A WannaCry nevű zsarolóvírus több százezer számítógépbe férkőzött be a hétvégén a világ több mint 150 országában. A főleg emailen terjedő vírus gyárakat, kórházakat, iskolákat, mobilszolgáltatókat, üzleteket fertőzött meg világszerte. Bár áradásszerű terjedését sikerült megakasztani, biztonságtechnikai szakértők nagyon tartottak a hétfői munkakezdéstől, amikor dolgozók milliói kapcsolják be a számítógépüket, ami újabb lendületet adhat a vírus terjedésének.

Egyelőre nem volt újabb fellángolás a hétfői munkakezdés után, de a szakemberek szerint a veszély nem múlt el. Ketyegő bombákkal vannak tele az emberek mailboxai, jellemezte a helyzetet igencsak találóan egy hongkongi biztonságtechnikai cég, a Network Box ügyvezetője.

De mit csinál egy zsarolóvírus?

Mielőtt a konkrét esettel továbbmennénk, nézzük meg röviden, hogyan működnek a zsarolóvírusok és miért veszélyes összevissza kattintgatni ismeretlen csatolmányokra. A zsarolóvírus (angolul ransomware) egy kártékony szoftver, amelyre általánosan két állítás igaz:

• zárolja az áldozat hozzáférését a teljes számítógéphez vagy titkosítja a fájlokat,
• a visszaállításért váltságdíjat követel, innen ered ugye a neve.

Nem mostani találmány, már 1989-ben felbukkant az első ilyen jellegű vírus. Az AIDS Trojant Josheph Pop írta, az AUTOEXEC.BAT fájlon keresztül fertőzött, titkosította a fájlneveket és 189 dollárt kért az áldozatoktól a titkosítás feloldásáért. De a vírusirtók könnyen visszaállították az elrejtett fájlokat, így nem állíthatjuk, hogy sikeres volt a vírus. Az utódok ennél sokkal kifinomultabban támadnak, ezeknél a vírusirtók jellemzően már nem, vagy nehezen tudják visszaállítani az eredeti állapotot.

A zsarolóvírusok nem egyformák, különböző módon próbálnak az áldozat számítógépébe férkőzni és a fizetést is más-más módokon próbálják elérni. Az egyszerűbbek lockolják, vagyis kizárják a felhasználókat a gépükről, általában valamilyen hatóságnak álcázva magukat. Az egyik leismertebb ilyen vírus 2012-ben terjedt el, a Reveton azt állította, hogy az áldozat gépét illegális tevékenységhez használták, például gyerekpornót vagy illegális szoftvereket töltöttek le rajta. Itt az ijesztgetés a lényeg, azt hitetik el a felhasználóval, ha nem fizet, akkor komoly büntetés vár rá. Persze ezt soha nem a bűnüldöző szervek küldik ki, miért is tennének ilyet, mégis sokan bedőlnek ezeknek a vírusoknak.

A zsarolóvírusok másik nagyobb fajtáját a cryproware néven futó szoftverek, amelyek a gép teljes tartalmát titkosítják. Ma már ezek a népszerűbbek, a mostani WannaCry is ilyen jellegű vírus, 300 dollárnak megfelelő Bitcoint kér a blokkolás feloldásáért. A G DATA szakértői szerint a WannaCry egy olyan exploit (sérülékenység) kódon alapul, amelyet eredetileg az amerikai NSA fejlesztett annak érdekében, hogy más országok hálózataiba behatoljon. Az ETERNALBLUE kódot a múlt hónapban szivárogtatta ki a Shadow Brokers hekkercsoport.

Világméretű pusztítás

A vírus elképesztően gyorsan és hatékonyan terjedt el, a támadás első három órájában 11 ország számítógépeit érte el, első körben Spanyolország, Oroszország és Nagy-Britannia volt érintett, de egy napon belül szinte alig volt olyan ország a világon, amelyet ne ért volna el. Magyarországi cégeket is érint a támadás.

A vírus a felhasználók miatt terjedhetett ilyen gyorsan, mert készítői a Windows egy korábbi hibáját használták ki, amelyre a Microsoft azóta kiadta a javítást. Tehát, ahogy az lenni szokott, azok a gépek veszélyeztetettek, amelyekre nem telepítették a legfrissebb javítócsomagot.

A Microsoft szerint a mostani támadást egyfajta ébresztőként is szolgálhat a kormányoknak, hogy ők is lépjenek a kiberbiztonság érdekében, ne a magánfelhasználókra, cégekre várjanak. A javítócsomagot már márciusban kiadta a cég, de rengetegen nem töltötték még le. És itt nem csak magánszemélyekről van szó ugye, állami intézmények, cégek, nagyvállalatok sem frissítették operációs rendszerüket.

A Microsoft azt is megjegyezte, hogy ez a támadássorozat is mutatja, hogy a kormányoknak fel kell hagynia azzal, hogy sebezhetőségeket gyűjtenek saját célra, és nem közlik azokat az érintett cégekkel, amelyek kijavíthatnák a hibákat. Ezúttal is ez történt, hiszen az NSA hiába fedezte fel már korábban a biztonsági rést, nem tudatta a Microsofttal, így hosszú időn át bárki kihasználhatta.

Odafigyeléssel megelőzhető

A legfontosabb kérdés ilyenkor, hogyan tudjuk megvédeni számítógépünket és mit tehetünk, ha mégis megfertőződött. A WannaCry zsarolóvírus Windows-gépeket fertőz, a legveszélyeztetettebbek a még mindig Windows XP-t használók köre, de a Windows 8, 10 és 7 is érintett. Azok vannak veszélyben, akik nem frissítik az operációs rendszerüket, összevissza kattintgatnak böngészőjükben, minden csatolmányt megnyitnak válogatás nélkül. A legegyszerűbb védekezés, ha kicsit odafigyelünk arra, mit hogyan használunk:

• Nem látogatunk gyanús weboldalakat, erre egyébként is figyelmeztetnek már a böngészők. 
• Nem kattintunk ismeretlenektől érkezett emailre, főleg nem annak csatolmányára.
• Mindig készítünk biztonsági mentést, amelyről bármikor visszaállíthatóak nélkülözhetetlen fájljaink.
• Naprakészen tartjuk operációs rendszerünket és böngészőnket, ami azt jelenti, hogy figyeljük és letöltjük a kiadott frissítéseket.
• Az sem árt, ha tűzfalat és vírusirtót használunk.
• Ne töltsünk le ismeretlen oldalakról ingyenes szoftvereket.
• A Microsoft ezen kívül azt is ajánlja, hogy blokkoljuk a felugró hirdetéseket is.

A vírusirtó kérdését itt érdemes körüljárni, mert a hagyományos szoftverek nem tudják kiszűrni az ilyen hirtelen felbukkanó vírusokat. De létezik a vírusirtóknak egy új generációja, amely tanulással a vírusok viselkedése, terjedése alapján képes lehet kiszűrni az új trójait.

Na és ha már megfertőződött a számítógép?

Az első és legfontosabb, amit ilyenkor tanácsolnak a szakemberek, hogy ne fizessünk váltságdíjat. Egyrészt az nem garantálja, hogy feloldják a zárolást, másrészt mégiscsak bűnözőknek fizetünk, hogy aztán még több embert vágjanak át.

A fertőzött számítógépet mindenképpen el kell szigetelni a hálózaton lévő többi géptől. Egyszerűen azért, hogy ne fertőzze tovább a többi gépet. Pont emiatt hordozható adattárolót, vagyis pendrive-ot, külső merevlemezt se tegyen a gépébe. Kevesen tudják egyedül visszaállítani a rendszert (ezen a linken a Microsoft azért próbál segítséget adni), ezért a közvetlen kárelhárítás után szakemberre kell bízni a fájlok visszaállítását. Szerencsére a mostani vírus egyelőre intézményeket és cégeket támad, magánemberek egyelőre nem célpontok. De nem árt résen lenni, mert már hétvégén megjelentek a vírus mutációi, és ki tudja, hova fejlődnek a következő napokban vagy hetekben. Szakemberek szerint ugyanis

Ahogy cikkünk elején említettük, ma is lehet egy újabb felfutása a vírusnak, amikor a hétvége után először gépük elé ülők bekapcsolják a számítógépet. Mivel a délelőtti órákban nem érkezett újabb tömeges fertőzésekről hír, feltételezhető, hogy sokakhoz eljutott a hét végi támadás híre, és a szokásosnál is körültekintőbben kattintgat mindenki. 

(Borítókép: REUTERS/Kacper Pempel)