Ransomware vysvětlil: jak to funguje a jak jej odstranit
definice ransomwaru
Ransomware je forma malwaru, která šifruje soubory oběti. Útočník pak od oběti požaduje výkupné, aby po zaplacení obnovil přístup k datům.
uživatelům jsou zobrazeny pokyny, jak zaplatit poplatek za získání dešifrovacího klíče. Náklady se mohou pohybovat od několika set dolarů až po tisíce, splatné kybernetickým zločincům v Bitcoinu.
jak ransomware funguje
existuje řada vektorů, které může ransomware získat pro přístup k počítači., Jedním z nejběžnějších doručovacích systémů je phishingový spam — přílohy, které přicházejí k oběti v e-mailu a maskují se jako soubor, kterému by měli důvěřovat. Jakmile jsou staženy a otevřeny, mohou převzít počítač oběti, zejména v případě, že mají vestavěné nástroje sociálního inženýrství, které přimět uživatele, aby přístup k administrativě. Některé další, agresivnější formy ransomwaru, jako je NotPetya, využívají bezpečnostní otvory k infikování počítačů, aniž by museli oklamat uživatele.,
existuje několik věcí, které by malware mohl udělat, jakmile převezme počítač oběti, ale zdaleka nejčastější akcí je šifrování některých nebo všech souborů uživatele. Pokud chcete technické podrobnosti, Infosec Institute má velký hloubkový pohled na to, jak několik příchutí ransomware šifruje soubory. Nejdůležitější je však vědět, že na konci procesu nelze soubory dešifrovat bez matematického klíče známého pouze útočníkem., Uživateli se zobrazí zpráva vysvětlující, že jejich soubory jsou nyní nepřístupné a budou dešifrovány pouze v případě, že oběť pošle útočníkovi nevysledovatelnou platbu Bitcoin.
V některých forem malware, útočník by mohl tvrdit, že vymáhání práva agentury vypnutí oběť“s počítačem v důsledku přítomnosti pornografie nebo pirátský software na to, a požaduje zaplacení „pokuty“, možná aby se oběti méně pravděpodobné, že hlásit útok na úřady. Ale většina útoků neobtěžují s touto záminkou., Existuje také variace, volal leakware nebo doxware, ve kterém útočník hrozí zveřejnit citlivá data na pevném disku oběti, pokud není zaplaceno výkupné. Ale protože nalezení a extrahování takových informací je pro útočníky velmi choulostivým návrhem, šifrování ransomware je zdaleka nejběžnějším typem.
kdo je cílem ransomwaru?
existuje několik různých způsobů, jak útočníci vybírají organizace, na které se zaměřují pomocí ransomwaru., Někdy je to otázka příležitosti: například, útočníci mohou zacílit na univerzity, protože mají tendenci mít menší bezpečnostní týmy a různorodou uživatelskou základnu, která dělá hodně sdílení souborů, což usnadňuje proniknout jejich obranu.
na druhou stranu, některé organizace jsou lákavé cíle, protože se zdá, že s větší pravděpodobností zaplatí výkupné rychle. Například vládní agentury nebo zdravotnická zařízení často potřebují okamžitý přístup ke svým souborům., Právní firmy a další organizace s citlivými daty, může být ochotni zaplatit, aby zprávy o kompromis, klid — a tyto organizace mohou být jedinečně citlivé na leakware útoky.
ale nemáte pocit, že jste v bezpečí, pokud se nehodíte do těchto kategorií: jak jsme poznamenali, některé ransomware se šíří automaticky a bez rozdílu přes internet.
jak zabránit ransomware
existuje řada obranných kroků, které můžete podniknout, abyste zabránili infekci ransomware., Tyto kroky jsou samozřejmě dobré bezpečnostní postupy v obecné, tak po nich zlepšuje svou obranu před všemi druhy útoků:
- Udržet váš operační systém, oprava a up-to-date, aby zajistily, že máte méně zranitelná místa využít.
- neinstalujte software ani mu nedávejte oprávnění pro správu, pokud přesně nevíte, co to je a co dělá.
- nainstalujte antivirový software, který detekuje škodlivé programy, jako je ransomware, a whitelisting software, který zabraňuje neoprávněným aplikacím v provádění na prvním místě.,
- a samozřejmě zálohujte soubory často a automaticky! To nebude zastavit malware útok, ale to může způsobit škody způsobené jedním mnohem méně významné.
odstranění ransomwaru
Pokud byl váš počítač infikován ransomwarem, budete muset znovu získat kontrolu nad vaším strojem.,onstrating, jak to udělat na Windows 10. zařízení:
video má všechny detaily, ale důležité kroky jsou:
- Restartovat Windows 10 do nouzového režimu
- Instalovat antimalware software
- Skenování systému najít ransomware program,
- Obnovit počítač do předchozího stavu
Ale tady“je důležité mít na paměti: při chůzi po těchto krocích, můžete odstranit malware z vašeho počítače a obnovit je na vaše ovládání, a to vyhrál“t dešifrování souborů., Jejich transformace do nečitelnost se již stalo, a pokud malware je vzdělán, to bude matematicky nemožné, aby někdo dešifrovat je bez přístupu ke klíči, že útočník drží. Ve skutečnosti tím, že odstraní malware, jste vyloučil možnost obnovení souborů tím, že zaplatí útočníkům výkupné, které jsem požádal o.
ransomware fakta a čísla
Ransomware je velký byznys. V ransomwaru je spousta peněz a trh se od začátku desetiletí rychle rozšiřoval., V roce 2017, ransomware vyústila v $5 miliard ztráty, a to jak z hlediska výkupné zaplaceno a výdaje a ztracený čas na zotavení z útoků. To je nahoru 15 doba od 2015. V prvním čtvrtletí roku 2018 shromáždil pouze jeden druh softwaru ransomware, SamSam, výkupné ve výši 1 milionu dolarů.
některé trhy jsou obzvláště náchylné k ransomwaru-a k zaplacení výkupného., Mnoho high-profil ransomware útoky, k nimž došlo v nemocnicích nebo jiných zdravotnických organizací, které tvoří lákavé cíle: útočníci vědět, že se život doslova na vlásku, tyto podniky jsou více pravděpodobné, že prostě platit relativně nízké výkupné, aby se problém zmizí. Odhaduje se, že 45 procent ransomware útoky cílí na zdravotnické orgány, a naopak, že 85 procent malware infekcí ve zdravotnictví orgs jsou ransomware. Další lákavé odvětví? Sektor finančních služeb, což je, jak skvěle poznamenal Willie Sutton, kde jsou peníze., Odhaduje se, že 90 procent finančních institucí byly zaměřeny útokem ransomware v roce 2017.
váš anti-malware software nebude nutně chránit vás. Ransomware je neustále psán a vylepšován jeho vývojáři, a proto jeho podpisy často nejsou zachyceny typickými antivirovými programy. Ve skutečnosti až 75 procent společností, které se stanou oběťmi ransomwaru, běželo na infikovaných strojích aktuální ochranu koncových bodů.
Ransomware není tak rozšířený jako dříve., Pokud chcete trochu dobrých zpráv, to“y: počet ransomware útoky, poté, co explodující v polovině „10s, šel do poklesu, i když původní čísla byly dost vysoké na to“to stále. V prvním čtvrtletí roku 2017 však útoky ransomware tvořily 60 procent užitečného zatížení malwaru; nyní je to až 5 procent.
Ransomware na poklesu?
Co je za tímto velkým ponořením? V mnoha ohledech je to ekonomické rozhodnutí založené na kybernetické měně volby: bitcoin., Získání výkupného od oběti bylo vždy zasaženo nebo zmeškáno; nemusí se rozhodnout zaplatit, nebo dokonce, pokud chtějí, nemusí být s Bitcoinem dostatečně obeznámeni, aby zjistili, jak to skutečně udělat.
Jako Kaspersky bodů, pokles ransomware byl provázen nárůstem tzv. cryptomining malware, který infikuje počítače oběti a využívá jeho výpočetní výkon k vytvoření (nebo moje, v kryptoměna řeči) bitcoin, aniž by majitel vědět., Je to elegantní cesta k použití někoho jiného“s prostředky, jak získat bitcoin, který obchází většina problémů v bodování výkupné, a to ještě více atraktivní jako kyber-útokem takovým způsobem jako cena bitcoin ostny na konci roku 2017.
to však neznamená, že hrozba skončila. Existují dva různé druhy ransomware útočníci: „komodita“ útoky, které se snaží infikovat počítače bez rozdílu tím, naprostý objem a zahrnout takzvané „ransomware jako služba“ platforem, které zločinci mohou pronajmout; a cílových skupin, které se zaměřují na obzvlášť zranitelné segmenty trhu a organizací., Měli byste být na pozoru,pokud jste v druhé kategorii, bez ohledu na to, zda velký ransomware boom prošel.
s tím, jak cena bitcoinu v průběhu roku 2018 klesá, by se analýza nákladů a přínosů pro útočníky mohla vrátit zpět. Nakonec je použití ransomwaru nebo malwaru cryptomining obchodním rozhodnutím pro útočníky, říká Steve Grobman, hlavní technologický ředitel společnosti McAfee. „Jak ceny kryptocurrency klesají, je přirozené vidět posun zpět .“
měli byste zaplatit výkupné?,
Pokud byl váš systém infikován malwarem a ztratili jste životně důležitá data, která nemůžete obnovit ze zálohy, měli byste zaplatit výkupné?
Když se mluví teoreticky, většina donucovacích orgánů vyzývám vás, abyste platit ransomware útočníky, na logiku, že tím jen podněcuje hackeři vytvořit více ransomware. To řekl, mnoho organizací, které se ocitnou postižena malware rychle přestat myslet ve smyslu „vyšší dobro“ a začít dělat analýzu nákladů a přínosů, vážení cenu výkupného proti hodnotě zašifrovaná data., Podle výzkumu od Trend Micro, zatímco 66 procent firem říká, že by nikdy platit výkupné jako zásadní, v praxi 65 procent vlastně to, zaplatit výkupné, když jsou hit.
Ransomware útočníci držet ceny relativně nízké — obvykle mezi $700 a 1300 dolarů, což je částka, společnosti mohou obvykle dovolit zaplatit v krátké době. Některé zvláště sofistikované malware detekuje zemi, kde je infikovaný počítač běží a upravit výkupné tak, aby odpovídaly ekonomice tohoto národa, náročné více od společností v bohatých zemích a méně od těch v chudých regionech.,
často se nabízejí slevy za rychlé jednání, aby se oběti přiměly platit rychle, než o tom příliš přemýšlejí. Obecně platí, že cena bodu je nastaven tak, že to“je dostatečně vysoká, aby být za zločince“, ale natolik nízká, že to“je často levnější, než to, co oběti by musel zaplatit obnovit počítač nebo obnovit ztracená data., S tím na mysli, že některé společnosti začínají budovat potenciál muset zaplatit výkupné do své bezpečnostní plány: například, některé velké BRITÁNII společností, kteří jsou jinak nezúčastněný s kryptoměna drží nějaký Bitcoin v záloze speciálně pro výkupné platby.
Existuje několik záludných věcí, na paměti, tady, udržet v paměti, že lidé, jste“re zabývající se samozřejmě zločinci. Za prvé, to, co vypadá jako ransomware nemusí mít ve skutečnosti zašifrovány vaše data vůbec; Ujistěte se, že nejste zabývající se takzvaným“scareware „před odesláním nějaké peníze nikomu., A za druhé, platit útočníkům nezaručuje, že budete mít své soubory zpět. Někdy zločinci prostě vzít peníze a spustit, a nemusí mít ani vestavěné funkce dešifrování do malwaru. Ale žádné takové malware se rychle dostat pověst a vyhrál“t generovat příjmy, takže ve většině případů — Gary Sockrider, hlavní bezpečnostní technolog v Arbor Networks, odhady kolem 65 až 70 procent času — podvodníci a obnovit vaše data.
související video:
Ransomware příklady
Zatímco ransomware je technicky už od „90. let, to“to jen vzlétlo v posledních pěti letech nebo tak, a to především kvůli dostupnosti nevystopovatelné platební metody, jako je Bitcoin. Některé z nejhorších pachatelů byly:
- CryptoLocker, 2013 útoku, zahájila moderní ransomware věku a infikovaných až 500.000 stroje na jeho vrcholu.
- TeslaCrypt cílené herní soubory a viděl neustálé zlepšování během jeho vlády teroru.,
- SimpleLocker byl první rozšířený ransomware útok, který se zaměřil na mobilní zařízení
- WannaCry šíří autonomně z počítače na počítač pomocí EternalBlue, exploit vyvinutý NSA a pak ukradené hackery.
- NotPetya také použil EternalBlue a mohl být součástí ruského kybernetického útoku proti Ukrajině.
- Locky se začal šířit v roce 2016 a byl “ ve svém způsobu útoku podobný notoricky známému bankovnímu softwaru Dridex.“Varianta, Osiris, byla rozšířena prostřednictvím phishingových kampaní.,
- Leatherlocker byl poprvé objeven v roce 2017 ve dvou aplikacích pro Android: Booster & Cleaner a Wallpaper Blur HD. Spíše než šifrování souborů uzamkne domovskou obrazovku, aby se zabránilo přístupu k datům.
- wysiwye, objevený také v roce 2017, prohledává web pro servery Open Remote Desktop Protocol (RDP). Poté se pokusí ukrást pověření RDP, aby se rozšířily po síti.
- Cerber se ukázal jako velmi účinný, když se poprvé objevil v roce 2016, síťování útočníků $200,000 v červenci téhož roku. Využila zranitelnosti společnosti Microsoft k infikování sítí.,
- BadRabbit se v roce 2017 rozšířil napříč mediálními společnostmi ve východní Evropě a Asii.
- SamSam existuje od roku 2015 a zaměřuje se především na zdravotnické organizace.
- Ryuk se poprvé objevil v roce 2018 a používá se při cílených útocích proti zranitelným organizacím, jako jsou nemocnice. Často se používá v kombinaci s jiným malwarem, jako je TrickBot.
- Maze je relativně nová skupina ransomware známá pro zveřejňování ukradených dat, pokud oběť neplatí za dešifrování.,
- RobbinHood je další Věčnámodrá varianta, která v roce 2019 přivedla Město Baltimore v Marylandu na kolena.
- GandCrab může být nejlukrativnějším ransomwarem vůbec. Její vývojáři, kteří program prodali počítačovým zločincům, požadují od července 2019 více než 2 miliardy dolarů na výplatě obětí.
- Sodinokibi cílí na systémy Microsoft Windows a šifruje všechny soubory kromě konfiguračních souborů. To souvisí s GandCrab
- Thanos je nejnovější ransomware na tomto seznamu, objevený v lednu 2020., Prodává se jako ransomware jako služba, je to první, kdo používá techniku RIPlace, která může obejít většinu metod Anti-ransomware.
tento seznam se bude prodlužovat. Postupujte podle tipů uvedených zde, abyste se chránili.
Související video: