Biztosan hallottatok már az elmúlt napokban terjedő, egész világot érintő WannaCry, WannaCrypt és WannaCrypt0r neveken ismert zsarolóvírusról. Ez a vírus képes arra, hogy felhasználói beavatkozás nélkül tetszőleges kártékony kódot futtasson az áldozatok számítógépén, és ezen képességét kihasználva titkosítsa a számítógépen tárolt, általa fontosnak vélt adatokat, majd azok helyreállításáért váltságdíjat követeljen (300-600 USD).
Ahogyan általánosságban is javasolt, mindig tartsátok naprakészen operációs rendszereiteket a frissítések telepítésével (Windows Update)! Az említett vírus által kihasznált sebezhetőséget a Microsoft már márciusban kijavította, így jelen esetben elegendő, ha feltelepíted az elérhető biztonsági frissítéseket, különösen ügyelve az MS17-010-es frissítés telepítésére.
A fontosnak vélt, pótolhatatlan adataitokról a szokásosnál is gyakrabban készítsetek biztonsági mentéseket külső (offline) adathordozóra és felhő alapú tárhelyekre. Felhő tárhelyek esetén figyeljetek arra, hogy az azonnal szinkronizáló szolgáltatások erre a célra nem alkalmasak, mert a vírus által végzett módosításokat is felszinkronizálják. Amennyiben tanácsra van szükségetek a mentéseket illetően, keressetek minket bátran!
Mit tegyetek, ha a gépetek a vírus áldozatává vált?
Azonnal válasszátok le a számítógépeteket a hálózatról, hogy a többi eszközre ne jelenthessen veszélyt. (A vírus erőssége az elavult SMBv1 protokoll windowsos implementációjának sebezhetőségében rejlik, amelyet kihasználva horizontálisan tud terjedni. Azaz ha valamilyen támadási vektoron keresztül bejutott egy rendszerbe, az összes többi vele egy hálózatban lévő gépet is veszélyezteti.) Az összes meghajtó teljes formázása után telepítsétek újra az operációs rendszert, frissítsétek az operációs rendszert, majd a biztonsági mentésekből állítsátok vissza az adataitokat.
Ne feledjétek, ezek az óvintézkedések nem csak most fontosak, hiszen a hálózatra kapcsolt gépek mindig fenyegetéseknek vannak kitéve, valamint a merevlemez (vagy SSD) meghibásodása esetén bármikor történhet adatvesztés!
Mit tegyetek, ha nem volt backupotok?
A jövőben csináljatok. Ami nincs backupolva, az sajnos tényleg nem létezik. Az egyetlen dolog, amit a váltságdíj kifizetésén kívül tehettek (ami nem garantálja, hogy tényleg visszakapjátok a fájljaitokat), az az, hogy egy másra nem használt adathordozóra lementitek a titkosított fájlokat mielőtt újratelepítenétek az egész gépet. A múltban sikerült gyengeségeket találni hasonló zsarolóvírusok kulcsgenerálási algoritmusában, és dekriptáló eszközöket készíteni hozzájuk. Bár nem garantált, de van rá esély, hogy ez a jelenlegi víruscsaládnál is sikerül.
Ez az adathordozó szerencsétlen esetben továbbhordozhatja a vírust, ezért járjatok el különös gonddal, és ne használjátok semmi másra.
További információt a zsarolóvírusokkal kapcsolatban itt találhattok.