Mekkora kárt okozhat egy zsarolóvírus támadás?

Zsarolóvírus (ransomware) alatt olyan kártékony szoftvert értünk, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatokat, amelyeket aztán csak váltságdíj megfizetése esetén tesz újra elérhetővé. Az ilyen típusú károkozók néhány közös jellemzője, hogy:

• titkosítják az állományokat;
• zsaroló üzenetet jelenítenek meg;
• határidőt szabnak a váltságdíj kifizetésére;
• törlik az állományok egy részét;
• az idő múlásával egyre több állományt tesznek végleg visszaállíthatatlanná.
  
  

A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalak útján történő fertőződés. Az is jellemző, hogy sérülékenységet, hibás konfigurációt, vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek a rendszerhez.

Tételezzük fel, hogy egy 50 fős vállalkozást zsarolótámadás ér és leáll a termelés, mivel nem férnek hozzá a szükséges adatokhoz, leáll a céges levelezés.

Egy ilyen támadás esetén a vírus beférkőzhet a teljes informatikai rendszerbe. Ebben az esetben titkosítja az összes adatot, elérhetetlenné teszi az informatikai rendszert, ezzel megbénítja a teljes cég működését.

Támadás esetén két megoldás áll rendelkezésre a döntéshozóknak:

1. teljesítik a támadók követeléseit, ez azonban nem garantálja azt, hogy adataik épségben visszakerülnek hozzájuk, hiszen a támadók sok esetben nem rendelkeznek megfelelő eszközökkel a vírus visszafejtéséhez. A jellemző az, hogy a zsarolókról soha többet nem hallunk, a pénzünknek pedig nyoma vész.
2. elkezdik az informatikai rendszer helyreállítását saját és/vagy külső informatikai szakértők segítségével, megpróbálják helyreállítani a teljes rendszert, ami rengeteg idő és pénz ráfordítást igényel.
   
   

A helyreállítás többlépcsős és munkaigényes feladat:

1. először is, meg kell állítani a további fertőzést, le kell állítani a teljes informatikai rendszert, a szervereket, adattárolókat, klienseket elzárni egymástól.
2. másodszor lokalizálni kell a fertőzött eszközöket és el kell választani a nem fertőzöttektől. Fontos, hogy a zsaroló vírus nem feltétlenül ott fut, ahol az adatok megsemmisültek, ezért már önmagában ez a lépés sem egyszerű feladat.
3. ha behatároltuk a gócpontot, meg kell szüntetni azokon a fertőzést - ez sokszor a rendszer teljes újratelepítését jelenti, ami nem kevés kieséssel és munkával jár.
4. a nem fertőzött rendszereket vissza lehet kapcsolni a vérkeringésbe, ilyenkor már lassan elindulhat újra a munka, bár hiányozni fognak fájlok, levelező postafiókok, szolgáltatások.
5. a kiesett szolgáltatásokat újra kell indítani, újratelepíteni illetve az elveszett adatot mentésből - máshonnan csak kicsi eséllyel fogjuk tudni - visszaállítani.
   

Abban az esetben, ha nem rendelkeznek megfelelő mentési metódussal, vagy a támadás érinti a mentést tartalmazó tárhelyeket is, a helyreállítás akár hetekig is eltartathat. Ez idő alatt a vállalkozás termelése, kommunikációja áll és ha ez mind nem lenne elég nagy kár, a helyreállítás költsége megközelítheti a több 10, de akár 100 millió forintos nagyságrendet is. Ha egyáltalán sikerül helyreállítani a bekódolt adatokat.

Az összegek igen nagynak tűnhetnek, de ebben az esetben teljesen reálisak, ugyanis egy incidens utáni helyreállítás a fentiekből is látszik, igencsak komplex feladat. Ez az összeg az esetek döntő többségében nemcsak a működőképesség visszaállítását jelenti, hanem magába foglalja az eset tanulságait levonva új megoldások bevezetését, illetve a korábbi hiányosságok pótlását is.

Ha szeretne többet tudni a témában, vagy Önt is érte már hasonló támadás, keressen minket bizalommal elérhetőségeink egyikén és segítünk, hogy biztonságosabb környezetben dolgozhasson!