Zsarolóvírus támadás
Kedves Kollégák!
Az elmúlt időszakban megnőtt a zsarolóvírus támadások száma. A vírus e-mailben, gyanús tartalmú webhelyek meglátogatásával vagy rosszindulatú reklámokkal terjed. Sajnos a levelezést szűrő rendszerek és a helyi vírusvédelmi megoldások nem tudják folyamatosan követni a vírus letöltésének helyét, a vírus kódját így különösen fontos, hogy csak olyan e-mail csatolmányt nyissanak meg, ahol ismert a partner, kapcsolatban vannak vele, várható, hogy csatolmány érkezik az adott helyről. A csatolmányok megnyitása előtt mindig gondolják át, hogy lehetséges-e, hogy támadás történik?
Jelenleg különösen aktív a .PLAY nevű variáns, több kkv és szerverezet esetében történt sikeres támadás. A vírus a számítógépen található dokumentumokat titkosítja a fájlok kiterjesztését .play-re módosítja majd az asztalon egy ReadMe.txt nevű fájlban egy e-mail címet ad meg a kapcsolatfelvételre. A titkosított dokumentumok visszafejtésére jelenleg nincs ismert megoldás, a kapcsolatfelvételt nem javasoljuk, mert nem ismert, hogy milyen összeget kérnek a visszaállításért és nem garantált, hogy valóban visszaállítják-e a fájlokat. A dokumentumok helyreállítása biztonságosan csak a korábban készített mentésekből lehetséges. A vírus az operációs rendszerek és alkalmazások sebezhetőségeit kihasználva terjed a belső hálózaton is, ezért az alábbi lépések megtételét javasoljuk:
- A fertőzés érzékelése után a számítógépet haladéktalanul válasszák le a hálózatról. Húzzák ki a vezetékes hálózat kábelét, szüntessék meg az esetleges wifi kapcsolatot. Egy másik számítógép használatával értesítsék az Egyetemi Informatikai Központot a help@sze.hu e-mail címen az esetről.
- Az egyetemi központi fájlszervereken (fs2, fs3) tárolt dokumentumokról napi biztonsági mentés készül, így ha a szervezetének a közös könyvtára kerülne titkosításra, akkor az előző napi mentés visszatölthető, de a napi munka elveszítése is kárt okoz az egyetem számára! Győződjenek meg arról, ha a számítógépükön dokumentumokat tárolnak, akkor arról legyen biztonsági mentés olyan adathordozón, ami nincs folyamatosan csatlakoztatva a számítógéphez.
- Ellenőrizzék, hogy a számítógépükre a frissítések rendben telepítésre kerültek-e? Windows 10 esetén a Start menü/Gépház/Frissítések és Biztonság beállításoknál ellenőrizhető, hogy a számítógép naprakész-e?
Az Nemzeti Kibervédelmi Intézet tájékoztatója: https://nki.gov.hu/figyelmeztetesek/tajekoztatas/tajekoztatas-play-ransomware-rel-kapcsolatban/
A 4iG Nyrt bejelentése: https://www.4ig.hu/4ig-soc-figyelmeztetes_-uj-zsarolovirus-vette-celkeresztbe-a-magyar-kkv-kat_
Csábi Béla
EIK Központvezető