Találtam egy nagyon jó leírást a zsarolóvírusokról.Forrás megjelölve

A RANSOMWARE-EK TÍPUSAI

Fájltitkosító ransomware-ek:
Ez a ransomware változat főként trójai vírusok, email mellékletek, népszerű programok (Adobe Flash, Microsoft Office...stb) sebezhetőségeit kihasználva terjed. A rendszerbe jutva gyors sebességgel megkeresi és titkosítja a személyes fájlokat. (fotókat, képeket /JPEG, PNG, BMP, JPG/, zenéket (MP3, WAV, MP4, WMA), videókat (MP4, AVI, FLV, MPEG, WMV), üzleti adatok) A titkosítást követően a zsarolóvírus egy figyelmeztető ablakot jelenít meg, amely azt állítja, hogy az adatok visszaállításának egyetlen módja a váltságdíj kifizetése. Az új típusú zsarolóvírusok már képesek a teljes merevlemezt is titkosítani. (Petya)

Nem titkosító ransomware:
Ez a típusú ransomware a teljes rendszert lezárja, és kitalált „büntetés” megfizetésére próbálja rávenni az áldozatot. Ehhez valamilyen bűnüldöző hatóság üzenetének adja ki magát (FBI, CIA, Nemzeti Nyomozó Iroda, Rendőrség). Amint a rendszerbe jut, megkeresi az illegális fájlokat. (torrentről vagy egyéb fájlmegosztó oldalról származó fájlok) Ezt követően a vírus lezárja a rendszert és látszólag valamilyen bűnüldöző hatóságtól származó figyelmeztetést jelenít meg. A rendszer átvizsgálása során megtalált fájlokat mind bizonyítékként sorolja fel. Továbbá tájékoztatja az áldozatot arról, hogy ha nem fizeti ki a követelt büntetést, akár börtönbe is kerülhet.
Böngészőlezáró ransomware: Ez a ransomware típus nem fertőzi meg a teljes rendszert. Egy Javascript segítségével egyszerűen blokkolja a böngészőket, és figyelmeztető üzenetet jelenít meg. A megtévesztő üzenet nagyon hasonlít a nem titkosító ransomware-ek által megjelenített típusokhoz. Többnyire illegális tevékenységeket sorol fel, és a börtönbüntetés elkerülése érdekében büntetés megfizetését kéri. Az ilyen ransomware-eknek természetesen semmi közük sincs sem az FBI-hoz, sem az Europolhoz, sem más hivatalos szervezethez.
JELENTŐSEBB RANSOMWARE VARIÁNSOK

Magyar Rendőrség vírus - 2012 november körül jelent meg

Az áldozat gépének képernyőjére egy üzenet töltődik be, amely szerint a "Magyar Rendőrség Osztály Elleni Kiberbűnözés" zárolta a számítógépet, mivel azon illegális tartalmak találhatóak. Az üzenet szerint a gép feloldásához meghatározott összeget szükséges Ukash vagy Paysafe utalással befizetni.

A vírus letilt minden programot, és nem hagy semmilyen lehetőséget arra, hogy ezt az oldalt bezárjuk. A még hatásosabb pánik keltés érdekében, csinál egy fotót is a webkameránkkal (már akinek van) és kiteszi.

Nemzeti Nyomozó Iroda vírus - 2013 szeptember körül jelent meg

Működése hasonló a Magyar Rendőrség vírushoz, annak egy új variánsa.

Az áldozatok képernyőjén hirtelen feltűnik egy üzenet, ami néhány komolynak látszó rendőrségi és belügyminisztériumi logó kíséretében arra figyelmezteti a felhasználót, hogy tömeges spamküldésre és gyerekpornóra utaló nyomokat is találtak számítógépén.

CryptoLocker - első változatot 2013 szeptemberben írták

Leggyakrabban emailben fertőz.

Ha a felhasználó rákattint az emailben található csatolmányra, akkor a ransomware rögtön elkezdi feltérképezni a hálózati meghajtókat, átnevezi a fájlokat és mappákat, és titkosítja azokat.

Locker - első változatot 2013 decemberben írták

150 $ kellett fizetni a feloldó kulcsért, a pénzt a Perfect Money rendszeren vagy virtuális egyszer használatos VISA kártyán kellett elküldeni.

CTB-Locker (Curve-Tor-Bitcoin Locker) - 2014 nyarán fedezték fel

Az első fertőzések Oroszországban jelentek meg. A készítők valószínűleg egy kelet-európai országból származnak.

CryptoWall - a CryptoDefense nevű változat fejlesztésével jött létre 2014 áprilisában

A JAVA program biztonsági réseit kihasználva terjedt.

Fertőzött hirdetésekbe ágyazott nagy látogatottságú weboldalakon keresztül terjedt (Disney, Facebook, The Guardian) és rengeteg látogató számítógépét, fájljait titkosította.

A Dell SecureWorks Counter Threat Unit (CTU) 2014. szeptemberi jelentése szerint a CryptoWall az eddigi legnagyobb és legpusztítóbb ransomware ami megjelent az interneten és roham tempóban terjedt. 2014. március közepe és 2014 augusztus 24 között több mint 600.000 számítógépet fertőzött meg, 5250000000 fájlt titkosított. 1683 áldozat (0,27%) fizetett összesen 1.101.900 $ váltságdíjat. Az áldozatok több mint a 2/3-a fizetett 500 $-nak megfelelő összeget, de a kifizetett összegek nagysága 200 $ - 10.000 $ -ig terjedt.

Cryptoblocker - új zsarolóvírus variáns, 2014 júliusában jelent meg

Csak a 100MB-nál kisebb fájlokat titkosítja és a "Program Files", "Windows" mappákat kihagyja.

Az AES helyett RSA titkosítást használ.

TeslaCrypt - az új CryptoWall variáns 2015 februárjában bukkant fel

Céljai között a népszerű számítógépes videojátékok, úgy mint a Call of Duty, Minecraft, a World of Warcraft, és Steam fájljainak titkosítása volt.

Locky - 2016 februárjában jelent meg

Kártékony Word dokumentumba ágyazott makró segítségével terjed spam e-mailek csatolmányaként. A Locky ransomware-t szállító e-mailek rendszerint valamilyen számlának adják ki magukat.

Ha az áldozat engedélyezi a makrót, akkor a Word dokumentumba rejtett kártékony kód aktiválódik, és telepíti a Locky ransomware-t.

A fertőzés után átvizsgálja a rendszert, megkeresve a hangfájlokat, dokumentumokat, videókat, képeket, adatbázisokat, archívumokat és más fájltípusokat is, továbbá a csatlakoztatott külső tárolókat és a hálózati meghajtókat is átnézheti.

AES titkosítási algoritmust használ, továbbá törli az árnyékmásolatokat (a kötetpillanatkép-szolgáltatás mentéseit) is, amelyekkel visszaállíthatók lennének az adatok.

Petya - 2016 március végén jelent meg

A támadó egy hitelesnek tűnő e-mailt küld, ami állásra való jelentkezésnek tűnik. Ebben útmutató is van a kapcsolódó önéletrajz letöltéséhez, egy Dropbox-fiókon keresztül.

Átveszi az uralmat a rendszerbetöltési folyamat fölött, és a teljes gépet zárolja. Míg más ransomware a fontos fájlokat keresi és titkosítja, addig ez a teljes meghajtót veszi célba.

Az önéletrajz a ransomware, amely azonnal tönkreteszi a bootrekordot, és kikényszeríti az összeomlást. Az újrainduláskor egy üzenet jelenik meg, amely szerint hibajavításokra van szükség, a folyamat több órába telhet. Ekkor a teljes meghajtót titkosítja a kártevő. A következő rendszerbetöltés alkalmábval már a szomorú üzenet várja a felhasználót: fizessen váltságdíjat a Tor böngészőn keresztül, vagy mindene oda van. A váltságdíj hét nap után duplázódik.
MIT OKOZNAK A RANSOMWARE-EK?

A ransomware vírusok titkosíthatják az áldozat adatait, például az üzleti dokumentumokat, a videókat és a fotókat is. Ezt követően a fájlok visszaállításáért cserébe váltságdíjat követelnek.
Az ilyen vírusok előre meghatározott dokumentumokat, multimédiás fájlokat és más fontos adatokat pusztíthatnak el. Természetesen akár elengedhetetlen rendszerkomponenseket vagy más szoftverek fontos elemeit is törölhetik.
A zsarolóvírusok emellett képesek lehetnek felhasználónevek, jelszavak, értékes dokumentumok, személyazonossági információk és más érzékeny adatok eltulajdonítására is. Az adatokat az interneten keresztül távoli szerverre továbbítják.
Ransomware-fertőzés esetén a rendszer szinte teljesen használhatatlanná válhat. Az ilyen fenyegetések a rendszer általános teljesítményét is ronthatják.
A ransomware-ek és a crypto-ransomware-ek pillanatok alatt leállíthatják az antivírus, antispyware és más biztonsági programokat, lerombolva ezzel az alapvető rendszervédelmet.
A ransomware-eknek természetesen nincs beépített eltávolítási funkciójuk. A hozzájuk tartozó folyamatokat, fájlokat és egyéb elemeket is elrejtik, hogy még nehezebbé tegyék az eltávolítást.
Egyértelmű, hogy a ransomware-ek nagyon veszélyesek. Habár saját magukat nem terjesztik, a megtámadott rendszerben komoly problémákat okozhatnak. Elengedhetetlen adatokat tehetnek hozzáférhetetlenné, a teljes rendszert működésképtelenné tehetik, sőt, személyes adatokat tulajdoníthatnak el. Nagyon fontos, hogy NE fizesse ki a követelt váltságdíjat, mert ez nem segít a fertőzés eltávolításában és az adatok visszaállításában.

Forrás : [link]

MEGELŐZÉSI TANÁCSOK

1. Külső adatmentés, szalagos mentés, mentési rendszer

Rendszeresen OFFLINE MENTSÜK a legértékesebb adatainkat külső adathordozóra (DVD, külső háttértár, egyéb külső meghajtó), amelyek nincsenek csatlakoztatva a számítógéphez.

HASZNÁLJUNK szalagos mentést, mert szalagos mentési rendszer esetén a lementett adatokat a szalagos technológiából fakadóan a zsaroló vírus nem képes titkosítani.

Kiszámítható MENTÉSI RENDSZERT vezessünk be:

inkrementális mentés a hét minden napján,
hétvégén teljes heti mentés,
négyhetente havi mentés.
TÁROLJUK a havi mentéseket fizikailag is biztonságos külső helyen.

2. Folyamatos frissítések, többrétegű vírusvédelem

Lássuk el AKTÍV VÍRUSVÉDELEMMEL a számítógépünket vagy egyéb BYOD eszközünket (mobil telefon, tablet stb).

nyilA mai zsaroló vírusokkal elkövetetett támadások számos összetevőből épülnek fel: a támadás kezdődhet egy egyszerű spam levéllel, amelyben egy linkre kattintva a kártékony kód átirányít bennünket egy fertőzött weboldalra, ahol kihasználva a sérülékenységeit a rendszernek, a zsaroló vírus letölti magát.

Alkalmazzunk TÖBBRÉTEGŰ HÁLÓZATI VÉDELMET.

A vírusírtó (anti-malware szoftver) kiválasztásánál ezért preferáljuk a többrétegű védelemmel rendelkező verziót:

hálózati védelemmel (hálózati adatforgalmat figyelő behatolás megelőző funkcióval)
fájl védelemmel (a hagyományos vírusvédelmi funkciók mellett viselkedéselemző/viselkedésfigyelő, illetve karantén és/vagy törlő funkcióval).
TELEPÍTSÜNK mobil eszközeinkre megbízható mobil biztonsági alkalmazást.

nyil

Kerüljük el a megbízhatatlan, nem hivatalos weboldalakról történő ingyenes
biztonsági termékek letöltését.

FRISSÍTSÜK rendszeresen a kiválasztott és feltelepített biztonsági szoftver vírusleíró adatbázisát, naprakész védelmi rendszerrel rendelkezzünk a megújuló vírusok ellen.

Biztonsági szoftvereinknél lehetőség szerint a legújabb termékverziót használjuk.

FRISSÍTSÜK az operációs rendszert és a böngészőt és bővítményeit, amelyek szintén a kártékony programok célpontjai.

nyilA kártékony kódok nem csak a közvetlenül meglátogatott fertőzött weboldalon keresztül aktiválódhatnak. Előfordulhat, hogy legális és jól ismert weboldalak meglátogatásakor egy beépített rejtett kártékony hirdetés vagy iFrame átirányítja a böngészőnket egy rosszindulatú weboldalra.

Számos ismert szoftver a kártékony kódok célpontjai. A szoftvergyártó cégek naprakész automatikus frissítéseket adnak ki, amelyek elérhetők az alábbiak szerint:

ADOBE

https://helpx.adobe.com/security.html

MICROSOFT

https://technet.microsoft.com/en-us/security/bulletin/

ORACLE

http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Tűzfal

Védjük az informatikai rendszereinket megfelelő TŰZFAL BEÁLLÍTÁSOKKAL.

nyilA tűzfal alkalmas arra, hogy figyelmeztetést adjon le és megakadályozza, hogy a biztonsági szoftverünket is megkerülő zsaroló vírus rácsatlakozzon a Command and Control (C&C) szerveréhez és aktiválja a fájlok zsaroló célú kódolását.

Fedjük fel a REJTETT FÁJLKITERJESZTÉSEKET.

nyilVáltoztassuk meg a Windows alapbeállításait oly módon, hogy az ismert fájlkiterjesztések megjelenítése engedélyezett legyen. A titkosító vírus gyakran érkezik e-mailben küldött “.PDF.EXE” kiterjesztésű fájlban. A beállítással a gyanús fájlok beazonosíthatóvá válnak.

Tiltsuk le az RDP-t (távoli asztali kapcsolatokat) és a NEM HASZNÁLT FUNKCIÓKAT.

nyilA cryptolocker (fájlkódoló) szoftverek gyakran RDP kapcsolatokon
keresztül is fertőznek.

Vírustámadás után gondoskodjunk a KÁRENYHÍTÉSRŐL.

Állítsuk be a számítógépen a „Visszaállítási pont létrehozása” funkciót. A funkció segítségével ugyan nem lehet teljes adat helyreállítást generálni, de alkalmazásával és speciális megoldásokkal részleges adat helyreállítást érhetünk el, egyes fájltípusokat a kártevő által végzett titkosítás után is helyre tudunk állítani.
Vírustámadás esetén izoláljuk a számítógépet. A fertőzött gépet ne csatlakoztassuk számítógépes hálózathoz (vezetékes, wifi) a többi számítógépen lévő adat védelme érdekében.
Hordozható adattároló (Pendrive, külső merevlemez) csatlakoztatása szintén kockázatos a további fertőzés terjedése miatt.
A kárelhárítás után a meghajtó teljes formázása indokolt, de a feladattal bízzunk meg szakembert.
Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után próbálkozzunk adatainkat az archív mentésekből helyreállítani.
3. Szabályozás

A védelem érdekében szigorú szabályozást kell kialakítani, amit be is kell tartatni az érintett munkatársakkal.

4. Oktatás, tudatosítás

Ahhoz, hogy a szabályozással elérni kívánt cél és a tudatos IT felhasználás megvalósuljon, folyamatos oktatást és tudatosítási kampányokat ill. ezekhez kapcsolódó könnyen érthető tájékoztató anyagokat kell megosztani a felhasználói körrel.

Ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg ha ez tömörített állomány
Munkahelyünkön figyelmeztessük azon kollégáinkat a veszélyekre, akik főleg külső irányból kapják leveleik többségét (pl. pénzügyi vagy HR osztály)
nyilA vírusok folyamatosan módosulnak, ezért fontos, hogy mindig naprakész legyen a tudásunk az újonnan megjelenő fenyegetettségekkel szemben. A felhasználóknak ismerniük kell a vírus működését és terjedését, valamint azokat a technikákat, amelyeket a kártékony kód alkalmaz (pl. a spam e-mailekben alkalmazott megtévesztő kampányok). Ezeknek a támadási módozatoknak az ismeretével a felhasználók könnyebben tudják felismerni és elkerülni a jövőbeni fenyegetettségeket..

TEENDŐK A FERTŐZÉS UTÁN

A ransomware fertőzések kapcsán fontos, hogy ne fizesse ki a követelt összeget. Ne dőljön be az üzeneteknek sem, miszerint valamilyen állami szervvel van dolga. Az antivírus és antispyware szoftverek nem képesek a titkosított állományok megtisztítására. Amennyiben valamilyen oknál fogva a rendszerét már megtámadta a ransomware és a fájljai titkosítva lettek, a következő szerint járjon el:

1. Fontos, hogy a fertőzés után mielőbb állítsuk le az eszközt és ne történjen írás, olvasás rajta, mert ezzel jelentősen csökken a visszaállítás lehetősége! Ne próbálkozzon vírusirtó program telepítésével, mert a titkosított fájlokat már úgy sem lehet visszaállítani vele.

2. Írja össze, határozza meg azoknak az adatoknak a körét, melyeket szeretne visszaállíttatni. (fájltípusok, könyvtárak elérési útvonala)

[link]

[ Szerkesztve ]