Zsarolóprogram (ransomware) – mi az, hogyan működik és története

A ransomware a rosszindulatú szoftverek egy típusa. Korlátozza a hozzáférést az általa megfertőzött számítógépes rendszerhez vagy az általa tárolt adatokhoz (gyakran titkosítási technikák alkalmazásával), és váltságdíjat követel a kártevő program készítőjének (készítőinek). Ennek célja a korlátozás megszüntetése. A zsarolóprogramok egyes formái a rendszer merevlemezén lévő fájlokat titkosítják. Mások egyszerűen zárolják a rendszert, és olyan üzeneteket jelenítenek meg, amelyek célja, hogy a felhasználót fizetésre bírják.

A zsarolóprogramok először Oroszországban váltak népszerűvé. Mostanra a zsarolóvírusos csalások használata nemzetközileg is elterjedt. 2013 júniusában a McAfee közölte, hogy 2013 első három hónapjában több mint 250 000 egyedi mintát gyűjtött be a zsarolóprogramokból. Ez több mint kétszerese az előző évi számnak. A 2013 végén felbukkanó CryptoLocker zsarolóféreg becslések szerint 3 millió USD-t gyűjtött össze, mielőtt a hatóságok lekapcsolták.

2017 májusában egy WannaCry nevű zsarolóprogram terjedt el világszerte. Négy napig tartott, és 150 országban több mint 200 000 számítógépet érintett. Mindössze körülbelül 130 000 dollár (USD) váltságdíjat fizettek ki, de a támadás számos nagyvállalatot és szervezetet érintett. Az Egyesült Királyság Nemzeti Egészségügyi Szolgálatát (NHS) súlyosan érintette a WannaCry. A kórházak nem tudtak hozzáférni a fájljaikhoz, ezért sok műtétet töröltek, és betegeket kellett elküldeni. Az NHS különösen veszélyeztetett volt, mivel a Windows operációs rendszer Windows XP nevű változatát használta, amelyet a Microsoft már nem támogatott. Ez azt jelentette, hogy a Microsoft nem küldött biztonsági frissítéseket a Windows ezen verziójához, így a WannaCry-vírus számára nyitva állt. Más rendszerek is érintettek voltak, annak ellenére, hogy a Windows újabb verzióit futtatták, mivel a felhasználók még nem telepítették a legújabb biztonsági frissítéseket. Bár a WannaCry vírust nem arra tervezték, hogy ténylegesen kárt tegyen a számítógépekben vagy azok fájljaiban, mégis rengeteg időt és pénzt vesztegetett el, és megmutatta, hogy a világ még mindig mennyire sebezhető a zsarolóvírus-támadásokkal szemben.

Milyen típusai vannak a zsarolóprogramoknak?

Alapvetően két gyakori típus létezik:

• Fájl-titkosítók (crypto-ransomware): a lemezen található fájlokat titkosítják, és az eredeti visszaállításához a támadók kulcsát követelik.
• Locker-ek: a rendszert vagy annak felületét zárolják, megakadályozva, hogy a felhasználó elérje a gépet; ilyenkor a szolgáltatás visszaállítása gyakran egyszerűbb, mint a fájlok visszafejtése.

Az utóbbi években megjelentek vegyes és kifinomult módszerek is, például double extortion — a fájlok titkosítása mellett azok korábban történő kiszivárogtatásával is zsarolnak.

Hogyan működnek technikailag?

A modern zsarolóprogramok általában hibrid titkosítást használnak: a fájlokat gyors szimmetrikus algoritmussal (pl. AES) titkosítják, majd a szimmetrikus kulcsot az ellenség publikus kulcsával (pl. RSA) titkosítják. Így a visszafejtéshez a támadóknál lévő privát kulcs szükséges. A zsarolóprogramok jellemzően a következő lépéseket követik:

• Bejutás (pl. e-mail melléklet, phishing, rosszindulatú link, exploit kit, nyitott RDP szolgáltatás).
• Oldalsó mozgás a hálózaton — más gépek és megosztott meghajtók elérése.
• Fájlok titkosítása és váltságdíj-üzenet elhelyezése.
• Külső kommunikáció a támadó szerverrel (kulcscsere, kérések), gyakran titkosított csatornán keresztül.

Hogyan terjednek?

• Fájlcsatolásokkal vagy rosszindulatú linkekkel érkező e-mailek (malspam, phishing).
• Kizsákmányolt biztonsági rések (például az EternalBlue, amelyet a WannaCry használt).
• Gyenge vagy kifejezetten támadható RDP (távoli asztali) szolgáltatások és jelszavak.
• Kártevőket terjesztő további rosszindulatú szoftverek és fertőzött letöltések.

Miért és hogyan fizetnek a célpontok?

A váltságdíjat általában kriptovalutában (például Bitcoin) kérik, mert az anonimnak tűnő tranzakciók megkönnyítik a pénz áramoltatását. A fizetésnek azonban nincs garanciája: a támadók nem feltétlenül küldik vissza a visszafejtéshez szükséges kulcsot, és a fizetés tovább ösztönzi a támadási iparágat. Emiatt a legtöbb bűnüldöző szervezet és biztonsági szakértő nem javasolja a fizetést.

Történeti mérföldkövek és trendek

• Korai példa: a 1989-es “AIDS” trojan, amely már váltságdíjat próbált szerezni floppy-lemezen terjedve.
• 2013: a CryptoLocker nagy médiafigyelmet kapott és jelentős pénzeket szedett be.
• 2017: a WannaCry (EternalBlue sebezhetőséget kihasználva) világszerte nagy károkat okozott; az eset rávilágított a patchek és támogatott operációs rendszerek fontosságára.
• 2017 után: a NotPetya jellegű támadások, amelyek egyes esetben nem is valódi zsarolásra, hanem pusztításra irányultak (wiper).
• Napjainkban: növekvő üzleti célzás (kórházak, önkormányzatok, nagyvállalatok), Ransomware-as-a-Service és “double extortion” módszerek jellemzik a fenyegetést.

Megelőzés — mit tehetnek a felhasználók és szervezetek?

• Rendszeres, több példányban és offline tárolt biztonsági mentések: a leghatékonyabb védelem a fájlok visszaállítására.
• Gyors és rendszeres szoftverfrissítések, biztonsági patchek alkalmazása (különösen a távoli elérésű szolgáltatásoknál).
• MFA (többtényezős hitelesítés) használata különösen RDP-hez és távoli hozzáférésekhez.
• Felhasználói oktatás: adathalász e-mailek felismerése, gyanús mellékletek és linkek elkerülése.
• Végpontvédelem, EDR (endpoint detection and response) és hálózati elkülönítés/segmentálás alkalmazása.
• SMBv1 és más elavult protokollok letiltása (a WannaCry példája alapján kiemelten fontos).
• Hozzáférések korlátozása: jogkörök minimalizálása (principle of least privilege).

Fertőzés esetén teendők

• Azonnal izolálja a fertőzött gépet: húzza le a hálózatról, kapcsolja ki a Wi‑Fi/távoli kapcsolatokat.
• Ne indítsa újra szükségtelenül a gépet; jegyezze fel a váltságdíj-üzeneteket és a kiterjesztéseket.
• Értesítse a szervezet informatikai csapatát vagy szakértőt, illetve a helyi hatóságokat / bűnüldözést.
• Ha vannak friss, megbízható mentések, azokat felhasználva lehet visszaállítani az adatokat; a visszaállítás előtt győződjön meg róla, hogy a fertőzés forrását megszüntették.
• Ne fizessen gyorsan váltságdíjat: előtte konzultáljon szakértővel és jogi képviselővel — a fizetés nem garantál sikeres visszafejtést és bátorítja a támadókat.
• Ellenőrizze a NoMoreRansom és hasonló forrásokat: néha léteznek ingyenes visszafejtő eszközök egyes zsarolóprogramokhoz.

Jog és együttműködés

A zsarolóprogramok elleni küzdelem nem csak technikai kérdés: a bűnüldözés, nemzetközi együttműködés és az áldozatok jogi támogatása is fontos szerepet játszik. Sok országban léteznek iránymutatások arra vonatkozóan, hogyan kell bejelenteni a kibertámadásokat, és bizonyos esetekben kötelező bejelentési kötelezettség is fennállhat.

Összefoglalás

A zsarolóprogramok súlyos és folyamatosan fejlődő fenyegetést jelentenek mind magánszemélyek, mind szervezetek számára. A legjobb védekezés a megelőzés — naprakész rendszerek, jó gyakorlatok, rendszeres, offline mentések és megfelelő működési eljárások bevezetése. Fertőzés esetén fontos a gyors reagálás, a szakértői segítség igénybevétele és a bűnüldöző szervek bevonása.