Zsarolóvírus (Ransomware)

A zsarolóvírus (ransomware) olyan kártékony szoftver, amely titkosítja a számítógépen és a mobil eszközökön található fájlokat, majd váltságdíjat követel azok feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után akár végérvényesen elérhetetlenné teszik az adatokat.

Jellemzően fertőzött e-mailekkel terjed, csatolt tömörített állományokban található. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet. Amennyiben ez megtörténik, a program telepíti magát és további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. Az esetleges váltságdíj kifizetése nem javasolt, mivel semmilyen garancia sincs arra, hogy kapunk kódot a visszaállításra, és hogy az működőképes is lesz.

Az operációs rendszer, illetve az alkalmazások (Adobe Flash, Java) hibajavításainak rendszeres telepítésén túl mindenképp javasolt valamilyen vírusvédelmi megoldás használata, illetve naprakészen tartása (termékverzió, felismerési adatállományok). Adatainkról egy elkülönített, és fizikailag is leválasztható meghajtóra rendszeresen mentéseket kell készíteni. Fontos a biztonságtudatos internet használat: ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg ha ez egy tömörített állomány! A zsarolóvírusok gyakran .exe, vagy .pdf kiterjesztésű mellékletben érkeznek. Egy esetleges fertőződés esetén a fertőzött gépet azonnal le kell választani a hálózatról.

Hordozható adattárolót (pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést tovább lehet vinni egy másik számítógépre. A meghajtó teljes formázása javasolt, ezzel biztosan eltűnik a vírus minden nyoma. Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után lehet az adatokat az archív mentésekből helyreállítani.

A ransomware-ek számos variánsát sikerült már feltörni (vagy a szoftver készítői maguk publikálták a visszafejtéshez szükséges mester kulcsot, pl. a TeslaCrypt esetében), így célszerű lehet a titkosított állományok megőrzése.

Ebben nyújthat hatékony segítséget a CryptoSearch  nevű, Michael Gillespie biztonsági kutató által a Windows platformra készített ingyenes program, amely egy folyamatosan frissülő online adatbázist használva (ID Ransomware) jelenleg kb. 240 variáns felismerésével képes automatikusan detektálni a titkosított fájlokat és róluk egy, a felhasználó által választott meghajtóra - az eredeti könyvtárszerkezet megtartásával - mentést készíteni.

A zsarolóvírusokról az alábbi hivatkozásokon további információt találhat: 

http://www.eset.hu/zsarolovirusok
https://support.symantec.com/en_US/article.HOWTO124710.html
http://www.pandasecurity.com/mediacenter/malware/what-is-ransomware
http://www.mcafee.com/us/security-awareness/articles/ransomware.aspx
https://biztonsagportal.hu/a-linux-sem-jelent-akadalyt-a-brutalis-killdisk-virusnak.html
http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt/