Zsarolóvírusokról

In this May 12, 2017 photo, a display panel with an error can be seen at the main railway station in Chemnitz, Germany. Germany’s national railway says that it was among the organizations affected by the global cyberattack but there was no impact on train services. Deutsche Bahn said early Saturday that departure and arrival display screens at its stations were hit Friday night by the attack. (P. Goezelt/dpa via AP)

A Nemzeti Közszolgálati Egyetem Kiberbiztonsági Akadémiájának programfelelőse szerint egy kutatás kimutatta, közel 250 ezer magyar internetező találkozott már zsarolóvírussal.

A zsarolóvírus működéséről elmondta, egy e-mailben, csatolmányként is érkezhet a vírus, amely a fertőzés után titkosítja a jellemzően értékes információkat tartalmazó file-okat, a visszaállításhoz szükséges kódot pedig csak fizetés után adja meg a rendszer.

Május elején is zsarolóvírus vírus okozott nagyszabású támadássorozatot, amely érintette Nagy-Britannia egészségügyi rendszerét, és a német vasút rendszerét is, de a Renault egyik gyárában is le kellett állítani a termelést. Magyarországot is elérte a gyorsan terjedő vírus, a Telenor volt érintett az ügyben.

Angliában a kórházak és egészségügyi intézmények egy részében át kellett alakítani a programot, meg kellett szakítani a normál munkavégzést, például műtéteket halasztottak el, leálltak a tesztek, az adatok feldolgozása és elemzése – ahol szükséges volt, a halaszthatatlan feladatokat manuálisan, például papír és toll segítségével végezték el.

A kártevő villámgyors és hihetetlenül hatékony terjedésének egyik legfontosabb oka az, hogy egy olyan sebezhetőséget észleltek, ami minden Windows verzióban ugyanúgy megvan az XP-től egészen a Windows 10-ig. Gyakorlatilag “nyitva hagyta” a rendszert egy bizonyos módon végrehajtott betörés előtt, és a redmondi vállalat verzióról verzióra, Vistában, Windows 8-ban, és aztán a jelenlegi legújabb kiadásban is hurcolta, másolta tovább ezt a biztonsági rést.

A másik fontos ok azonban már maga a felhasználó. A Microsoft ugyanis, ahogy megérkezett a jelentés a hibáról, kiadta a frissítést, amely a jól beállított Windows-gépekre automatikusan megérkezik ugyan, de sokan direkt halogatják a patchek letöltését, vagy kifejezetten úgy állítják be a rendszerüket, hogy az “ne zavarja őket” a hetente érkező, bosszantónak vélt letöltésekkel. Na, ez a legnagyobb hiba. Ugyanis így, május közepén még mindig akadt sok százezer (vagy akár millió) olyan Windows alapú PC, amire nem került fel a két hónappal korábban, március 14-én kiadott javítás.
Pont rájuk “játszottak” a mostani zsarolóvírus írói. Az NSA által megtalált hibát becélozva elindították az interneten a kártevőt, ami a rendszer legfontosabb elemeit blokkolja, ezáltal nem tudunk normálisan dolgozni a számítógépünkön. A vírus azonban jelzi, hogy bizonyos összeg befizetésével feloldhatjuk a korlátozást – ez egyes verziókban 300 dollár, vagy akár a hackerek körében népszerű virtuális pénzben megadva 600 bitcoin.
A vírus brutális sebességgel söpört végig gyakorlatilag az egész bolygón. Antarktiszt kivéve nincs olyan kontinens, ahová ne jutott volna el, és a jelentések szerint Magyarországon is egyre több gép fertőződik meg.

Azt pedig a mostani események alapján is az egyik legfontosabb tapasztalat: igen, a hetente érkező frissítések lehetnek idegesítőek, néha valóban rosszkor jelez a rendszer, hogy itt a patch, engedélyezzük a letöltést és újraindítást, és ezért sokan halogatják, vagy akár különféle trükkökkel ki is kapcsolják az automatikus javítócsomagokat, de ez a lehető legnagyobb hiba. A frissítés pár perc hetente, de megéri.

A WannaCry terjedése a jelek szerint azért nemsokára globális szinten megfékezhető lesz, ugyanis egy 22 éves biztonsági szakember mindössze 3000 forintos befektetéssel, nagyjából véletlenül rájött egy olyan megoldásra, amivel erősen visszaszorította a vírus szaporodását. A MalwareTech fiatal munkatársa ugyanis a WannaCry kódjának vizsgálata közben talált egy elsőre (és másodikra is) teljesen értelmetlen webcímet, egészen pontosan az iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domaint, amit kicsit több mint 10 dollárért lefoglalt magának, csak úgy. Ezek után kiderült, hogy ez az addig fiktív cím nem más, mint a hackerek által generált egyik “leállítógomb” a WannaCry-hoz. A vírust ugyanis valamiért úgy írták meg, hogy első indulásakor keresse meg ezt a weboldalt, és ha nem talál rajta semmit, terjessze tovább magát. Ha azonban pozitív választ kap, leáll: márpedig, mióta az oldal elindult, a vírus úgy értelmezi a dolgot, hogy megkapta a megállj parancsot.
Viszont ez még nem jelenti azt, hogy fellélegezhetünk. A mostani eset is bizonyítja, hogy komoly rések lehetnek a rendszereinkben, amit akár egyetlen, kicsit későbbre halasztott frissítés is kikezdhet. A legújabb elemzések szerint már 200 ezerhez közelít a megfertőződött gépek száma világszerte.

A legfontosabb teendők:
– a rendszer automatikus frissítését mindig engedélyezni
– az automatikusan letöltődő javítócsomagok telepítését nem halogatni
– manuális víruskeresést is célszerű futtatni
– időnként célszerű biztonsági mentést végezni

Forrás: It Cafe, PC World