Kezeket fel! Támad a Ryuk

Bluebird

2019. február 27.


A Ryuk zsarolóvírus 2018 augusztusa óta szedi áldozatait és a kizsarolt Bitcoinokat. Mostani cikkünkben ezzel a vírussal ismerkedünk meg.

More...

A zsarolóvírusok a kiberbűnözés legsikeresebb fenegyerekei, világszerte szedik áldozataikat. Bár próbálnak védekezni ellenük, használatuk egyelőre még sokak számára nyújt könnyű pénzkereseti lehetőséget. Mostani blogbejegyzésünkben a Ryuk vírussal ismerkedünk meg egy kicsit közelebbről.

Minden típus másképp viselkedik, de összességében elmondható, hogy a zsarolóvírusok vagy ransomware-ek olyan kártékony programok, amelyek egy adott számítógépre jutva titkosítják a fájlokat, és váltságdíjat követelnek azért, hogy a tulajdonos újra hozzájuk férhessen.

Sikeres zsarolóvírus: a Ryuk

A Ryuk zsarolóvírus 2018 augusztusa óta már mintegy 1 milliárd forintnyi Bitcoint zsebelt be. Karácsonyi „kampányuk” volt a legeredményesebb, akkor indították útjára a két legnagyobb Ryuk csomagot. A kiberbiztonsági szakértők szerint a vírust orosz hekkerek fejlesztették ki. Feltételezések szerint a Ryuk Emotet és TrickBot rendszereken keresztül fertőz – a Hermes zsarolóvírushoz hasonlóan –, és az eddigi vírusokhoz képest az teszi igazán sikeressé, hogy nem azonnal támad, hanem előbb elemez.

Spam email és a TrickBot

Az „ostromot” a hekkerek általában azzal kezdik, hogy TrickBot vírussal fertőzik meg a rendszert, amihez egy spam e-mailt használnak. Így biztosítják a hozzáférést a rendszerhez, amit ezután alaposan megvizsgálnak: vagyis kiderítik, hogyan lehetne a lehető legtöbb pénzt kizsarolni a támadással. A vizsgálatnak az is lehet az eredménye, hogy meg sem támadják a rendszert, amennyiben úgy ítélik meg, hogy nem hozna be elég nagy összeget a manőver.

Ha úgy döntenek, hogy támadnak, leggyakrabban e-mailek csatolmányaiban rejtik el a kártevőt (vagy a letöltését elindító programot), avagy fertőzött weboldalakra kattintva indul a meg letöltés. A működésbe lépéshez többnyire valamilyen sebezhetőséget is ki szokott használni a zsarolóvírus.

Az egészben az a legkellemetlenebb, hogy bárki lehet célpont, bármely gépen találhatnak sebezhető felületet. Többnyire azonban cégek és intézmények hálózatait, gépeit szokták megtámadni – valószínűleg a kizsarolható összeg maximalizálása miatt.

Érdemes-e fizetnem?

Nehéz erre egyértelmű választ adni, ugyanis a fizetés nem jelent egyértelmű védelmet – vannak hekkerek, akik visszaállítják az ellopott adatokat, és vannak, akik a pénzzel együtt azokat is megtartják. Sőt, attól függetlenül, hogy bizonyos adatokat visszakapunk, az eszközön maradt kártékony kóddal a gépet be tudják csatolni egy zombihálózatba is, amit aztán (akár zsarolóvírust terjesztő) levélszemét szétküldésére vagy túlterheléses támadásokhoz is felhasználhatnak. Ezért mielőtt fizetnénk, próbáljuk meg az alternatív megoldásokat végigjárni. Ha úgy látjuk, hogy megfertőződött a gépünk, először ellenőrizzük, hogy van-e már visszafejtett változata a minket megtámadott vírusnak. A No More Ransom! nevű projekt a Holland Rendőrség Nemzeti Csúcstechnológiai Bűnözési Egységének, az Europol Európai Kiberbűnözési Központjának (European Cybercrime Centre) és a McAfeenak a közös kezdeményezése. Célja, hogy a zsarolóvírusok áldozatait segítse adataik váltságdíjfizetés nélküli visszanyerésében. Több tanácsot is adnak – többek között – a fertőzés elkerülésére is.

Többnyire segíthet a zsarolóvírus-katasztrófát elkerülni vagy kezelni, ha:

  • Rendszeresen készítünk biztonsági mentést fájljainkról, vagy akár a teljes rendszerről, hogy ha beütne egy fertőzés, egyszerűen vissza tudjuk állítani azt/azokat.
  • A biztonsági mentést magától a rendszertől elkülönítve tároljuk, különben azt is elérheti a kártevő.
  • Nem nyitunk meg ismeretlen vagy ismerősnek tűnő, mégis gyanús emaileket, sem a bennük érkező emailcsatolmányokat és linkeket.
  • A gyanús weboldalakat elkerüljük – bár ebben manapság egész sokat segítenek a böngészők is.
  • Mindig frissítjük az operációs rendszert és a programjait. Erről rendszeresen konzultálunk rendszergazdánkkal.
  • Használunk vírusirtót. Minimum azt, amelyik a rendszerünkbe van építve, de jobb, ha egy profibb megoldást is megnézünk. Ezt is rendszeresen frissítjük.


Ha legújabb blogposztjainkról elsőként szeretnél értesülni, kövess minket LinkedInen és Facebookon is!

Ha IT állást keresel, nézd meg állásajánlatainkat!

 

Felhasznált források:

www.index.hu/tech

www.hvg.hu/tudomany

Írj nekünk!