Zsaroló vírusokról általában

Szeretnénk rövid útmutatást nyújtani ahhoz, hogyan kezelhető a napjainkban (2017.  május) felerősödött és sokakat érintő probléma.

 

A zsaroló vírusok célpontjai a fontos fájljaink.

Azokban az időkben, amikor floppy lemezeken szállítottunk adatokat, előfordult, hogy a fájl nem ért át az egyik teremből a másikban lévő gépbe. Beolvasáskor ugyanis kiderült, hogy a lemez olvashatatlanná vált, fizikai sérülés vagy mágneseződés miatt vagy csak egész egyszerűen nem fejezte be a fájlok írását a meghajtó, amikor kivettük az első gépből és megsérült a lemez fájlrendszere. Ezekre az időkre jellemző volt az, hogy :

A fontos fájljaink csak annyira fontosak, amennyi biztonsági mentésünk van róla.
Amiről nincs biztonsági mentésünk, azok nem is fontosak.

Elsőre talán ez a kijelentés durvának tűnhet, de gondoljunk csak bele, ha ma a fájlokat tároló merevlemez vagy ssd vagy pendrive tönkremegy, akkor függetlenül bármilyen vírustól, elveszíthetjük adatainkat. Egy zsaroló vírus a fájlok elvesztésének a kockázatát növeli, de nem maga a vírus létrejötte hozta létre a problémát, az már létezett korábban is, mindössze kisebb eséllyel vagy ritkábban fordult elő.
A kijelentés tehát ma is megállja a helyét.

 

Mit tudnak elkódolni a zsaroló vírusok?

Fontos tudni, aki számítógépen tárolja az adatait, ha több helyen is tárolja a számára fontos fájlokat – olyan helyen is, amit nem használ naponta, ez utóbbi várhatóan elkerüli ezeket a problémákat. Ezek a vírusok azt kódolják el, amihez hozzáférnek. A hetek óta a fiókban heverő külső merevlemezhez/pendrivehoz nem férnek hozzá. Kis előrelátással ezek a problémák kivédhetőek.
Céges szinten ez a probléma némileg bonyolultabb, ott konkrét terv és megvalósítás szükséges a napi, heti, havi mentések elkészítéséhez és a mentések elkészültének illetve minőségének (visszaállítható-e, ami fontos)  ellenőrzéséhez.

 

A víruskeresőm nem véd meg?

Az, hogy egyik vagy másik zsaroló vírust sikerült visszafejteni és sikerült némelyiknek az elkódolt fájljait visszaalakítani, nem jelenti azt, hogy a következőt is vissza fogják tudni.
Az, hogy víruskereső van a gépen nem jelenti azt, hogy innentől kezdve mindentől védve vagyok – az csak annyit jelent, hogy a _már_ismert_ vírusok jó részével szemben van védelmem, semmi többet. A 0 day sebezhetőségeket most találták és találják ki. Egyik víruskereső sem gondolkodik helyettünk és nem ismeri fel mi lehet az új támadási forma. Csak a már ismert vírusokkal szemben tud egy víruskereső hatékonyan fellépni. Viselkedés alapján küldhet riasztást, azonban ahogyan a vírusok fájljai, úgy a viselkedésük is változik, ezért erre sokkal nehezebb hatékony szűrést készíteni. A viselkedés alapján történő riasztás esetén is és akkor is, ha nincs riasztás, pusztán valami miatt gyanús a banki oldal vagy a barát e-mailje vagy chat üzenete:
a döntés már rajtunk, a felhasználón múlik.
Ki mit hisz el és mire kattint.

 

Mit tehetek?

Ha még vélhetően nem történt meg a baj, akkor célszerű felmérni, mennyi adatról van szó, mik ezek. A méret ismeretében lehet tervezni, mikor mentünk és mit, ezután lehet a megfelelő külső tárolóra beruházni és mentéseket elvégezni.
Ha már megtörtént a baj, meglátogathatjuk a https://www.nomoreransom.org/ oldalt, ahol van pár már ismert elkódolóra ellenszer. Szerencsés esetben megtaláljuk a megoldást a váltságdíj kifizetése nélkül is.