Mit tehetünk a zsarolóvírusok ellen?

A ransomware-ekről, vagy zsarolóvírusokról egyre többször esik szó a médiában, ahogy egyre szaporodnak az effajta vírusok. Legfőbb közös jellemzőjük, hogy a fertőzés után titkosítják a számítógépen tárolt dokumentumokat így túszul ejtve azokat, majd váltságdíjat követelnek a felhasználótól a titkosítás feloldását ígérve. Ha nem szeretnénk vagyonokat fizetni, hogy esetleg visszakapjuk féltett adatainkat, érdemes megelőző lépéseket tenni, de legalábbis tisztában lenni a fenyegetéssel, vagy a lehetőségeinkkel egy támadás esetén.

Sokunk rémálma, hogy egyszer csak megjelenik a képernyőnkön a hírhedt zároló képernyő, ami arról tájékoztat, hogy az összes doksink titkosítva van és csak akkor kapjuk meg a feloldókulcsot, ha fizetünk.

petya-ransomware-uses-dos-level-lock-screen-prevents-os-boot-up-502166-4

Kis szerencsével még ekkor sincs veszve minden! Ebben a cikkben megpróbálom összegyűjteni azokat a megoldásokat és biztonsági programokat, amiket bevethetünk a ransomware-ek ellen, de előtte kezdjük a legfontosabbal: a megelőzéssel.

Megelőzés

A ransomware-ek a dokumentumainkra, fájljainkra utaznak, tehát elsődleges szempont ezek védelme, aminek pedig a legjobb és legegyszerűbb módszere a biztonsági másolat készítése. Azonban nem elég átmásolni a fájlokat egy másik mappába, vagy meghajtóra és ezzel letudni a backup-ot, mert a vírusok tüzetesen átnézik az összes elérhető meghajtó, minden egyes mappáját és könyörtelenül kódolják a hanyagul elkészített biztonsági mentésünket is. Az igazi megoldás az, ha a másolat nem elérhető a számítógépünkről. Helyezzük egy külső meghajtóra, amit csak az adatmentés idejére csatlakoztatunk, vagy online tárhelyre. A felhős szinkronizálással is vigyáznunk kell, mert előfordulhat, hogy ennek során felülírjuk az eredeti adatainkat a már titkosított szeméttel. Tehát egy sima OneDrive-al szinkronizált Dokumentumok mappa, nem megoldás. Lehetőleg felülírás nélküli tárolást válasszunk, vagy manuálisan indítsuk a feltöltéseket.

Szerencsére számos nagyszerű backup program létezik ingyen is, mint az AOMEI Backupper, vagy a személyes kedvencem, a CrashPlan. A mai USB-s hordozható HDD árak mellett, felelőtlenség lemondani a backup által nyújtott biztonságról.

charashplan

A megelőzés másik módja, hogy lehetőleg egyáltalán ne engedjük a gépünkre a zsarolóvírust. Ez sajnos, amilyen egyszerűen hangzik, éppolyan nehezen kivitelezhető. A legtöbb közismert vírusirtó elbukik ha egy-egy vadiúj ransomware variánssal találja magát szemben, amiből mostanában nincs hiány, ugyanis egyre-másra jelennek meg az egyre furfangosabb változatok. Nemhiába adnak ki a fejlesztők sorra, direkt zsrolóvírusok ellen bevethető eszközöket. Ezek a szoftverek vagy a fertőzés megelőzésében segítenek, vagy annak eltávolításában, több-kevesebb sikerrel. Korábban már mi is bemutattunk egy ilyen célszoftvert, a CryptoPrevent-et, de azóta számos új alkalmazás is elérhetővé vált, melyeket lentebb majd sorba is veszünk.

Anti-Ransomware eszközök

CryptoPrevent

cryptoprevent

Az egyik legelső ilyen célú védelmi eszköz, ami valós időben akadályozza meg a kártevők futását. Működése többek között arra az egyszerű elvre épül, hogy megakadályozza az .exe fájlok futtatását az %appdata% mappában, de emellett aláírásmintákkal is operál. Telepítés után csendben, a háttérben végzi a dolgát, erőforrásigénye elhanyagolható és szerencsére az ingyenes verziója is épp megfelelő otthoni felhasználásra. A készítő szerint “számos cryptoware ellen véd”.

Bitdefender Anti-Ransomware

Bitdefender-Anti-Ransomware

Az előzőhöz hasonlóan, a háttérbe húzódva figyel ez a program is. A gyártó szerint védelmet nyújt a CTB-Locker, Locky és a TeslaCrypt mellett, a jövőbeli variánsok ellen is. Egy érdekes trükköt is bevet a fertőzések ellen: elhiteti a vírussal, hogy a fájlok már titkosítva vannak, így az elégedetten, habár dolga végezetlenül be is záródik. Ingyenesen áll rendelkezésünkre ez az eszköz is. Az alábbi videóban (kb. 2:40-től) nézhető meg munka közben:

 

HitmanPro.Alert

hitmanpro.alert_

A HitmanPro.Alert egy anti-exploit program, ami tartalmaz egy CryptoGuard nevű funkciót is, ami a CryptoLocker-ek ellen véd. Az EMET, vagy Malwarebytes Anti-Exploit felhasználóknak érdemes lehet megfontolni a cserét, mert nagyjából ugyanazt tudja, csak ebben még a CryptoGuard is benne van. Sajnos ez a program csak 30 napig használható ingyen.

 

HitmanPro.Kickstart

hitmanpro-kickstart

A Kickstart egy kiegészítő a HitmanPro-hoz, amivel USB-ről bootolva eltávolíthatjuk a kártevőket. Sajnos nem ingyenes, csak érvényes HitmanPro licenc birtokában használható.

Malwarebytes Anti-Ransomware (Beta)

malwarebytes-anti-ransomware

A még béta állapotú program egyelőre ingyenesen véd a CryptoLocker, CryptoWall, CTBLocker és Tesla nevezetű zsarolóvírusok ellen. A fejlesztők szerint egy egyedi módszerrel ismeri fel, viselkedés alapján a kártevőket. Ígértessen hangzik és minden esély meg van rá, hogy nagyon jó védelmet nyújtson, hiszen a Malwarebytes fogalom a biztonsági szoftverek között. Reméljük a kész verzió sem kerül majd túl sokba és kevésbé ugrik rá mindenféle ártatlan fájlokra, mint a jelenlegi, fejlesztés alatt álló verzió.

Trend Micro Anti-Ransomware Tool

trendmicro-anti-ransomware

Ez az eszköz azon zsarolóvírusok ellen készült, amik nem titkosítják az adatainkat, csak zárolják a gépet. Az ingyenes alkalmazást telepítve, vagy USB-ről futtatva indíthatjuk és eltávolíthatjuk vele a zárolást.

WinAntiRansom

winantiransom-plus

A WinAntiRansom többrétegű védelmet biztosít a rensomware-ek ellen, de sajnos nem ingyen. 30 dollárt kell leperkálnunk egy licencért, ami viszont életre szóló és 5 eszközre is telepíthetjük vele. A program számos hasznos funkcióval rendelkezik: képes lezárni a hálózati meghajtók felé vezető utat a kártevő elől, kialakíthatunk ún. biztonsági zónákat, van benne VirusTotal integráció és regisztrációs adatbázis védelem is. Ha valaki nem sajnálja rá a pénzt, valószínűleg nagyon elégedett tulajdonosa lesz, mert mindenhol csak dicsérik. Az alábbi videóban (és a csatornán még sokban) láthatjuk hogyan állja a sarat az ingyenes megoldásokkal szemben:

Kármentés

Ha a megelőzésre nem fordítottunk elég időt, vagy egyszerűen nem vált be, akkor bajban vagyunk. Ilyenkor sem kell azonban kétségbe esni és főleg ne nyúljunk egyből a pénztárcánk felé, hogy kifizessük a váltságdíjat, mert az egyáltalán nem garancia arra, hogy valóban visszanyerjük az adatainkat. A következő lépések betartásával jó eséllyel helyrehozhatjuk a dolgokat:

1., Ha olyan ritka szerencsénk van, hogy munkálkodás közben kapjuk rajta a gonosztevőt, vagyis pl.: azt látjuk, hogy megugrik a CPU használat és a dokumentumaink sorban alakulnak át titokzatos nevű állományokká, akkor azonnal kapcsoljuk ki a gépet a bekapcsológombot hosszan nyomva tartva, vagy simán húzzuk ki a konnektorból. Ha szerencsénk van, ezzel megakadályozzuk, hogy az összes fájlunkat titkosítsa, tehát csökkenthetjük a károkozás mértékét.

2., Ha a számítógépünk egy helyi hálózat része, azonnal válasszuk le róla, nehogy azon keresztül más meghajtókat is elérjen.

3., Ha van rá lehetőségünk, egy tiszta gépen, óvatosan készítsünk másolatot a merevlemezünkről, ami egy későbbi oknyomozás, vagy félresikerült dekódolás után még jól jöhet.

4., Ha volt friss biztonsági mentésünk minden adatunkról, veregessük vállon magunkat, formázzuk le a meghajtónak, telepítsük újra a rendszert és másoljuk vissza backup-ból az adatokat.

5., Ha egyáltalán nem férünk hozzá a géphez, mert a vírus mindent letiltott, próbálkozzunk a fent már említett Trend Micro Anti-Ransomware Tool-al, vagy a Kaspersky WindowsUnlocker-rel.

6., Indítsuk el a gépet csökkentett módban, futtassuk le a víruskergetőnket, hátha törölni tudja a vírust, ha nem, keressünk másikat és próbáljuk újra és újra és újra…

7., Azonosítsuk be a kártevőt. Az ID Ransomware oldalára feltölthetünk egy már titkosított fájlt, vagy megadhatjuk a zároló képernyő címsorában szereplő szöveget és a szolgáltatás megmondja mivel állunk szemben, sőt azt is van-e az adott malware-hez dekódoló program.

8., Ha kis szerencsénk van, a jófiúk már feltörték a titkosítást (mint pl. legutóbb ebben az esetben) és könnyedén decrypt-elhetjük az adatainkat. Ha sikerül beazonosítani a ransomware-t, tegyünk egy próbát a TheWindowsClub által összegyűjtött listán szereplő eszközökkel.

Végszó

A fenti bőséges listán sajnos egyetlen csodafegyver sem szerepel, nincs tökéletes védelem és garancia a ransomware-ek ellen, viszont ha elég türelmet fordítunk a megelőzésre, jelentősen csökkenthetjük a kockázatot.

Ha van egyéb tippetek, kommentben várjuk! 😉

44 hozzászólás érkezett ehhez a poszthoz

  1. Profile photo of KoLaMan

    Jó tip? Mingyá’ benyögi valaki, hogy nem szabad utorrentet telepíteni… 🙂 (bocs, nem tudtam kihagyni)
    Amúgy kösz a cikket, egészen jól összeszedted.
    Én megemlíteném még az öntudatosságot. Semmilyen zsarolóvírus nem tud települni (egyelőre) valamilyen felhasználói interaktivitás nélkül (bár épp ma olvasom, hogy a kissé régebbi androidok alatt – és sajna az a többség – elég meglátogatni egy weboldalt, ami sajnos új távlatokat nyit).
    Vagyis mindent ellenőrzött helyről letölteni, semmit megnyitni/futtatni, amiről nem tudod biztosan, hogy micsoda, és persze minden kattintás előtt meggyőződni arról, hogy mire is kattintasz.

    Tetszik (1)
  2. Profile photo of KoLaMan

    Izé, a “tipp” második p-je valahol elveszett… (nem lehet javítani, vagy csak nem találom?)

    Tetszik (0)
  3. Profile photo of FIRE

    HitmanPro.Alert nem is ingyenes. Nálam azt írja 1 hónap.

    Utána végtelen trial mint az ESET? Így nem szeretném megkedvelni.

    A bidefenderét szívesen használnám de Kaspersky hadjáratot indított ellene (Meg sem kérdezte mi legyen csak roham és kiirtotta kaspersky őt.) mert szerinte vírus de a mallwarebytesé jó mellette.

    Tetszik (0)
  4. Profile photo of Blekfero

    Én nem izgatom magam túlzottan, mikor szükséges, kihúzom a hálózatból, felnyomom a backup hdd-met és átmásolom az új fájlokat.

    Tetszik (0)
  5. Profile photo of vaszab

    Ha egy particionak nem adok betűjelet, az biztonságban van?

    Tetszik (0)
  6. A baj az hogy ez egy időzített dolog. Láttam gépet, amin hetek óta rajta volt a vírus és egyszer csak aktiválódott…. Ezért nem olyan egyszerű hogy fertőzött oldalt ne nyisson meg a felhasználó. Az sem tudja, hogy fertőzött! Nehéz feladat. Egy 200 fős cégben mindig(!!) van egy gyenge láncszem. Lassan elérjük, amit már egyre több helyen alkalmaznak, hogy az internet le lesz vágva a céges architektúráról. Lesz egy internetes gép csoportonként és az nem látja a belső hálót. Esetleg logolni is lehet, hogy a felhasználó orra alá dörgöljük ha z internetes gép széthullik…

    Tetszik (0)
  7. Profile photo of SniperAtWork

    Én már 9 éve a DeepFreeze-t használom! Ezt még jogtisztán vettem a Windows XP-mel együtt anno.
    Persze ez is csak akkor hatásos, ha fagyasztott állapotban van a gép!
    Amúgy a DF + TinyWall + NOD32 AV kombóm alkalmazásával megnézném, hogy férkőzne be hozzám egy ilyen “izé”…
    Ez jó megoldás?

    Tetszik (0)
  8. Profile photo of nagyhus

    A Comodo Internet Security (ingyenes) tartalmaz egy úgynevezett Auto-sandboxot (homokozót). Amikor új, ismeretlen programot futtatunk, azt először egy mesterséges környezetben. elzártan futtatja. Tulajdonképpen elhiteti a programokkal, hogy a valós windowsban fut, így képes azelőtt izolálni a viselkedését, mielőtt az kárt tehetne a rendszerünkben. Szerintem ezt nem tudja kijátszani egyetlen zsarolóprogram sem.

    Tetszik (1)
    • Profile photo of Cartman

      SNIPERATWORK és NAGYHUS
      Igazatok van! Sajnálom is hogy kifelejtettem a cikkből, pedig bele akartam írni a sandbox-okat is, mert nagyon hasznosak lehetnek.
      A DeepFreeze jellegű megoldásoknál viszont arra is figyelni kell, hogy ne csak a rendszerpartíció legyen védve, hanem minden, amin félthető adat van.
      Hogy ezeket nem lehet-e kijátszani, arra azért nem vennék mérget, de az biztos, hogy nagyon erős védelmi vonal.

      Tetszik (0)
  9. Profile photo of andreas49

    A leírásban az szerepel, hogy a “vírusok tüzetesen átnézik az összes elérhető meghajtó, minden egyes mappáját és könyörtelenül kódolják a hanyagul elkészített biztonsági mentésünket is” A OneDrive szinkronmappa is a gépen csücsül és akkor az is kódolás alá esik és a legközelebbi szinkronizáláskor már a kódolt – fertözött file kerül feltöltésre.. Tehát egy felhős archiválásnak csak akkor van létjogosultsága, ha a “felhőből kérünk feltöltés és nem a gépünkről szinkronizálást.

    Tetszik (0)
  10. Profile photo of Csicsó

    Bocs de cikk végigolvasás nélkül is egyértelmű – OFFLINE BACKUP

    Tetszik (0)
  11. Profile photo of Matgab

    Jó cikk! Köszi!
    A végén feltűnik az Exploit védelem. Mi a szösz az exploit?
    Eset Smart Security-t használok, (exloit védelmet az is említ, de), jól sejtem, hogy ransomware-ektől nem véd meg?

    Tetszik (0)
    • Profile photo of Cartman

      Az exploit az tudtommal annyit jelent, hogy sebezhetőség. Pl: amikor a Flash-ben felfedeznek egy hibát, amit kihasználva átvehetik a géped felett az irányítást, ha nem telepíted a megfelelő update-et hozzá (vagy ha még nincs is hozzá).
      Abba a világ minden pénzéért sem mennék bele, hogy elkezdjem találgatni melyik “hagyományos” vírusirtó képes vajon megvédeni a ransomware-ektől is, mert mindenki állít erről mindenfélét a neten. Van olyan vírusirtó, ami azt hirdeti a honlapján, hogy ő az egyetlen, ami garantáltan minden ransomware-től megvéd, de én nem hittem el neki 😀 Valószínűleg egyik sem képes az összestől megvédeni, ezért kell a többrétegű védelem. A hagyományos antivírus mellé, egy direkt anti-ransomware és máris nyugodtabb az ember.

      Egyébként az Eset is tesztelve lett a cikkben linkelt youtube csatornán, ott, abban a helyzetben pl.: derekasan helytállt:
      https://www.youtube.com/watch?v=RbxXZlJ2iAs

      Tetszik (1)
  12. Profile photo of Cartman

    Közben Facebook-on kommentben érkezett egy tipp, mégpedig, hogy az árnyékmásolatból is visszaállíthatóak a fájlok. Ezt meg lehet valóban próbálni, de sajnos az újabb verziók már szinte mindig törlik az árnyékmásolatokat is, mint itt írják: http://www.webroot.com/blog/2014/05/05/evolution-encrypting-ransomware/

    Tetszik (0)
  13. Profile photo of diwx

    Most találtam:
    Legyőzték a windowsos zsarolóvírust
    http://www.origo.hu/techbazis/20160429-van-megoldas-a-windowsos-zsarolovirus-crytpxxx-ellen-ransomware-kaspersky-lab.html

    Lehetne ebből is egy leírás, hogyan kell végig vinni a visszaállítást lépésről lépésre…

    Tetszik (0)
  14. Szerintem itten a legnagyobb hibás a felhasználó,nem kell minden reklámra rákikkelni.
    Régebben you tube szedtem őssze 2010 ,ha jól emlékszek le akartam egy crackalt pogramot tölteni.
    Majd le leszedtem az exet es elinditootattam.Akarta hogy vegyem meg.Inkább leégett a maxtor hardiszk,több cikben is olvastam a maxtor egyik legocskább hárddisknek.
    Van egy kis virusom a flashre szerencsére csak a windowsod támadja meg.Föiskoláról szedtem össze.
    Linuxal becsomagoltam ha nem hiszittek el ki birjátok probálni Windows óperációs rendszerein is.
    [moderálva]
    Mindenki saját felelöséggel:
    https://www.virustotal.com/en/file/b1fb873fea18c40792eef8165e4377ef8ca0597f2f1308ea715cd785369312a6/analysis/1461941441/

    Tetszik (0)
  15. 2010semmillyen féle módszer sem létezett ellene.
    Hatásos módszer ha Linuxot használunk:
    http://www.kubuntu.org/

    Tetszik (0)
  16. Profile photo of ffgsedghgc

    pl. Kaspersky Total Security 2016 mellé is érdemes feltenni valamit ? Két dudás egy csárdában..:D

    Tetszik (0)
  17. Profile photo of tomkellner

    Sziasztok!

    Nekem ez a kasperskys megoldás nem működik…betallozom fertőzött filét, eredeti filét..de semmii….
    Vkinek vmi??

    Tetszik (0)
  18. Profile photo of csang0421

    Ha egy egész meghajtót titkosítok a BitLocker-el, a zsarolóvírus hozzá tud férni?

    Tetszik (0)
  19. Profile photo of YESSS

    Itt:
    https://malwaretips.com/blogs/remove-hydracrypt-virus/
    azt írja a gyerek, hogy a HYDRACRYPT pl. már az árnyékmásolatokat is törli áldásos tevékenysége során, tehát valakik már erre is gondoltak.

    Tetszik (0)
  20. Profile photo of VikingPanzer88

    Én a Malwarebytes Anti-Ransomware (Beta)-t használom de kezd a puttonyom ki lenni vele a rengeteg FAKE riasztás miatt és a galibái miatt amiket okoz példa rá törölnék egy programot a marha szerint fertőzés ami az Explorert módosítaná aztán cseszik engedni törölni de már a program fele a poén benne h törlődött de így le sem tudom vakarni a programot már teljesen szóval ez a béta szemét csak a galibákat okozza egyfolytában így Cartmen hasznos cikkének hála feltettem mellé a WinAntiRansom-t is cracket is találtam hozzá és működik is vele kíváncsi leszek mennyire válik be. Szerintetek a Malwarebytes Anti-Ransomware (Beta)-t le törölhetem mellőle vagy hagyjam meg? Megjegyezném szeretem ezt az oldalt mert mindig hasznos amiket itt találok egyetlen hatalmas gond vele hogy nagyon keveset van frissítve cikkekkel is. 🙁

    Tetszik (0)
    • Profile photo of Cartman

      A WinAntiRansom mellé felesleges a Malwarebytes bétája, én törölném a helyedben. Viszont crackelt biztonsági programot sem használnék, mert az az egy, aminek megbízhatónak kell lennie mindenképp. Namármost ugyebár nem tudod a crack hogyan működik, vagy mi van benne, így sohasem bízhatsz benne.
      Tedd fel inkább az ingyenes CryptoPrevent-et és a Bitdefender Anti-Ransomware-t. Lehet nem tudnak annyit, mint a WinAntiRansom, de ingyen is dolgoznak és nem kell a crack-el kockáztatnod.

      Tetszik (1)
  21. Profile photo of lacielek

    Sziasztok !
    2016.05.18-ával megszületett a TeslaDecoder is , melyet innen lehet ingyen letölteni :
    http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
    A leírás angolul van ,de remélem valaki itt lefordítja magyarra is a telepítési és használati útmutatót.

    Tetszik (0)
  22. Profile photo of Mozart

    WinAntiRansom ! Sajnos a cikkben szereplő örök életű 30$-os 5 gépes licenc, évi 27$ a valóságban.

    Tetszik (0)

Szólj hozzá a cikkhez