Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:

• állományok titkosítása,
• zsaroló üzenet (ransomnote),
• határidő a váltságdíj kifizetésére,
• állományok egy részének törlése.

Hogyan történik a fertőzés?

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.

A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.

A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).

Nem szoktunk beszámolni minden Windows hibáról, mert akkor egy új weboldalt kellene neki nyitnunk. Mivel van, hogy a Linux rendszerek mellett elkerülhetetlen a Windows rendszerek felügyelete is, a kritikusabb hibákat szoktuk jelezni. A Microsoft december 13-án átminősítette az SPNEGO NEGOEX egy eredetileg szeptemberben javított sebezhetőségét, miután egy biztonsági kutató felfedezte, hogy az távoli kódfuttatáshoz vezethet.

A PuTTY-ot senkinek sem kell szerintem bemutatni, sajnos áldozatul esett a Lazarus nevű észak-koreai hackercsapatnak az alábbi programokkal egyetemben: KiTTY, TightVNC, Sumatra PDF Reader.

Az üzemeltetési munkák során biztosan sokan használjátok ezeket, így mindenképp érdemes ellenőrizni a telepítés előtt, hogy a telepítő csomag tartalmazza-e a malware-t (ZetaNile).

Visszatért – a hazánkban korábban széles körben terjedő – androidos Flubot kártevő, amely csomagküldő SMS-ek helyett, ezúttal hamis biztonsági frissítésként igyekszik megfertőzni az áldozatok eszközeit. Az új-zélandi CERT kutatói hamis biztonsági értesítésekre lettek figyelmesek, amelyek azt állítják, hogy az Android rendszer Flubot kártevővel fertőződött meg, aminek eltávolításához telepíteni kell egy biztonsági frissítést.

Péntek óta folyamatosan jönnek a híradások egy újabb zsarolóvírusról, amely a Windows egy márciusban befoltozott sérülékenységén keresztül terjed. Az SMB távoli kódfuttatást lehetővé tevő hibáját használja ki a féregszerű terjedésre is képes WannaCry (további elnevezései:  WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) kártevő robbanásszerűen ért el a világ minden tájára és ejtett fogságba a windowsos gépek százezreit három nap leforgása alatt. A ramsonware, azaz az adatokat túszul ejtő program 300 dollárnak megfelelő Bitcoinért szabadítható fel, ha hinni lehet a vírust író gazfickóknak.