszerese az előző évi számnak. A 2013 végén felbukkanó CryptoLocker zsarolóféreg becslések szerint 3 millió USD-t gyűjtött össze, mielőtt a hatóságok lekapcsolták.
2017 májusában egy WannaCry nevű zsarolóprogram terjedt el világszerte. Négy napig tartott, és 150 országban több mint 200 000 számítógépet érintett. Mindössze körülbelül 130 000 dollár (USD) váltságdíjat fizettek ki, de a támadás számos nagyvállalatot és szervezetet érintett. Az Egyesült Királyság Nemzeti Egészségügyi Szolgálatát (NHS) súlyosan érintette a WannaCry. A kórházak nem tudtak hozzáférni a fájljaikhoz, ezért sok műtétet töröltek, és betegeket kellett elküldeni. Az NHS különösen veszélyeztetett volt, mivel a Windows operációs rendszer Windows XP nevű változatát használta, amelyet a Microsoft már nem támogatott. Ez azt jelentette, hogy a Microsoft nem küldött biztonsági frissítéseket a Windows ezen verziójához, így a WannaCry-vírus számára nyitva állt. Más rendszerek is érintettek voltak, annak ellenére, hogy a Windows újabb verzióit futtatták, mivel a felhasználók még nem telepítették a legújabb biztonsági frissítéseket. Bár a WannaCry vírust nem arra tervezték, hogy ténylegesen kárt tegyen a számítógépekben vagy azok fájljaiban, mégis rengeteg időt és pénzt vesztegetett el, és megmutatta, hogy a világ még mindig mennyire sebezhető a zsarolóvírus-támadásokkal szemben.
Képgaléria
1 KépMilyen típusai vannak a zsarolóprogramoknak?
Alapvetően két gyakori típus létezik:
- Fájl-titkosítók (crypto-ransomware): a lemezen található fájlokat titkosítják, és az eredeti visszaállításához a támadók kulcsát követelik.
- Locker-ek: a rendszert vagy annak felületét zárolják, megakadályozva, hogy a felhasználó elérje a gépet; ilyenkor a szolgáltatás visszaállítása gyakran egyszerűbb, mint a fájlok visszafejtése.
Az utóbbi években megjelentek vegyes és kifinomult módszerek is, például double extortion — a fájlok titkosítása mellett azok korábban történő kiszivárogtatásával is zsarolnak.
Hogyan működnek technikailag?
A modern zsarolóprogramok általában hibrid titkosítást használnak: a fájlokat gyors szimmetrikus algoritmussal (pl. AES) titkosítják, majd a szimmetrikus kulcsot az ellenség publikus kulcsával (pl. RSA) titkosítják. Így a visszafejtéshez a támadóknál lévő privát kulcs szükséges. A zsarolóprogramok jellemzően a következő lépéseket követik:
- Bejutás (pl. e-mail melléklet, phishing, rosszindulatú link, exploit kit, nyitott RDP szolgáltatás).
- Oldalsó mozgás a hálózaton — más gépek és megosztott meghajtók elérése.
- Fájlok titkosítása és váltságdíj-üzenet elhelyezése.
- Külső kommunikáció a támadó szerverrel (kulcscsere, kérések), gyakran titkosított csatornán keresztül.
Hogyan terjednek?
- Fájlcsatolásokkal vagy rosszindulatú linkekkel érkező e-mailek (malspam, phishing).
- Kizsákmányolt biztonsági rések (például az EternalBlue, amelyet a WannaCry használt).
- Gyenge vagy kifejezetten támadható RDP (távoli asztali) szolgáltatások és jelszavak.
- Kártevőket terjesztő további rosszindulatú szoftverek és fertőzött letöltések.
Miért és hogyan fizetnek a célpontok?
A váltságdíjat általában kriptovalutában (például Bitcoin) kérik, mert az anonimnak tűnő tranzakciók megkönnyítik a pénz áramoltatását. A fizetésnek azonban nincs garanciája: a támadók nem feltétlenül küldik vissza a visszafejtéshez szükséges kulcsot, és a fizetés tovább ösztönzi a támadási iparágat. Emiatt a legtöbb bűnüldöző szervezet és biztonsági szakértő nem javasolja a fizetést.
Történeti mérföldkövek és trendek
- Korai példa: a 1989-es “AIDS” trojan, amely már váltságdíjat próbált szerezni floppy-lemezen terjedve.
- 2013: a CryptoLocker nagy médiafigyelmet kapott és jelentős pénzeket szedett be.
- 2017: a WannaCry (EternalBlue sebezhetőséget kihasználva) világszerte nagy károkat okozott; az eset rávilágított a patchek és támogatott operációs rendszerek fontosságára.
- 2017 után: a NotPetya jellegű támadások, amelyek egyes esetben nem is valódi zsarolásra, hanem pusztításra irányultak (wiper).
- Napjainkban: növekvő üzleti célzás (kórházak, önkormányzatok, nagyvállalatok), Ransomware-as-a-Service és “double extortion” módszerek jellemzik a fenyegetést.
Megelőzés — mit tehetnek a felhasználók és szervezetek?
- Rendszeres, több példányban és offline tárolt biztonsági mentések: a leghatékonyabb védelem a fájlok visszaállítására.
- Gyors és rendszeres szoftverfrissítések, biztonsági patchek alkalmazása (különösen a távoli elérésű szolgáltatásoknál).
- MFA (többtényezős hitelesítés) használata különösen RDP-hez és távoli hozzáférésekhez.
- Felhasználói oktatás: adathalász e-mailek felismerése, gyanús mellékletek és linkek elkerülése.
- Végpontvédelem, EDR (endpoint detection and response) és hálózati elkülönítés/segmentálás alkalmazása.
- SMBv1 és más elavult protokollok letiltása (a WannaCry példája alapján kiemelten fontos).
- Hozzáférések korlátozása: jogkörök minimalizálása (principle of least privilege).
Fertőzés esetén teendők
- Azonnal izolálja a fertőzött gépet: húzza le a hálózatról, kapcsolja ki a Wi‑Fi/távoli kapcsolatokat.
- Ne indítsa újra szükségtelenül a gépet; jegyezze fel a váltságdíj-üzeneteket és a kiterjesztéseket.
- Értesítse a szervezet informatikai csapatát vagy szakértőt, illetve a helyi hatóságokat / bűnüldözést.
- Ha vannak friss, megbízható mentések, azokat felhasználva lehet visszaállítani az adatokat; a visszaállítás előtt győződjön meg róla, hogy a fertőzés forrását megszüntették.
- Ne fizessen gyorsan váltságdíjat: előtte konzultáljon szakértővel és jogi képviselővel — a fizetés nem garantál sikeres visszafejtést és bátorítja a támadókat.
- Ellenőrizze a NoMoreRansom és hasonló forrásokat: néha léteznek ingyenes visszafejtő eszközök egyes zsarolóprogramokhoz.
Jog és együttműködés
A zsarolóprogramok elleni küzdelem nem csak technikai kérdés: a bűnüldözés, nemzetközi együttműködés és az áldozatok jogi támogatása is fontos szerepet játszik. Sok országban léteznek iránymutatások arra vonatkozóan, hogyan kell bejelenteni a kibertámadásokat, és bizonyos esetekben kötelező bejelentési kötelezettség is fennállhat.
Összefoglalás
A zsarolóprogramok súlyos és folyamatosan fejlődő fenyegetést jelentenek mind magánszemélyek, mind szervezetek számára. A legjobb védekezés a megelőzés — naprakész rendszerek, jó gyakorlatok, rendszeres, offline mentések és megfelelő működési eljárások bevezetése. Fertőzés esetén fontos a gyors reagálás, a szakértői segítség igénybevétele és a bűnüldöző szervek bevonása.
Kérdések és válaszok
K: Mi az a zsarolóprogram?
V: A ransomware egy olyan rosszindulatú szoftver, amely korlátozza a számítógépes rendszerhez vagy annak adataihoz való hozzáférést, gyakran titkosítási technikákat alkalmazva, és váltságdíjat követel a felhasználótól a korlátozás megszüntetése érdekében.
K: Hogyan váltak népszerűvé a zsarolóprogramok?
V: A ransomware először Oroszországban vált népszerűvé, de használata azóta nemzetközileg is elterjedt.
K: Hány egyedi mintát gyűjtött be a McAfee 2013-ban a zsarolóvírusokból?
V: A McAfee arról számolt be, hogy 2013 első három hónapjában több mint 250 000 egyedi zsarolóvírus-mintát gyűjtött be.
K: Mekkora volt a CryptoLocker által a leállítása előtt begyűjtött becsült összeg?
V: A jelentések szerint a CryptoLocker becslések szerint 3 millió USD-t gyűjtött össze, mielőtt a hatóságok lekapcsolták.
K: Mi történt a 2017-es WannaCry támadás során?
V: A WannaCry-támadás világszerte elterjedt, és 150 országban több mint 200 000 számítógépet érintett. Négy napig tartott, és csak körülbelül 130 000 dollár (USD) váltságdíjat fizettek ki érte. Az Egyesült Királyság Nemzeti Egészségügyi Szolgálatát (NHS) különösen súlyosan érintette, mivel a Windows egy elavult verzióját használták, amelyet a Microsoft már nem támogatott biztonsági frissítésekkel.
K: Miért voltak még mindig érintettek egyes rendszerek annak ellenére, hogy a Windows újabb verziója volt telepítve?
V: Néhány rendszer még mindig érintett volt, annak ellenére, hogy a Windows újabb verziója volt telepítve, mivel a felhasználók még nem telepítették a legújabb biztonsági frissítéseket.
K: Milyen hatással volt a WannaCry az emberekre és a szervezetekre világszerte?
V: A WannaCry vírus világszerte rengeteg elvesztegetett időt és pénzt eredményezett az emberek és szervezetek számára, megmutatva, hogy mennyire sebezhetőek vagyunk a zsarolóvírus-támadásokkal szemben.
Kapcsolódó cikkek
Szerző
AlegsaOnline.com Zsarolóprogram (ransomware) – mi az, hogyan működik és története Leandro Alegsa
URL: https://hu.alegsaonline.com/art/81165
Források
- fbi.gov : "New Internet scam: Ransomware..."
- infoworld.com : "Update: McAfee: Cyber criminals using Android malware and ransomware the most"
- bbc.co.uk : "Cryptolocker victims to get files back for free"
- abc.net.au : "Ransomware attack still looms in Australia as Government warns WannaCry threat not over"
- bbc.com : "Cyber-attack 'unprecedented' in scale"
- motherboard.vice.com : "NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP"