A múlthét vége felé reppent fel elsőnek a hír, miszerint egy speciális vírus terjed a számítástechnikai eszközökön. A szaknyelv zsarolóvírusnak hívja, a rosszindulatú programkód felépítése miatt az összes Windows operációs rendszerű számítógép felhasználó joggal félhet. A fenyegetettség nem csak az átlagfelhasználókat érinti, a hackerek megfertőztek már több vállalati rendszert, kórházakat.
Kötelességünknek érezzük, mint informatikával foglalkozó cég, hogy mi is beszéljünk a témáról, ezért ebben a cikkben összegyűjtöttük az eddig történteket, tanácsokat és tippeket adunk arra, hogy hogyan is védekezhetünk az ilyen támadások ellen.
A jelenség maga múlthéten kezdődött, amikor egy egyelőre ismeretlen hackerekből álló csapat rosszindulatú programkódokat küldött szét a hálón. Oroszországban indították a támadást, de mostanra már az egész világot fenyegeti a WannaCry nevű vírus.
Zsarolóvírus
Ez a fajta kártevő az eszközre kerülve blokkolja a felhasználó gépét, titkosítja az azon tárolt összes fájlt és csak akkor juthatunk újra az adatainkhoz, ha egy bizonyos – általában elég magas – összeget átutalunk, amit természetesen a hacker csapat zsebel be.
A kód
A WanaCypt0r vagy WCry neveken is ismert fertőzés 300 vagy 600 dollárt követel a blokkolt gép vagy hálózat tulajdonosától, ezt lenyomozhatatlan virtuális formában, úgynevezett Bitcoin valutában kell megfizetnünk. Amennyiben nem fizetünk időben, az összeg egyre növekszik, később végérvényesen tönkreteszi a gépünket.
Rendkívül gyors és szokatlanul kiterjedt fertőzéshullám jellemzi világszerte. Példátlanul kegyetlen. Tönkretette a legnagyobb Spanyol telekommunikációs vállalat rendszerét, érintettek között van a FedEx, több autógyár, de van angliai kórház is a listán, kénytelenek voltak műtéteket is elnapolni miatta. Hazánkba már pénteken bejutott, az első áldozat a Telenor volt.
Általában emailben érkezik, azonban a Server Message Block (SMB – Windows alapú fájlmegosztás) hibájának kihasználásával szabadon terjed a rendszerek között, saját magát terjeszti egy úgynevezett ransome vírussal együtt, ami láncfertőzést okoz az egymással összeköttetésben lévő számítógépes rendszerekben.
Előzmények
Néhány hete egy Shadow Brokers nevű csoport kiszivárogtatott néhány olyan programot, amit az amerikai titkosszolgálat (NSA) etikus hackerei is használnak. Ezt lopták el és használták fel a WannaCry elindításához. Ez a program alkalmas arra, hogy a Windows védetlen rendszerén keresztül bejusson a gépekbe és telepítse a trójai programot, ami a falóhoz hasonlóan megbújik a háttérben, majd egy adott pillanatban aktiválja magát, letiltja a gépünket és átveszi az irányítást felette. Ugyan ezt a problémát az EternalBlue nevezetű hibát kijavították, ám a jelek szerint nagyon sokan nem frissítették a gépük rendszerét, hiába a Microsoft március 14.-e óta kiadta a javítást rá.
Ezt kihasználva támadták meg a gépeket a hackerek.
Az elmúlt hét végén a legnagyobb vírusírtó szoftverekkel fejlesztő cég felmérései szerint, az Avast 36.000 érintett gépről, nem sokkal később a Kaspersky Lab munkatársai már 74 ország 45.000 munkaállomásáról beszélt, vasárnap estére már 150 ország volt érintett.
A rettegett hétfő reggel
A MalwareTech biztonsági szakértő cég adatai szerint folyamatosan jöttek a riasztások a vírustérképre. Mivel a program saját magát terjeszti és a háttérben, akár hetekkel ezelőtt, az EternalBlue nevezetű hiba után nem sokkal megtámadhatott rengeteg gépet. Az Europol (európai rendőrségi együttműködési szervezet) igazgatója szerint mivel a hétvégén a legtöbb gép kikapcsolva volt, vagy csak a munkahelyre beérve csatlakozik fel a hálózatra, ekkor aktiválódhat a program, tehát még rengeteg megfertőzött gépre számíthatunk a globális futótűzként terjedő támadás miatt.
A WannaCry megfékezése
Egyelőre csak lassítani tudják a terjedést, megfékezni nem. A MalwareTech egyik kiberbiztonsági szakemberének 3028Ft-ból majdnem sikerült megállítania a terjedést, de sajnos még messze állnak a teljes megoldástól. A kártevő kódját vizsgálva találtak egy átlagosnál sokkal bonyolultabb domain nevet (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com), amit első blikkre nem talált fontosnak, de mivel megtetszett neki a bonyolult név, úgy gondolta 10,7$-ért lefoglalja.
Másodperceken belül ezrével érkeztek a kérések a frissen regisztrált webcímre, amit még nem is ismerhetett senki, némi elemzés után rájöttek, hogy véletlenül megtalálták a zsarolóvírus egyik variánsának leállító kódját. Ezt a kódot a hackerek szándékosan építették be, hogy ha úgy akarják, meg tudják állítani. Sajnos ez a kód a már megfertőzött gépeken nem tud segíteni, de a terjedést is csak ideiglenesen lassította meg, hiszen a programrészlet átírása után a vírus tovább terjeszthető lesz.
Mit tegyünk ellene?
Szakértők szerint a támadóknak semmi okuk nincs megállítani a terjedést, sőt, több mint valószínű, hogy nagyobb szándék áll a támadássorozat mögött.
A legelső amit tehetünk, hogy azonnal frissítjük a Windows-t.
– Windows 10 alatt: a keresőbe írjuk be a Gépház (Settings) szót, és keressük meg a Frissítés és biztonság (Updates and security) ikont. Erre kattintva elindul a frissítések keresése, majd a rendszer által ajánlott módon minden frissítést töltsünk le és telepítsünk.
– Windows 8.1 és Window 7-et futtató felhasználók a Vezérlőpultot (Control Panel) indítsák el, ezen belül szintén a Frissítés és biztonság szekciót kell választani, az előző mintát követve.
– Windows XP, 8, 2003: nagyon sokan futtatnak a Microsoft által már nem támogatott verziókat, ezekre a rendszerekre már nem érkeznek firssítések, de a Windows a program példátlan terjedése miatt kiadott egy speciális csomagot, amit ezen a webhelyen lehet letölteni az elavult operációs rendszerekhez is.
Fontos, hogy a hatalmas leterheltség miatt lehetnek elakadások, a túl hosszú letöltési idő miatt leáll a letöltés, lassan töltődnek be az oldalak, próbálkozzunk folyamatosan!!!
Érdemes az adatainkról valamilyen külső, fizikai tárolón biztonsági mentést készíteni, akár felhőalapú tárhelyre is, mint pl. a Microsoft One Drive vagy a Google Drive, amit a legtöbben ismerünk és használunk.
Mi a teendő a továbbiakban?
A legfontosabb, hogy sose nyissunk meg olyan levelet, csatolmányt, aminek nem vagyunk biztosak a forrásában, gyanúsak. Rengeteg vírusírtó szoftver áll rendelkezésre, mi a Kaspersky Lab termékeit használjuk és forgalmazzuk. Éves díjakat kell megfizetni, csak hogy példát mondjak, az alap csomag, 1 éves teljeskörű Internet Security licensz már 10.000 Ft-ért. Egészen elenyésző összeg az összes személyes adatunk védelme érdekében, a zsarolóvírus által követelt 600$-hoz képest főleg.
A szoftverekről, funkciókról az etikus hackelésben (korábbi cikkünk erről itt olvasható, további tippek az online biztonsághoz pedig ezen a linken) is jártas szekembereinktől kaphat bármikor pontos felvilágosítást, segítünk kiválasztani, az igényeknek megfelelő védelmi-szoftvert amit telepítünk is.
Ugyan a számítógép magától jelzi, hogy frissíteni kellene a rendszert, ezt a legtöbben elhanyagoljuk, esetleg ki is kapcsoljuk az értesítéseket, pont ez okozza a vírus gyors terjedését, a hackerek megtalálták azt a rést, amin szinte mindenki sebezhető, ha más nem, közvetetten.
Összefoglalva:
– szerezzünk be egy vírusírtó szoftvert, az ingyenes próbalicenszek jók, de nem védenek meg mindentől, és csupán egy hónapig nyújtanak limitált védelmet
– mindig frissítsük a rendszert
– mindig telepítsük a letöltendő javítócsomagokat
– tartsuk a Windows Tűzfalat bekapcsolt állapotban
– sose nyissunk meg bizonytalan forrásból származó emailt, ne használjunk ismeretlen pendrive-ot, CD-t stb., egy vírusírtó programmal ezek az eszközök is ellenőrizhetőek
– készítsünk rendszeresen biztonsági mentéseket
– figyelmeztessük ismerőseinket a veszélyekről
– ha megtörtént a baj, azonnal keressen fel minket
Fontos ezt a globális problémát nagyon komolyan kell venni kivétel nélkül mindenkinek, mert a vírus pont ezt a biztonsági rést és felkészületlenséget használja ki a terjedésre.
Forrás, képek: pcworld.hu, MalwareTech
– Kovács Zsolt –