Zsarolóvírus

Czibere Zoltán

Czibere Zoltán

BLOG szakértője
Számítógép és laptop professzionista

Reméljük hasznosnak találod a cikkeket. Ha valamilyen kérdése merülne fel az adott témával kapcsolatban, úgy bátran keresd fel ügyfél-szolgálatunkat.

Zsarolóvírus elleni védelem

Egy interneten szörfölőre leginkább kockázatos a ransomware zsarolóvírusok fajtái (trójai). Pontoson mi is ez? Eme szoftver arra szakosodott, hogy szó szerint megzsarolja áldozatát. Ezt pedig úgy teszi, hogy észrevétlenül oson számítógépünkre és titoksítja a nagyon fontos adatainkat a merevlemezen és ssd-n, melyekhez lehetséges, hogy soha többé nem férünk hozzá. A ransomware a titkosításhoz feloldásához szükséges jelszót csak a váltságdíj megfizetését követően kaphatjuk vissza.
NAGYON FONTOS, hogy erre semmiféle garancia nincs, ha a válságdíjat megfizetjük ezt követően nem biztos, hogy visszakapjuk adatainkat.

Az újabb vírus mutások már kódolás előtt le is mentik az adatainkat és azzal fenyegetnek, ha nem müködünk együtt akkor nyilvánoságra hozzák adatainkat. Ez mind magánszemélynek okozhatnak kellemetlen perceket, cégek esetében még az üzleti titokra is fény derülhet.

Ezért tehát érdemes kellően felkészülni az esetleges támadások kivédésére. Lássuk hogyan….

Fontos tennivalók

Még mielőtt kipróbálnánk egy speciális megoldást, ami elvileg a ransomware támadások ellen lett kifejlesztve, gondoljuk át az alapvető biztonsági követelményeket. Gondolunk itt többek között arra, hogy operációs rendszerünk naprakész e a frissítések terén. 2020 év végi adatok szerint világszerte még 15% volt a Windows 7-es rendszer használók száma. Ez azért is fontos mivel a Microsoft már éve eleje óta nem ad ki biztonsági frissítéseket. Itt kivételt képeznek azok a vállalati ügyfelek aki fizetnek a további aktualizálásért.

Otthoni usereknek viszont erősen ajánlott a Windows 8.1-et, de legjobb, ha Windows 10-es rendszert használnak. Utóbbi esetében arról is meg kell győződni, hogy mely verziót használja gépünk. Mivel a az említett nagyvállalat már a 10-es rendszerben, a kiadástól számított 18 hónapig támogatja az aktuális verziót. Így tehát a például 1903-as verzió már nem támogatott.

winver

Az aktuális Winodws verziót a [WIN+R] billentyűkombinációval és a “winver” paranccsal nézhetjük meg.

Mai nap (2021.01.30.) az aktuális verzió 20H2, ha gépünkön is ez a verzió található akkor biztosak lehetünk benne, hogy minden rendben a frissítéssel.

Ha frissítéssel gondja akadt kérjük vegye igénybe szolgáltatásunkat.

Az aktualizálás normál esetben semmiféle beavatkozást nem igényel ezek automatikusan települnek fel ahogy a gyártó rendelkezésünkre bocsájtja. Rendszerünkben pedig beépített Defender védelem gondoskodik a fájljaink védelméről.

A ransomware zsarolóvírus csak egy a több száz vírus közül. Bárhonnan is érkezzen a támadás nem elég védekezni, biztosítani is kell azt. Ezért fontos tehát, hogy használjunk valamilyen vírusvédelmi rendszert, melyhez nem árt ha kapunk tűzfal védelmet is. Erre az egyik legjobb és ingyenes megoldás lehet a Windows Defender integrált antivírus program, feltéve, hogy rendelkezünk a Windows rendszer 1709-es verziójával.

A kapcsolódó beállítást a “Windows biztonság”-nál tehetjük meg. Kattintsunk a “Vírusok és veszélyforrások elleni védelemre”-re, majd görgessünk lejjebb a “Zsarolóprogram elleni védelem kezelése” részhez.

zsarolovirus_bekapcsolas

Itt engedélyezhetjük “Mappákhoz való hozzáférés szabályozása” opciót. Okézzuk le a beállítást. Ezt követően három új lehetőség jelenik meg.

mappahoz valo szabalyozas

Védelmi beállítás többszintű folyamat. Elsőként készíthetünk egy listát, mely alkalmazások férjnek hozzá mappáinkhoz egy másik listára pedig felvehetjük azokat az alkalmazásokat amelyek részére engedélyezzük a blokkolt mappához való hozzáférést. Alap esetben a Dokumentumok, Képek, Videók, Zenék és a Kedvenc mappa védett, persze természetesen arra is van lehetőség, hogy bármilyen mappát hozzáadjuk a listához.

Ezzel a beállítással megakadályozhatjuk, hogy a zsarolóvírus felül írja fájljainkat.

Megjegyzendő, hogy a zsarolóvírus elleni védelem nem a Defender sajátossága, találkozhatunk e fajta védelemmel egyéb antivírus szoftverben. De ez a fajta megoldás mégis kissé különleges mivel OneDrive felhőszolgáltatással együtt még egy plusz védelmet ad, mivel ha a vírus titkosítja adatainkat akkor még felhőben elérhetőek maradnak.

Korunk biztonsági kihívásai

Az, hogy 2017-ben a zsarolóprogramokkal sok bajunk lesz, sajnálatosan biztos jóslat volt, még ha ekkora „sikerre” nem is feltétlen számítottak a szakemberek. A májusi WannaCry fertőzés kicsit a régi időket idézte fel, mikor még egy Nimda, Sircam, CodeRed vagy SQL Slammer igen rövid idő alatt letarolta a számítógépeket szerte a világon.

Mivel a ransomware egyre jobb üzlet a bűnözőknek, így a támadások száma évről évre növekszik: tavaly 350%-kal emelkedett. Sajnos a Tárgyak internetével kapcsolatos figyelmeztetés is indokolt volt. Az IoT eszközök amúgy is sok fejfájást okoztak tavaly – Németországban például kémkedésre alkalmas okosórákat tiltottak be –, de csak idő kérdése volt, hogy a zsarolóprogramok is eltaláljanak erre a piacra.

Augusztusig kellett várnunk, amikorra el is készült az első okostermosztátokra kihegyezett zsarolóvírus. Játékok, játékplatformok elleni támadásra szintén láthattunk tavaly jó néhány példát, sőt sok olyan trójai is akadt, amely kellemetlen pillanatokat okozott a felhasználóknak. Igaz, a klasszikus ransomwares PokemonGo támadás, ami 2016-ban történt, nem ismétlődött meg.

Az androidos játékosokra azonban tavaly is számos trójai leselkedett, amelyek a hasonmás programokban bújtak meg, és az esetek többségében banki kártevőt terjesztettek. Természetesen zsarolóprogramok is előfordultak ezen a területen, például a Doublelocker, amit az ESET kutatói fedeztek fel.

A klasszikus módszerrel dolgozó, azaz az elkódolt adatokért pénzt követelő vírus kellemetlen újdonsága volt, hogy a készüléken tárolt adatok titkosításán felül képes volt megváltoztatni a PIN-kódot is.

Újabb földrész, újabb zsarolás

Az eddigiekhez képest csak apróbb fennakadást okozott, amikor egy új-zélandi középiskolára csapott le egy zsarolóprogram július végén, ahol a titkosított fájlok feloldásáért 5000 amerikai dollárnak megfelelő összeget követeltek az elkövetők. A középiskola vezetése szerint személyzeti és a diákok személyes adatait érintő információk nem kerültek veszélybe az incidens során, azonban a tanulók helyben tárolt munkái jó eséllyel elvesztek.

Talán aprócska szerencse a szerencsétlenségben, hogy a támadás idején éppen a helyben tárolt adatok felhőtárhelyre való költöztetését végezték, ami ugyan az esetleges kiszivárgások szempontjából semmit nem számít, ám az adatok helyreállításában nagyon is kapóra jött. Az iskola hivatalos internetszolgáltatója, az N4L azonban csak 2019 októberére ígérte azokat az új technikai fejlesztéseket, amelyekkel a jövőben vélhetően hatékonyabban tudnak majd védekezni a hasonló támadások ellen.

Támadás után

Honnan ismerhetem fel, hogy a valamelyik megtámadta a rendszerem? Nos hamar rájöhetünk, mivel adatállományokat a vírus átnevezte és lezárta. Amelyet egy titkosító kulccsal, amely nagyon erős algoritmust használ egy 2048 bites kulccsal. Ez a brutális kulcs szinte leheletné teszi a fileok dekódolását. Ebben a kategóriában a legnépszerűbb a GANDCRAB zsarolóvírus.

zsarolóvírusok

Nagyon fontos megjegyezni, hogy a vírus a számunkra fontos államokat titkosít. Például: .jpg,.mp3.avi.xls.doc. tehát minden olyan adatok ami számunkra nagyon fontos lehet.

Fizessek a csalóknak? Voltaképpen a lényeg a következő, program alkotói fizetséget kérnek, hogy visszaállítsák az adatokat. Erre persze semmiféle garancia nincs részükről, így tehát arra kérjük, hogy NE FIZESSEN. Hiszen biztosra vehetjük, hogy nem fognak segíteni.

ÁLDOZATUL ESETT? Hívja szervizünket!

+36 70 605 62 70

Operációs rendszerünkön a következő képre lehetünk figyelmesek. Amennyiben az itt felsorolt üzenetet követjük akkor biztosak lehetünk benne, hogy a váltságdíj megfizetése után, ami 300 – 600 € is lehet nem fogjuk visszakapni adatainkat.

váltságdíj

Bejutást követően még a következőre lehetünk figyelmesek. Fájaink átneveződtek és nem lehet megnyitni őket a szokásos módon.

Például: kedvenckepem.jpg helyett kedvenckepem.jpg.ekydrbaxtz

Valamint kapunk még egy szöveges (például EKYDRBAXTZ-MANUAL.txt) állományt minden egyes almappához ami a következő szöveges üzenet lehet:

—= GANDCRAB V5.2 =—

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .EKYDRBAXTZ

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

—————————————————————————————-

| 0. Download Tor browser – https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/e3cb6c45e0ec98b9
| 4. Follow the instructions on this page

—————————————————————————————-

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

—BEGIN GANDCRAB KEY—
“Itt látható betű és számkombinációt álló titkosított megoldó kulcs”
—END GANDCRAB KEY—

—BEGIN PC DATA—
“Itt látható betű és számkombinációt álló titkosított megoldó kulcs”
—END PC DATA—

Nagyon fontos ezt fájlt nem szabad törölni!

Mivel ebben a fájlban található titkosító kulcsa mely segítségével lehetséges visszaállítani az átkódolt állomány. Tehát ez nem a vírus így ezt az fájlt csak a sikeres visszaállítás után szabad csak törölni. A bejutott vírust viszont szükséges törölni, hogy további kárt ne tudjon okozni és többek között ne terjedne tovább. Hogy milyen vírus védelmet használjuk azt a már korábban írt cikkünkben olvashat.

Visszaállítás árak

Abban az esetben, ha Ön is áldozattá vált és nem tudja visszaállítani a kódolt fájlokat, úgy szervizünk segít Önnek! Mennyiben kerül? Visszaállítás költsége változó az adatmennyiségtől függően. Árat merevlemez méretéhez képest alakítottuk ki melyet a következő táblázatban soroltuk fel.

  Javítási időÁR
0 GB-tól 500 GB-ig
2 – 3 munkanap40.000 Ft
500 GB-tól 1 TB-ig2 – 3 munkanap50.000 Ft
1 TB-tól – 3 TB-ig2 – 3 munkanap70.000 Ft
3 TB felett2 – 3 munkanapEgyedi ár

Szervizünk címe

Szervizünk Budapest mellet Szigetszentmiklóson található. Letitkosított adathordozókat le tudja adni személyesen nyitvatartási időben.

Hogyha nem tud személyesen eljönni szervizünkben, akkor abban esetben természetes lehetőség van valamilyen csomagküldő szolgálattal elküldeni részünkre adathordozót.

Postázási címünk a következő:

PCmentés.hu
Cím: 2310 Szigetszentmiklós, Napfény utca 9 (ABC mellett)

+36 70 605 62 70

Czibere Zoltán

Czibere Zoltán

Oszd meg véleményed