A ransomware vírusok egy állítólagos törvénysértésre hivatkozva megbénítják a felhasználók számítógépeit, titkosítják adataikat, és a feloldásért cserébe pénzt kérnek a számítógép tulajdonosától. A vírus Magyarországon is megjelent, legismertebb formája a rendőrség nevében zsarolja a felhasználókat. A CDSYS szerint a zsarolóknak való fizetés és a szinte garantálható adatvesztés elkerüléséhez biztonságtudatos gondolkodásra, szabályozásra és megfelelő védelemre van szükségük a hazai felhasználóknak és vállalatoknak.
„Sajnos újra megjelentek itthon a túszejtő vírusok. Ügyfeleinknél is találkoztunk ezekkel az egyre fejlettebb zsaroló programokkal, amelyek az összes lényeges adatot titkosították a felhasználók gépein. Tapasztalatunk szerint hiába fizetik ki a vírusfertőzött gépek tulajdonosai a kért összegeket, a titkosítás, vagy a blokkolás a legtöbb esetben nem kerül feloldásra és csak szakértői beavatkozással távolíthatóak el maradéktalanul, ezért az adatvesztés elkerülésének érdekében mi inkább a megfelelő szintű védekezésre bíztatjuk ügyfeleinket” - mondta Egerszegi Krisztián, a CDSYS ügyvezető igazgatója. „Kiemelten fontosnak tartjuk a biztonságtudatos gondolkodást, a megfelelő védelmi megoldások használatát és az erre vonatkozó vállalati szabályozás kialakítását, alkalmazását.”
A váltságdíjat követelő vírusok elődje már 1989-ben megjelent, ez volt a PC Cyborg Trojan, amely először visszafejthető szimmetrikus kulcsú titkosítással rendelkezett, majd 2005-től már megjelentek az RSA titkosítást használó programok is. A zsaroló vírusok új generációja 2009-ben indult útnak Oroszországból, illetve más Európa területén található oroszajkú országokból. Ezek a rosszindulatú programok megbénítják a fertőzött gépeket és a működésért cserébe pénzt kérnek a felhasználótól. A vírus folyamatos változáson ment keresztül az elmúlt években. A legújabb formája blokkolja a számítógép kijelzőjét, így a felhasználó nem fér hozzá semmihez saját gépén, majd egy bűnüldöző szerv nevét és logóját felhasználva hamis üzenet jelenik meg, amely azt állítja, hogy a felhasználó bűncselekményt követett el, és büntetést kell fizetnie.
Ezek után sok felhasználó megijed és fizet. Általában azért mert nem tudják, hogy ez átverés, vagy azért mert vissza akarják kapni az irányítást gépük felett, ami sajnos sokszor a kért összeg befizetése után sem történik meg.
A túszejtő vírusok leggyakrabban webes felületekről vagy email-ből kerülnek a számítógépekre, a letöltés általában a háttérben folyik, a felhasználó tudta nélkül. A webes felületről érkező fertőzés az úgynevezett drive-by letöltés, amelynek során a felhasználó böngészés közben találkozik a támadó rejtett iFrame elemével, amely egy másodlagos weboldalra irányítja a böngészőt, ahol a rosszindulatú program található. Ha a felhasználó gépe nincs kellő védelemmel felszerelve, akkor a böngésző letölti a vírust, az pedig feltelepül a számítógépre. A működésbe lépő ransomware a programok futásának megakadályozásával blokkolja a számítógépet, illetve titkosítja az adatokat. Ezután egy IP cím azonosító program segítségével kideríti, hogy hol van a fertőzött gép, majd megjelenik a lokalizált hamis rendőrségi kép, amely a büntetés befizetésére utasítja a felhasználót.
A biztonságtudatos gondolkodás jegyében a CDSYS szakemberei a zsarolóknak való fizetés és az utólagos adatmentési próbálkozások helyett inkább a megelőzést és a megfelelő védelem alkalmazását javasolják a túszejtő vírusok kellemetlen hatásai ellen. A védelmi megoldások széles skálája vethető be a ransomware programok ellen. Alkalmazhatunk hálózat-alapú védelmet (IPS), amely minden illetéktelen hálózati aktivitást blokkol vagy a gyanús műveleteket megakadályozó viselkedés-alapú védelmet. Szintén fontos védekezési forma a hírnév-alapú védelem, amely a fertőzött weboldalak látogatásától, illetve a vírusfájlok weboldalról való letöltésétől védi meg a felhasználót, de az olyan adott állapotot visszaállító megoldások használata, mint a Norton Boot Recovery is ajánlott.