Zsarolóvírusokról általában

A cikk eredetijét 2017 -ben írtuk, de még ma is aktuális.
Szeretnénk rövid útmutatást nyújtani ahhoz, hogyan kezelhető ez a sokakat érintő probléma.

A zsarolóvírusok célpontjai a fontos fájljaink.

Azokban az időkben, amikor floppy lemezeken szállítottunk adatokat, előfordult, hogy a fájl nem ért át az egyik teremből a másikban lévő gépbe. Beolvasáskor ugyanis kiderült, hogy a lemez olvashatatlanná vált, fizikai sérülés vagy mágneseződés miatt vagy csak egész egyszerűen nem fejezte be a fájlok írását a meghajtó, amikor kivettük az első gépből és megsérült a lemez fájlrendszere. Ezekre az időkre jellemző volt az, hogy :

A fontos fájljaink csak annyira fontosak, amennyi biztonsági mentésünk van róla.
Amiről nincs biztonsági mentésünk, azok nem is fontosak.

Elsőre talán ez a kijelentés durvának tűnhet, de gondoljunk csak bele, ha ma a fájlokat tároló merevlemez vagy ssd vagy pendrive tönkremegy, akkor függetlenül bármilyen vírustól, elveszíthetjük adatainkat. Egy zsaroló vírus a fájlok elvesztésének a kockázatát növeli, de a fájlok elvesztésének problémáját nem a vírus létrejötte hozta létre, az már létezett korábban is, mindössze kisebb eséllyel vagy ritkábban fordult elő.
A kijelentés ezért ma is megállja a helyét.

Mit tudnak elkódolni a zsarolóvírusok?

Fontos tudni, aki számítógépen tárolja az adatait, ha több helyen is tárolja a számára fontos fájlokat – olyan helyen is, amit nem használ naponta, ez utóbbi várhatóan elkerüli ezeket a problémákat. Ezek a vírusok azt kódolják el, amihez hozzáférnek. A hetek óta a fiókban heverő külső merevlemezhez/pendrivehoz nem férnek hozzá. Kis előrelátással ezek a problémák kivédhetőek.
Céges szinten ez a probléma némileg bonyolultabb, ott konkrét terv és megvalósítás szükséges a napi, heti, havi mentések elkészítéséhez és a mentések elkészültének illetve minőségének (visszaállítható-e, ami fontos)  ellenőrzéséhez.

A víruskeresőm nem véd meg?

Az, hogy egyik vagy másik zsarolóvírust sikerült visszafejteni és sikerült némelyiknek az elkódolt fájljait visszaalakítani, nem jelenti azt, hogy a következőt is vissza fogják tudni.
Az, hogy víruskereső van a gépemen nem jelenti azt, hogy innentől kezdve mindentől védve vagyok – az csak annyit jelent, hogy a _már_ismert_ vírusok jó részével szemben van védelmem, semmi többet. A 0 day sebezhetőségeket épp most találták és találják ki. Egyik víruskereső sem gondolkodik helyettünk és nem ismeri fel mi lehet az új támadási forma. Csak a már ismert vírusokkal szemben tud egy víruskereső hatékonyan fellépni. Viselkedés alapján küldhet riasztást, azonban ahogyan a vírusok fájljai, úgy a viselkedésük is változik, ezért erre sokkal nehezebb hatékony szűrést készíteni.

  • A viselkedés alapján történő riasztás esetén is és
  • akkor is, ha nincs riasztás, pusztán valami miatt gyanús a banki oldal vagy a barát e-mailje vagy chat üzenete:

a döntés már rajtunk, a felhasználókon múlik.
Ki mit hisz el és mire kattint.

Mit tehetek?

  • Ha még vélhetően nem történt meg a baj, akkor célszerű felmérni, mennyi adatról van szó, mik ezek. A méret ismeretében lehet tervezni, mikor mentünk és mit. Ezután lehet a megfelelő külső tárolóra beruházni és mentéseket elvégezni.
  • Ha már megtörtént a baj, meglátogathatjuk a https://www.nomoreransom.org/ oldalt, ahol van pár már ismert elkódolóra ellenszer. Szerencsés esetben megtaláljuk a megoldást a váltságdíj kifizetése nélkül is.

Hasznos linkek, érdekességek

A Nemzeti Kibervédelmi Intézet leírása a zsarolóvírusokról.

Wikipédia a zsarolóvírusokról.

Térképes összefoglaló oldal az Amerikai Egyesült Államokban történt zsarolóvírus támadásokról.

Oldal frissítés: 2022. augusztus.