SG.hu

Magyarországon is támadnak a túszejtő vírusok

Ezek a vírusok egy állítólagos törvénysértésre hivatkozva megbénítják a felhasználók számítógépeit, titkosítják adataikat, és a feloldásért cserébe pénzt kérnek a számítógép tulajdonosától.

A ransomware, vagy más néven túszejtő vírus, amely valamelyik bűnüldöző hatóság nevét és logóját felhasználva zsarol ki különböző összegeket a felhasználóktól, Kelet-Európából indult 2009-ben, majd meghódította Nyugat-Európát, az Egyesült Államokat és Kanadát. A vírus már Magyarországon is megjelent, legismertebb formája a rendőrség nevében zsarolja a felhasználókat. A váltságdíjat követelő vírusok elődje már 1989-ben megjelent, ez volt a PC Cyborg Trojan, amely először visszafejthető szimmetrikus kulcsú titkosítással rendelkezett, majd 2005-től már megjelentek az RSA titkosítást használó programok is. A zsaroló vírusok új generációja 2009-ben indult útnak Oroszországból, illetve más Európa területén található oroszajkú országokból. Ezek a rosszindulatú programok megbénítják a fertőzött gépeket és a működésért cserébe pénzt kérnek a felhasználótól. A vírus folyamatos változáson ment keresztül az elmúlt években. A legújabb formája blokkolja a számítógép kijelzőjét, így a felhasználó nem fér hozzá semmihez saját gépén, majd egy bűnüldöző szerv nevét és logóját felhasználva hamis üzenet jelenik meg, amely azt állítja, hogy a felhasználó bűncselekményt követett el, és büntetést kell fizetnie.


Ezek után sok felhasználó megijed és fizet. Általában azért mert nem tudják, hogy ez átverés, vagy azért mert vissza akarják kapni az irányítást gépük felett, ami sajnos sokszor a kért összeg befizetése után sem történik meg. A közel 3%-os fizetési hajlandósággal, ez a vírus az egyik legkifizetődőbb a bűnözők számára. Egy nyomozás szerint az egyik legsikeresebb túszejtő vírust terjesztő bűnbanda egy hónapban 68 000 gépet fertőzött meg, és ezzel közel 400 000 dolláros bevételre tett szert. Becslések szerint a ransomware átveréseket üzemeltető bandák éves bevétele több mint 5 millió dollár, de a valóságban ez a szám jóval magasabb lehet.

A legkorábbi orosz változatban a Microsoft nevében érkezett levél, amely szerint a felhasználónak egy kód beírásával aktiválnia kell operációs rendszerét, amelyhez egy emelt díjas számra küldött SMS által juthatnak hozzá. A következő verzióban a vírus egy pornografikus képet jelenített meg a képernyőn, és a felhasználóknak fizetniük kellett a kép eltüntetéséért. A zsaroló vírusok hasonló sémában működtek 2011-ig, amikor jelentős változáson mentek keresztül a programok. A pornografikus képek helyett bűnüldöző szervek nevében jelentek meg üzenetek, és az orosz célpontok helyett a bűnözők a német nyelvű felhasználókat vették célba, ezzel a túszejtő programok terjedése megindult nyugat felé. Ugyancsak jelentős változás következett be a fizetési módok használatában. Már nem az emelt díjas SMS-t használtak a zsarolók, hanem áttértek a különféle elektronikus prepaid fizetési megoldásokra.

A túszejtő vírusok leggyakrabban webes felületekről vagy email-ből kerülnek a számítógépekre, a letöltés általában a háttérben folyik, a felhasználó tudta nélkül. A webes felületről érkező fertőzés az úgynevezett drive-by letöltés, amelynek során a felhasználó böngészés közben találkozik a támadó rejtett iFrame elemével, amely egy másodlagos weboldalra irányítja a böngészőt, ahol a rosszindulatú program található. Ha a felhasználó gépe nincs kellő védelemmel felszerelve, akkor a böngésző letölti a vírust, az pedig feltelepül a számítógépre. A működésbe lépő ransomware a programok futásának megakadályozásával blokkolja a számítógépet, illetve titkosítja az adatokat. Ezután egy IP cím azonosító program segítségével kideríti, hogy hol van a fertőzött gép, majd megjelenik a lokalizált hamis rendőrségi kép, amely a büntetés befizetésére utasítja a felhasználót.


A bűnözők általában 200 dollár vagy 100 euró körüli összegeket kérnek, amelynek befizetésére 72 órát adnak az áldozatnak, de a fizetés után soha nem szüntetik meg a blokkolást, vagy a titkosítást, mivel a program eleve nem tartalmazza az eltávolításhoz szükséges kódot, illetve a bűnözők csak a kicsalt összeg bezsebelésében érdekeltek, ha ez megvan, már nem foglalkoznak tovább a fertőzött géppel. A Symantec legalább 16 különböző verzióját azonosította a Ransomlock vírusnak, amelyek nem szimplán a 2.0-ás vagy 3.0-ás változatai az eredeti programnak, hanem különböző programozók által, különböző embereknek, országoknak készített vírusok, különféle üzenetekkel. A legkorábbi ilyen vírust 2011 júliusában azonosították, és néhány hónapon belül számos variánsa jelent meg és terjedt el széles körben. Ma már az OS X felhasználók sincsenek biztonságban, ugyanis egy őket célzó ransomware is felbukkant. A rosszindulatú program a Safari "restore from crash" funkcióját használja fel.

"Sajnos újra megjelentek itthon a túszejtő vírusok. Ügyfeleinknél is találkoztunk ezekkel az egyre fejlettebb zsaroló programokkal, amelyek az összes lényeges adatot titkosították a felhasználók gépein. Tapasztalatunk szerint hiába fizetik ki a vírusfertőzött gépek tulajdonosai a kért összegeket, a titkosítás, vagy a blokkolás a legtöbb esetben nem kerül feloldásra és csak szakértői beavatkozással távolíthatóak el maradéktalanul, ezért az adatvesztés elkerülésének érdekében mi inkább a megfelelő szintű védekezésre bíztatjuk ügyfeleinket" - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. A cég szakemberei a zsarolóknak való fizetés és az utólagos adatmentési próbálkozások helyett inkább a megelőzést és a megfelelő védelem alkalmazását javasolják.

Alkalmazhatunk hálózat-alapú védelmet (IPS), amely minden illetéktelen hálózati aktivitást blokkol vagy a gyanús műveleteket megakadályozó viselkedés-alapú védelmet. Szintén fontos védekezési forma a hírnév-alapú védelem, amely a fertőzött weboldalak látogatásától, illetve a vírusfájlok weboldalról való letöltésétől védi meg a felhasználót, de az olyan adott állapotot visszaállító megoldások használata, mint a Norton Boot Recovery is ajánlott. A túszejtő vírusok kártékony működésével kapcsolatban a biztonságtudatosság a kulcsszó, ha betartjuk az alapvető biztonsági szabályokat és megfelelő védelemmel látjuk el saját illetve vállalatunk eszközeit, akkor elkerülhetjük azokat az anyagi- és adatveszteségeket, amelyeket a zsaroló vírusok okozhatnak számunkra.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tinman #16
    A cikk tényleg iszonyatosan megkésett. Minimum 1.5 éve találkoztunk először ezzel, azóta viszont nem telt el úgy hónap, hogy egyik-másik ügyfél ne szaladt volna bele. A csúcsot idén tavasszal-nyáron érte el, azóta jóval ritkábban találkozunk vele.

    Az eltávolítása után (az 5 perccel lehet sokat mondtam), mindig megnéztük merre járt a t. delikvens. A 13 éves kölyöktől kezdve egészen a 78 éves(!) ZRT. vezérigazgatóig bezárólag MIND kivétel nélkül pornó után kajtattak a neten.

    Említésre méltó, hogy egy esetben kizárólag állatos pornós linkek voltak az előzményekbe... azóta nem szívesen fogok kezek az illetővel :-/
  • Magiszter #15
    NOD32 vagy AVG van a gépemen már rég óta. Ilyen "fizessé" vírussal csak cégen belül meg ismerősöknél találkoztam akik IT guruként villognak de a vírusirtót nem telepítik fel a gépre mert "úgy se lesz vírusos". Hát lett.

    Egy USB-s windows/linux meg egy vírusirtó megoldja ezt a gondot is.
  • Rayden02 #14
    Én még sosem találkoztam ilyennel szerencsére,2007 óta van netem,azóta Avast van a gépemen!
  • ADAMEX9 #13
    Én is találkoztam már haver gépén ezzel, Windows asztal helyett már ez fogadott belépéskor. A megoldás az volt, hogy ha lehúzod a netet, akkor nem jön be. De mivel sehol nem találtam a fájlt ami okozza, ezért simán rendszer visszaállítást toltam 3 nappal azelőttre.
  • god25 #12
    Az öcsémnek a linuxára is "jött" egy ilyesmi. A rendszerfigyelőből lehetett a folyamatot kilőni, bezárni nem engedte. Én meg szakadtam a röhögéstől. :P
  • Narxis #11
    Még van ilyen is: Link
  • Narxis #10
    Van ilyen vírus. Te csak a script verzióval találkoztál.
  • ProgServ #9
    Mégvalami...ez nem vírus. A vírus az tud szaporodni, és állományokat fertőz.
    Ez egy harmatgyenge idióta script.

    A hollandoknál ha jól tudom volt 4000 ilyen idióta aki fizetett is.
  • ProgServ #8
    Macbook Pro-m van.
    A válasz...sehogy.
    De énis beszoptam...valami képre teljesen véletlenül önszántamon kívül (:D) kattintottam, és paff bejött a police.hu oldala.
    Hogy menjek el az anyámba, fizessek 25 000Ft-ot..mertha kifizetem akkor a 8 évig tartó börtönt kiválthatom, és a benzinkúton tudok venni olyan kártyát amivel fizethetek. :D

    Hát mondom ez gyanús...netezgetek a neten és ilyet a pofámba vágnak meghogy zárolták a gépem? Meg titkosították? Na mondom Maaaargit..ez érdekes mert jogosultságot a gép nem kért, van tűzfalam és vírusírtóm is.

    Osz nézem a linket mégis miez a fos...ahha police.hu peeersze... csak így nézett ki,hogy police.hu.tökömbököm.baromság.akármi.com/faszagyerekvagyhabefizeted.html

    Tehát az akármi,com a domain..én nem a police.hu ahonnét ez a szemét jön.

    A szöveg is érdekes amit ír...mert nyomozás nélkl csak úgy paff jön a nínós bácsi és elvisz....ritkán szokott lenni, pláne indok nélkül. A szövegben az igeidőkkel és a ragozással sincs tisztában a kedves...feltehetően orosz szerző. Na meg a magyar jogreddel.

    Sebaj..mit okozott ez a borzalmas zároló titkosító vírus. Hát előszöris nem zárolt és nem titkosított semmit.
    Annyi történt, hogy a JS jólenne ha kihalna végre. Egy bug miatt berakta magát a kessssbe ez a fos, és akárhányszor elindítottam a böngészőt, ez jött be, sőt a böngészőt be se lehetett zárni, mert egy ablakot mindíg feldobott, hogy na mostfizess vagy jöna villogós maszkos bácsi.

    Na mondom..velem nem baszol ki, kényszerített kilépés...és jé...kilépett.
    Bementem a mappájába töröltem az előzményeket és a kesst.. újrindítottam a böngészőt, aztán a beállításokban töröltem az előzményeket... és paff minden működik mint rég..nem zárolt senki semmit, és a villigós bácsi se volt még itt.
  • galocza #7
    a magyar rendőrség is osztály?
    mert hofitól tudjuk, a munkás az osztály, a paraszt az meg ság, az értelmiség réteg. így a rendőrség 2. osztály, feltételezem elemi. 3. osztályba nem léphet.