Egyre alattomosabbak a zsaroló programok

Hazánkban is sok kárt okoznak azok a programok, amelyek hatóságok nevében lépnek fel, és a felhasználók megtévesztésével, megzsarolásával juttatják pénzhez a terjesztőiket.
 

A váltságdíjat követelő vírusok elődje már 1989-ben felütötte a fejét: ez volt a PC Cyborg nevű trójai, amely először könnyebben visszafejthető – szimmetrikus kulcsú – titkosítást alkalmazott, majd 2005-től megjelentek az RSA titkosítást használó programok is. A zsaroló vírusok új generációja 2009-ben indult útnak Oroszországból. Ezek a rosszindulatú programok megbénították a fertőzött gépeket és a helyreállításért cserébe pénzt kértek a felhasználóktól.

A zsaroló károkozók egyik híresebb változata például a Microsoft nevében küldött levélben terjedt, és az üzenete szerint a felhasználónak egy kód beírásával aktiválnia kellett az operációs rendszerét, amelyhez egy emelt díjas számra küldött SMS által juthatott hozzá. A következő verzióban a vírus egy pornografikus képet jelenített meg a képernyőn, és a felhasználóknak a kép eltüntetéséért kellett fizetniük. Aztán 2011 után bűnüldöző szervek nevében kezdtek terjedni az üzenetek, és az orosz célpontok mellett a bűnözők a német nyelvű felhasználókat is célba vették. Ezzel megindult a terjeszkedés nyugat felé. Ugyancsak jelentős változás következett be a fizetési módokban, hiszen az emelt díjas SMS-ek helyébe különféle elektronikus fizetési megoldások léptek.

Megrémisztett felhasználók

A zsaroló programok legújabb formája blokkolja a számítógépet egy teljes képernyős ablak révén, és egy bűnüldöző szerv nevét, valamint logóját felhasználva hamis üzenetet jelenít meg. Azt állítja, hogy a felhasználó bűncselekményt követett el, és bírságot kell fizetnie. Ettől sok felhasználó megijed és fizet. Általában azért mert nem tudják, hogy ez átverés, vagy azért mert egész egyszerűen vissza akarják kapni az irányítást a gépük felett, ami sajnos sokszor a kért összeg befizetése után sem történik meg.

A Symantec szerint közel 3 százalékos fizetési hajlandósággal a trójai programok e fajtája az egyik legkifizetődőbb a bűnözők számára. Egy nyomozás szerint az egyik legsikeresebb zsaroló kártevőt terjesztő bűnbanda egy hónap alatt 68.000 gépet fertőzött meg, és ezzel közel 400.000 dolláros bevételre tett szert. Egyes becslések szerint az ilyen jellegű átverésekkel apelláló bandák éves bevétele több mint 5 millió dollár, de a valóságban ez a szám jóval nagyobb is lehet.

Terjesztési módszerek

A zsaroló programok leggyakrabban weboldalakon vagy e-maileken keresztül jutnak fel a számítógépekre. A letöltődésük általában a háttérben zajlik a felhasználó tudta nélkül. Böngészés közben a támadók rejtett kódjai egy másodlagos weboldalra irányítják át a webböngészőt, ahol a rosszindulatú program található. Ha a felhasználó PC-je nincs kellő védelemmel felvértezve, akkor a kártékony program azonnal felkerülhet a rendszerre. Az ezt követően működésbe lépő zsaroló károkozó a programok futásának megakadályozásával blokkolja a számítógépet, vagy titkosítja a fájlokat. Ezután az IP-cím ellenőrzésével kideríti, hogy hol található az általa megfertőzött gép, majd ennek alapján megjeleníti a lokalizált, hamis rendőrségi képet, amely a büntetés befizetésére utasítja a felhasználót az adott országnak megfelelő nyelvezettel.

A bűnözők általában 200 dollár vagy 100 euró körüli összeget követelnek, amelynek befizetésére 72 órát adnak az áldozatnak. Azonban a fizetés után sem szüntetik meg a zárolást vagy a titkosítást, mivel a programjuk eleve nem tartalmazza az eltávolításhoz szükséges kódot. Nem mellesleg az elkövetők csak a kicsalt összeg bezsebelésében érdekeltek, ha ez megvan, már nem foglalkoznak tovább a fertőzött géppel. 

A Symantec legalább 16 különböző verzióját azonosította a Ransomlock trójainak, amelyek nem szimplán a 2.0-ás vagy 3.0-ás változatai az eredeti programnak, hanem különböző programozók által, különböző embereknek, országoknak készített károkozók, különféle üzenetekkel. Fontos megjegyezni, hogy - noha jóval kisebb számban - de a Mac OS X operációs rendszerre épülő számítógépeket is veszélyeztetik ezek a nemkívánatos programok, amelyek nem egy esetben a Safari böngésző egyes funkcióit fordítják a saját javukra.

Védekezési lehetőségek

"Sajnos újra megjelentek itthon a túszejtő vírusok. Ügyfeleinknél is találkoztunk ezekkel az egyre fejlettebb zsaroló programokkal, amelyek az összes lényeges adatot titkosították a felhasználók gépein. Tapasztalatunk szerint hiába fizetik ki a vírusfertőzött gépek tulajdonosai a kért összegeket, a titkosítás vagy a blokkolás a legtöbb esetben nem kerül feloldásra. Csak szakértői beavatkozással távolíthatóak el maradéktalanul, ezért az adatvesztés elkerülésének érdekében mi inkább a megfelelő szintű védekezésre bíztatjuk ügyfeleinket" - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója.

A megelőzés fontosságát hangsúlyozó CDSYS szakemberei szerint védelmi megoldások széles skálája vethető be e programok ellen. Alkalmazhatunk hálózatalapú védelmet (IPS), amely minden illetéktelen hálózati aktivitást blokkol. Emellett sokat segíthetnek a gyanús műveleteket megakadályozó, viselkedésalapú vizsgálatokra képes alkalmazások. Szintén fontos védekezési forma a hírnévalapú védelem, amely többek között a fertőzött weboldalak káros következményeitől tudja megvédeni a számítógépeket. Ugyanakkor a vírusokkal kapcsolatban a biztonságtudatosság a kulcsszó: ha betartjuk az alapvető biztonsági szabályokat, és megfelelő védelemmel látjuk el a saját vagy a vállalati eszközöket, akkor jóval nagyobb valószínűséggel kerülhetjük el az ártalmas programokat.