Mikor forduljak külsős IT üzemeltetőhöz?
2022.07.31.
Honnan ismerhetjük fel az adathalász e-maileket?
2022.08.27.Újabb veszélyes zsarolóvírus
A hazai vállalatokat támadja
A napokban Magyarországon is felbukkant az a gyorsan terjedő zsarolóvírus, ami elsősorban kis-és középvállalatok IT rendszerében okoz hatalmas károkat. A váltságdíjat követelő Play Ransomware programot a világon elsőként Németországban észlelték, és eddig nem látott módszerrel támad. Egy esetleges zsarolóvírus (ransomware), hackertámadás katasztrofális hatásait sajnos nem tudjuk elégszer hangsúlyozni – korábbi cikkeinkben is írtunk azok jellemzőiről és veszélyéről. Az új „Play” zsarolóvírus megjelenése még inkább rávilágít arra a feladatra, hogy a tudatos felkészülés és védekezés elengedhetetlen, ha nem szeretnénk azzal szembesülni, hogy céges informatikai rendszerünket és adatainkat pillanatok alatt túszul ejtették és komoly váltságdíjat követelnek érte.
Hogyan működik az új vírus?
A Play Ransomware a számítógépeken lévő fájlokhoz a „.play” kiterjesztést csatolja, és így zárolja az azokban lévő adatokat. A váltságdíjat nem a megszokott kriptovaluta-módszerrel követeli, hanem egy .txt szövegfájlt helyez ki a gép asztalára. Ebben a txt kiterjesztésű fájlban egyetlen e-mail cím található, amelyre a váltságdíjat kéri az adatok visszaszolgáltatásáért cserébe. Választ viszont eddig több áldozat sem kapott a megadott címről - írja közleményében a SOC.
A titkosított fájlok visszafejtésére és arra, hogyan jut be a kiszemelt végpontra a Play zsarolóvírus még nincs kiforrott válasz, de az már látható, hogy több gépből álló belső hálózaton belül tud mozogni, azaz oldalirányú mozgásra képes a rendszerben. Ez azért rendkívül veszélyes, mert ha több szerver van összekötve egy hálózatban az elsőként megfertőződött végponttal, akkor az könnyen átterjedhet más szerverekre. Ezáltal titkosíthatja valamennyi fontos céges adatunkat, a helyi mentéseket is!
Hogyan juthat be a gépünkbe a Play Ransomware?
Íme néhány opció, ami más zsarolóvírusok esetén is jellemző a számítógép megfertőzésére:
- e-mailek gyanús csatolmányain keresztül,
- internet felől nyitott SSH-, RDP-, FTP-szolgáltatások gyenge jelszavai által
- internet felől elérhető sérülékeny szolgáltatásokkal (pl. webszerver, owa, exchange),
- valós programnak álcázott, de nem hivatalos oldalról letöltött programmal, amely valójában maga a malware (legjellemzőbb pl. Skype, Teams, Chrome, Firefox, Winscp stb.).
Mi a legfontosabb teendő, ha észleljük a vírust?
Ha egy számítógép megfertőződését tapasztaljuk, melyen elindult a vírus titkosítási folyamata, azonnal válasszuk le a hálózatról (izoláljuk), hogy ne terjedhessen tovább a hálózaton belüli többi gépre.
Annak érdekében, hogy a fertőzött végponton IT szakemberek elemezni tudják a vírus által okozott károkat, izolált, de bekapcsolt számítógépre van szükség. Egyelőre még nem elérhető megbízható eszköz az adatok visszafejtéséhez, de a jövőre nézve érdemes a már titkosított adatokat megőrizni… a későbbiekben egy új módszer segítségével remélhetőleg visszaszerezhetők lesznek a titkosított fájlok.
Keresse bizalommal tapasztalt rendszergazdáinkat!
Írja meg nekünk, milyen jellegű informatikai kihívások adódtak cégénél, és biztos lehet benne, hogy rendszergazda csapatunk talál rá profi megoldást!
Az űrlap kitöltése semmiféle kötelezettséggel nem jár.
TELEFON
ÜGYELET
CÍM
Fő fasor 112.