Mi az a Ransomware, és hogyan működik?

Képzelje el, hogy bekapcsolja a számítógépét, és megjelenik egy üzenet: "Minden fájlja titkosítva van. Fizessen 5000 dollárt Bitcoinban 72 órán belül, különben adatai véglegesen törlődnek." Ez a zsarolóprogram a legpusztítóbb fenyegetéseink közül. idő.

2025-ben a ransomware támadások több mint 30 milliárd dolláros kárt okoztak világszerte. A kórházak kénytelenek voltak elküldeni a betegeket. Az iskolák évek rekordjait veszítették el. A kisvállalkozások végleg bezártak. Senki sem immunis.

A Ransomware működése: lépésről lépésre

1. szakasz: Fertőzés

A ransomware a következő vektorok egyikén keresztül jut be a rendszerébe:

• Adathalász e-mailek – meggyőző e-mail rosszindulatú melléklettel vagy hivatkozással (leggyakrabban az esetek 70%-a)
• Kihasznált sebezhetőségek – javítatlan szoftver ismert biztonsági résekkel
• Remote Desktop Protocol (RDP) – durva erőltetésű gyenge jelszavak a kitett RDP-szervereken
• Kompromittálódott webhelyek – letöltések fertőzött legitim webhelyekről
• USB-meghajtók — nyilvános helyen hagyott fertőzött USB-eszközök

2. szakasz: Végrehajtás és kitartás

Amint bent, a zsarolóprogram:

1. Letiltja a víruskereső és biztonsági eszközöket
2. Kitartást biztosít (túléli az újraindítást)
3. A hálózat többi eszközére is átterjed
4. Azonosítja és törli a biztonsági másolatokat (Shadow Copies Windowson)
5. Kommunikációt folytat a támadó parancskiszolgálójával, hogy titkosítási kulcsokat kapjon

3. szakasz: titkosítás

A zsarolóprogram katonai szintű titkosítással (általában AES-256) titkosítja fájljait. Dokumentumokat, fényképeket, adatbázisokat és biztonsági másolatokat céloz meg. A titkosítási kulcsot csak a támadó szervere tárolja.

A modern ransomware szelektíven titkosítja a fájlokat – kihagyja a rendszerfájlokat, így a számítógép továbbra is elindul, és láthatja a váltságdíjról szóló feljegyzést.

4. szakasz: Váltságdíj-igény

Megjelenik egy üzenet, amely kriptovalutában (általában Bitcoinban vagy Moneroban) történő fizetést követel. Az igények egyének esetében 500 dollártól a szervezeteknél milliókig terjednek. A visszaszámláló sürgősséget hoz létre.

Kettős és hármas zsarolás

A modern ransomware bandák nem csak titkosítanak, hanem ellopják el először az Ön adatait. Ha nem hajlandó fizetni a visszafejtésért, azzal fenyegetik, hogy érzékeny fájljait az interneten teszik közzé. Ez "kettős zsarolás".

A „háromszoros zsarolás” DDoS-támadást jelent a szervezete ellen, miközben Ön megpróbálja felépülni, és kapcsolatba lép ügyfeleivel vagy partnereivel, hogy rákényszerítsék a fizetésre.

A történelem 5 legnagyobb zsarolóvírus-támadása

1. WannaCry (2017) – több mint 200 000 számítógépet fertőzött meg 150 országban órák alatt, megbénítva az Egyesült Királyság NHS egészségügyi rendszerét
2. NotPetya (2017) – 10 milliárd dolláros kárt okozott, elsősorban Ukrajnát célozva, de világszerte elterjedt
3. Colonial Pipeline (2021) – leállították a legnagyobb amerikai üzemanyag-vezetéket, gázhiányt okozva a keleti parton
4. Kaseya (2021) – ellátási lánc támadás, amely több mint 1500 vállalkozást érint egyetlen szoftverszolgáltatón keresztül
5. MOVEit (2023) – kihasználta a kormányok és vállalatok által használt fájlátviteli eszközt, amely több mint 60 millió embert érint

Hogyan védheti meg magát

Magánszemélyeknek

• Rendszeresen készítsen biztonsági másolatot: Kövesse a 3-2-1 szabályt – 3 másolat, 2 különböző adathordozó, 1 külső helyen. Legyen legalább egy biztonsági másolat leválasztva.
• Update everything: Enable automatic updates for your OS, browser, and all applications.
• Használjon erős jelszavakat: Egyedi jelszavakat generál a jelszógenerátorral minden fiókhoz.
• 2FA engedélyezése: A kéttényezős hitelesítés még akkor is megakadályozza az illetéktelen hozzáférést, ha a jelszava feltört.
• Légy óvatos az e-mailekkel: Soha ne nyisson meg váratlan mellékleteket. A feladók igazolása másik csatornán keresztül.

Szervezeteknek

• Szegmentálja hálózatát: Korlátozza az oldalirányú mozgást, hogy a ransomware ne terjedhessen minden rendszerre.
• RDP letiltása: Ha távoli hozzáférésre van szükség, használjon VPN-t MFA-val.
• Alkalmazottak képzése: Rendszeres adathalász-szimulációk és biztonsági tudatosságnövelő tréning.
• Építse meg az EDR-t: A végpontészlelő és -válasz eszközök képesek észlelni a ransomware viselkedését a titkosítás befejezése előtt.
• Tesztelje le biztonsági másolatait: Rendszeresen ellenőrizze, hogy a biztonsági másolatok valóban visszaállíthatók-e.

Mi a teendő, ha fertőzött

1. Azonnal bontsa le a kapcsolatot — húzza ki a fertőzött eszközt a hálózatból, hogy megakadályozza a terjedést
2. Ne fizessen – a fizető áldozatok mindössze 65%-a kapja vissza adatait
3. Jelentse — lépjen kapcsolatba a bűnüldöző szervekkel (FBI IC3 az Egyesült Államokban, Action Fraud az Egyesült Királyságban)
4. Check No More Ransom – a nomoreransom.org projekt ingyenes visszafejtő eszközöket kínál számos ransomware-változathoz
5. Visszaállítás biztonsági másolatokból — törölje a fertőzött rendszert és állítsa vissza a tiszta biztonsági másolatokat

Kapcsolódó eszközök

• Jelszógenerátor — megakadályozza a brute force belépési pontokat
• Az adathalász támadás anatómiája – ismerje fel az 1. számú ransomware kézbesítési módszert