Korántsem mindig nyilvánvaló, az erre utaló jelek dacára sem, hogy a számítógép vagy a hálózatra csatlakozó eszközök felett zsarolóvírus vette át az irányítást. Előfordulhat, hogy a távoli felhasználók csupán annyit érzékelnek a kiszolgálót és a tárolókat ért támadásból, hogy elérhetetlenekké váltak a megosztott könyvtárak, nem nyithatóak meg az állományok - mindaddig, amíg a rendszergazda nem bukkan rá a zsarolóüzenetre.
Miből tudható biztosan, hogy ransomware-támadás áldozatai lettünk? A legnyilvánvalóbb, ha a képernyőn váltságdíj fizetésére felszólító üzenet világít a szemünkbe. Aki ilyet lát, teljesen biztos lehet abban, hogy képernyőzároló zsarolóvírus áldozata lett.
Windowsos gépeken nem ismeretlen hibajelzés, hogy "A Windows nem tudja megnyitni ezt a fájlt. Mit kíván tenni? - A webes szolgáltatással megkeresem a megfelelő programot - Kiválasztom a listából". Macen ugyanennek a párja: "Nem található alkalmazás a dokumentum megnyitásához… Keressen alkalmazást az App Store-ban vagy válasszon egyet a számítógépről." Ezeknek bizony kódolóvírus is lehet az oka.
Mindenkinek ismerős fájlformátumok, mint a .doc, .exe, .pdf vagy .jpeg helyett furcsa, megváltozott vagy hiányzó formátumnevek árulkodhatnak a vírus jelenlétéről. A .crypted vagy .cryptor kiterjesztésű fájlok nem társíthatók alkalmazással, ez az ikonjaikból is látszik.
Végül pedig biztosra vehető a zsarolóvírusos támadás akkor, ha az elkövető fizetési felszólítást hagyott. Minthogy pénzt akar, az üzenetnek jól olvashatónak és könnyen fellelhetőnek kell lennie. Többnyire .txt vagy .html kiterjesztésű fájlokat kell keresni, általában olyasféle, nagybetűs szöveggel, hogy "_NYISS KI", "_KÓDOLD KI A FÁJLOKAT" vagy "_AZ ÁLLOMÁNYOKAT TITKOSÍTOTTUK".
Bekaptuk, mit tegyünk?
Nos, Mike Cobb, a DriveSavers adatbiztonsági cég főmérnöke szerint az utasítást tartalmazó fájlra csak akkor kattintsunk, ha készek vagyunk fizetni. A Trend Micro szakértője, Christopher Budd viszont semmilyen körülmények között nem tartja elfogadhatónak a fizetést. Egy pillanatig se felejtsük el, mondja, hogy bűnözőkkel állunk szemben, így semmi garanciánk nincs arra, hogy visszakapjuk, amit elvettek tőlünk. Receptje: válasszuk le a gépet a hálózatról, állítsuk helyre a tartalmat a biztonsági mentésből, és ha ez sem segít, forduljunk adatmentő szakértőkhöz.
Ideális esetben az informatikáért felelős csoport kész stratégiával rendelkezik zsarolóvírusok okozta támadásra - ezt már a kritikus infrastruktúrákkal foglalkozó intézet, az ICIT (Institute for Critical Infrastructure Technology) ajánlása szögezi le. Ennek értelmében a választ az határozza meg, mennyire kockázatviselő a szervezet, mit lehet kezdeni a zárolt adatokkal, milyen hatással van a támadás az üzletmenet folytonosságára, működnek-e redundáns rendszerek, milyen szabályozások vannak érvényben.
További tennivalók
Jó esetben az információbiztonság felelősei azonnal készek a válasszal: értesítik a felettes szerveket és hatóságokat, előírt idő alatt megszüntetik az adatszivárgás lehetőségét, a mentésekből visszaállítják a rendszert és dokumentálják az incidenst. Amennyiben nincs backup vagy a másolat is sérült, külső segítséget kérnek.
Előfordulhat, hogy az állományok csak részben sérültek vagy titkosítottak. Az áldozat azonban nem lehet biztos abban, hogy nem lapul még valahol zsarolóvírus, hátsó ajtó vagy más kártevő. Az elsődleges fertőzés forrása lehetett emberi hiba, korábbi fertőzés. Zsarolóvírusokkal szemben a rendszer-helyreállítás az egyetlen orvosság. Backup nélkül kevés az esély, mert a vírusok többsége az állomány-helyreállítást segítő alkalmazásokat is bénítja, így elveszítjük az utolsó fertőzésmentes állapot visszaállításának lehetőségét.
Olykor az elkövető maga ajánl fel dekódoló kulcsot vagy fizetés után feloldja a titkosítást, mert máskülönben aligha jutna pénzhez. Ez esetben érdemes a nyomába eredni, mert az ilyen bűnözők valószínűleg felbukkannak a lopott adatokkal az interneten. Egyesek pedig véletlenszerűen kiválasztott állományokat kódolnak, mondván, ha egyszer fizetünk, érdemes visszatérniük, újra támadniuk.
A cég árbevételéhez képest elenyésző összegű váltságdíjnál észszerű fontolóra venni a hibrid megoldást, javasolja az ICIT. Ez annyit jelent, hogy már alkudozás közben meg kell kezdeni a helyreállítást - főleg, ha a leállás okozta veszteség fájdalmasabb, mint a váltságdíj.