A „számítógépes vírus” fogalmát a magyar vállalkozásokban sokszor gyűjtőfogalomként használják minden kártékony szoftverre. Technikailag azonban ez egy szűk kategória a malware tágabb fogalmán belül — és 2026-ban a tényleges fenyegetések csak kis töredékét képviseli. Ez a cikk részletezi a fenyegetési képet és konkrét ajánlásokat ad KKV-knak.

A kibervédelem tágabb kontextusáért lásd a Vállalati adatok kiberbiztonságáról szóló pillar cikket.

Malware tipológia: mi micsoda

Vírus (szűk definíció)

Az eredeti jelentés — egy program, amely más fájlokhoz csatolódva terjed és felhasználói cselekvést igényel (a fertőzött fájl megnyitása). A 90-es évek klasszikus PC-vírusei, amelyek .exe fájlokat fertőztek meg floppylemezen.

2026-ban: marginális fenyegetés. A modern operációs rendszerek rendelkeznek kártékony program-ellenőrzésekkel, a fájlvírusokat általában íráskor észlelik.

Féreg (Worm)

Önmaga terjedő malware — nem igényel gazdafájlt, hálózati sérülékenységeken keresztül terjed magától. Klasszikus példák: WannaCry (2017, az EternalBlue SMB protokoll sérülékenységét használta), NotPetya (2017, pusztító támadás a Maersk ellen).

2026-ban: a WannaCry/NotPetya után a hálózati operációs rendszerek jobban foltozottak, de az örökölt infrastruktúránál (Windows Server 2012, nem frissített VPN átjárók) még mindig fenyegetés.

Trójai

Legitim szoftvernek álcázott. A leggyakoribb belépési vektor 2026-ban — a felhasználó „feltört” szoftvert tölt le, „ingyenes PDF-konverterről” tölt le valamit vagy fertőzött mellékletet nyit meg. A trójai futás után kártékony műveletet hajt végre (sokszor további malware-t telepít — ransomware-t, info-stealert).

Alkategóriák:

  • Banki trójai — banki hitelesítő adatokat lop. Példák: Emotet, TrickBot, QakBot.
  • RAT (Remote Access Trojan) — a támadó távelérése az eszközhöz.
  • Dropper — csak további malware-t telepít, maga „tiszta”.

Ransomware

A kiberfenyegetések királya 2026-ban. Titkosítja az eszközön és/vagy a hálózaton lévő fájlokat, váltságdíjat követel a visszafejtési kulcsért. A modern ransomware-nek gyakran kettős zsarolás is van — ha nem fizet, az adatokat nyilvánosságra hozzák.

Az EU-ban 2025/2026-ban aktív top ransomware csoportok: LockBit (legaktívabb), BlackCat / ALPHV, Cl0p, Royal, Akira. 10–100 millió EUR árbevételű közepes méretű vállalatokat céloznak.

Egy ransomware incidens átlagos kára magyarországi KKV-nál: 80 000–350 000 EUR.

Spyware és stealer

  • Spyware — felhasználói adatokat gyűjt (billentyűleütések, képernyőképek, böngészési előzmények).
  • Info-stealer — hitelesítő adatok kinyerésére specializált spyware. Példák: RedLine, Vidar, Raccoon. Fertőzés után a támadó a dark weben eladja a vállalati hitelesítő adatait (jellemzően 5–50 USD rekordként).

Rootkit

Mélyen elrejti jelenlétét az OS szintjén. Sokszor az operációs rendszer újratelepítése után is megmarad (firmware rootkitek). Felderítés speciális eszközöket igényel (Microsoft Defender Offline scan, GMER, Malwarebytes Anti-Rootkit).

Fájl nélküli malware

Csak RAM-ban fut, nincs fájl a lemezen — a klasszikus víruskereső nem észleli. Az OS legitim eszközeit használja (PowerShell, WMI, MSHTA) kártékony műveletekhez. 2026-ban a fejlett támadások 30%-át teszi ki.

Észlelés: kizárólag viselkedésalapú EDR.

Kriptobányász

A vállalati eszközök számítási teljesítményét a támadó javára kriptovaluta bányászatához (jellemzően Monero) használja. Tünetek: az eszközök lassulása, megnövekedett energiafogyasztás, hardver kopása. Kevésbé káros, mint a ransomware, de sokszor szélesebb körű kompromittálás jelzője.

Belépési vektorok: hogyan kerül a malware a vállalatba

2026-ban három vektor dominál:

1. Adathalász e-mail (az incidensek 60%-a)

A támadó fertőzött melléklettel (sokszor .zip, .iso, makrót aktiváló .docx vagy .xlsm) vagy exploit kit linkkel küld e-mailt. A megnyitás vagy a makró aktiválása elindítja a malware-t.

Védelem:

  • E-mail átjáró adathalász ellenőrzéssel és mellékletek sandboxolásával (Microsoft Defender for Office 365, Proofpoint, Mimecast)
  • Alapértelmezetten letiltott makrók az Office alkalmazásokban
  • URL átírás (a kattintások biztonsági proxyn mennek keresztül)
  • Alkalmazottak képzése

2. Kompromittált szoftversérülékenységek (25%)

A támadó kihasználja a vállalat szoftverének nem javított sérülékenységét — leggyakrabban:

  • VPN átjárók (Fortinet, Pulse Secure, SonicWall — visszatérő célpontok)
  • E-mail szerverek (Exchange ProxyShell, ProxyLogon)
  • Webalkalmazások (sebezhető bővítmény, SQL injection)
  • Windows / macOS driver bugok

Védelem:

  • Havi javítási ciklus
  • EOL szoftver kivétel nélkül leváltandó
  • Sérülékenység-szkennelés (Tenable Nessus, Qualys, Rapid7)

3. Kompromittált hitelesítő adatok (15%)

A támadó megszerzi a jelszót (adathalászatból, info-stealerből, vagy egy másik szolgáltatásból kiszivárgott adatokból) és legitim módon bejelentkezik. 2FA nélkül nincs védelem.

Védelem:

  • 2FA / passkey kötelezően
  • Jelszókezelő (kiküszöböli az ismételt használatot)
  • Dark web figyelés kiszivárgott hitelesítő adatokra (Have I Been Pwned, SpyCloud)

EDR vs. klasszikus víruskereső

A legfontosabb technológiai döntés a végpont biztonságnál 2026-ban.

SzempontVíruskereső (szignátura alapú)EDR (viselkedés alapú)
Ismert fenyegetések észleléseIgen (~95%)Igen (~98%)
Zero-day fenyegetésekGyenge (~30%)Jó (~80%)
Fájl nélküli malwareNemIgen
Ransomware viselkedési elemzésKorlátozottIgen
Törvényszéki idővonal incidens utánMinimálisTeljes
Végpont távoli izolálásaNemIgen (1 kattintás)
Fenyegetésvadász képességNemIgen
Ár (per seat / hó)2–5 EUR5–15 EUR

Ajánlott EDR-szállítók KKV-k számára:

  • Microsoft Defender for Endpoint (sokszor az M365 E5 részeként) — legjobb érték a Microsoft ökoszisztémában lévő vállalkozásoknak
  • CrowdStrike Falcon — prémium szegmens
  • SentinelOne — erős az autonóm válaszban
  • ESET PROTECT — jó érték, ismert középeurópai szállító
  • Bitdefender GravityZone — erős az EU KKV szegmensben

Ransomware védelem: 7 rétegű megközelítés

A ransomware 2026-ban a legdrágább incidens-kategória. A védelemnek rétegesnek kell lennie.

1. réteg: Belépés megelőzése

  • E-mail biztonság sandboxszal
  • Web szűrés (kártékony domain blokkolása)
  • Javításkezelés
  • 2FA minden hozzáférésen

2. réteg: Végpont védelem

  • EDR ransomware viselkedési észleléssel
  • Alkalmazás engedélyezési lista (Microsoft Defender Application Control)
  • Kockázatos funkciók letiltása (PowerShell távoli, internetes makrók)

3. réteg: Hálózati szegmentálás

  • Termelői szerverek, irodai hálózat, IoT elválasztása
  • Nincs széles körű adminisztrátori megosztás (\\server\admin$)
  • Mikro-szegmentálás felhőkörnyezetben

4. réteg: Identitás megerősítés

  • Privilegizált hozzáférés kezelése (PAM) — admin fiókok jelszavai tárhelyen
  • Just-in-time admin (admin jogok csak szükség esetén)
  • 2FA minden admin fiókon (passkey ideálisan)

5. réteg: Mentések 3-2-1-1-0

A legfontosabb védelem. Működő nem módosítható mentés nélkül a ransomware az üzlet végét jelenti.

  • 3 adatmásolat
  • 2 különböző adathordozó
  • 1 helyszínen kívül
  • 1 nem módosítható / légréses
  • 0 hiba a helyreállítási tesztnél (évente 1×)

6. réteg: Észlelés és reagálás

  • 24/7 SOC vagy MDR (Managed Detection and Response)
  • Anomáliaészlelés ransomware indikátorokra (tömeges fájlmódosítás, titkosítási minták)
  • Incidens-reagálási runbook előkészített lépésekkel

7. réteg: Kiberbiztosítás

A kiberbiztosítás fedezi a közvetlen károk egy részét, jogi költségeket, értesítési kötelezettségeket és néha a váltságdíjat is. Ár: évi 5 000–25 000 EUR közepes méretű vállalatnál.

Eljárás fertőzés esetén: 5 azonnali lépés

Ha gyanítja vagy biztosan tudja, hogy az eszköz fertőzött:

  1. Azonnal válassza le a hálózatról — húzza ki az ethernet-kábelt, kapcsolja ki a Wi-Fi-t. Cél: megállítani a terjedést és a kommunikációt a támadó command-and-control szerverével.
  2. Ne kapcsolja be és ne kapcsolja ki az eszközt — megőrizze a RAM állapotát törvényszéki elemzéshez. Sok fontos nyom (folyamatok, hálózati kapcsolatok, visszafejtési kulcsok) csak a RAM-ban van.
  3. Azonnali bejelentés az IT-nek — telefonon, másik eszközről, Slack/Teams-en másik számítógépről. Soha ne fertőzött eszközről.
  4. Ne használja más vállalati rendszereket az eszközről — ne adjon meg jelszavakat, ne ellenőrizze az e-mailt. Ha az elmúlt órákban megadott hitelesítő adatokat, azonnal változtassa meg azokat másik eszközről.
  5. Az IT elvégzi:
    • Törvényszéki elemzés (a kompromittálás mértéke, a támadás indikátorai)
    • Hálózati izolálás
    • Felhasználói hitelesítő adatok visszaállítása
    • A lemez törvényszéki képe (esetleges későbbi vizsgálathoz)
    • Helyreállítás biztonsági mentésből vagy OS újratelepítése

Ransomware esetén: NE FIZESSE A VÁLTSÁGDÍJAT

A NAIH, az NBSZ és a rendőrség nem ajánlja a fizetést három okból:

  1. Nincs garancia a működő kulcsra — a fizetők 35%-a semmit nem kap, vagy csak részleges kulcsot.
  2. Finanszírozza a további támadásokat — a ransomware csoportok a bevétellel skálázódnak.
  3. Sérthet szankciós rendelkezéseket — ha a csoport szankciós listán van (LockBit, egyes eredetileg orosz szereplők), a fizetés szankciós szabálysértés.

Jobb a biztonsági mentésből való helyreállításba és a jövőbeli megelőzésbe fektetni.

Értesítési kötelezettségek

Komoly incidens esetén törvényes bejelentési kötelezettségei vannak:

  • GDPR 33. cikk — érintett személyek jogaira kockázatot jelentő incidens: NAIH-nak 72 órán belül
  • GDPR 34. cikk — magas kockázat: érintett személyek értesítése
  • NIS2 — szabályozott szektorok: NBSZ korai figyelmeztetés 24 órán belül, hivatalos bejelentés 72 órán belül
  • DORA — pénzügyi szektor: MNB / ČNB
  • Szerződéses — az ügyfelek sokszor 24–72 órás értesítési kötelezettséget tartalmaznak a szerződésekben

Készítse el az értesítési sablonokat előre, hogy incidens esetén ne veszítsen kritikus órákat.

Modulario és a malware elleni védelem

A Modularioban beépített intézkedések vannak, amelyek megakadályozzák a fertőzési vektorok sok részét:

  • EU hosting ISO 27001 tanúsított infrastruktúrával — biztonsági monitoring, EDR minden szerveren
  • Titkosított biztonsági mentések 7 napos nem módosíthatósággal — ransomware a szolgáltató infrastruktúrájából gyakorlatilag kizárva
  • Sandbox a fájl feltöltésekhez — feltöltött mellékletek vizsgálva
  • Sebességkorlátozás és anomáliaészlelés az API-ban
  • Audit log minden műveletről törvényszéki nyomként incidens után

A tágabb vállalati kibervédelmi intézkedésekért lásd a Vállalati adatok kiberbiztonságáról szóló pillar cikket és az Internetes biztonság vállalkozásoknak cluster cikket.

Gyakran ismételt kérdések

Mi a különbség a vírus és a malware között? A malware gyűjtőfogalom minden kártékony kódra — vírusok, trójaiak, ransomware, spyware, férgek. A vírus egy specifikus malware-típus, amely más fájlokhoz csatolódva terjed és felhasználói cselekvést igényel (megnyitás). 2026-ban a klasszikus vírus csak kis részét teszi ki a fenyegetéseknek — a trójaiak (a fertőzések 90%-a) és a ransomware dominálnak.

Elég-e a klasszikus víruskereső? 2026-ban nem. A klasszikus szignáturon alapuló víruskeresők csak ismert fenyegetéseket észlelnek és a támadások 60–70%-a ellen hatékonyak. A modern EDR (Endpoint Detection and Response) rendszerek viselkedésalapú észlelést alkalmaznak, amely az ismeretlen (zero-day) fenyegetéseket is elfogja. Vállalati telepítésnél az EDR (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne, ESET PROTECT) kötelező standard, a klasszikus víruskereső elégtelen.

Mit kell tenni, ha a számítógép fertőzött? Öt azonnali lépés: (1) az eszköz leválasztása a hálózatról (ethernet kábel + Wi-Fi), hogy a malware ne tudjon terjedni, (2) az eszközt nem szabad bekapcsolni vagy kikapcsolni — megőrzendő az állapot törvényszéki elemzéshez, (3) bejelentés az IT-osztálynak vagy a belső #security-incident csatornán, (4) NE ADJON MEG jelszavakat és ne csatlakozzon más szolgáltatásokhoz az eszközről, (5) az IT törvényszéki elemzést, izolálást és helyreállítást végez. Ransomware esetén: NE FIZESSE A VÁLTSÁGDÍJAT — általában nem segít, finanszírozza a támadókat és ráadásul szankciós rendelkezéseket sert.