Ransomware forklarede: Hvordan det fungerer, og hvordan man kan fjerne det
Ransomware definition
Ransomware er en form for malware, der krypterer et offer”s-filer. Angriberen kræver derefter en løsesum fra offeret til at genoprette adgangen til data ved betaling.
brugere vises instruktioner til, hvordan man betaler et gebyr for at få dekrypteringsnøglen. Omkostningerne kan variere fra et par hundrede dollars til tusinder, der skal betales til cyberkriminelle i Bitcoin.
hvordan ransom .are fungerer
Der er et antal vektorer ransom .are kan tage for at få adgang til en computer., Et af de mest almindelige leveringssystemer er phishing — spam-vedhæftede filer, der kommer til offeret i en e-mail, forklædt som en fil, de skal stole på. Når de ” re do .nloadet og åbnet, de kan overtage ofrets computer, især hvis de har indbyggede social engineering værktøjer, der narre brugere til at tillade administrativ adgang. Nogle andre, mere aggressive former for ransom .are, ligesom NotPetya, udnytte sikkerhedshuller til at inficere computere uden at skulle narre brugere.,
Der er flere ting Mal .are kan gøre, når det er overtaget ofrets computer, men langt den mest almindelige handling er at kryptere nogle eller alle af brugerens filer. Hvis du vil have de tekniske detaljer, Den Infosec Institute har en stor dybdegående kig på, hvordan flere varianter af Ransom .are kryptere filer. Men den vigtigste ting at vide er, at filerne ved afslutningen af processen ikke kan dekrypteres uden en matematisk nøgle, der kun er kendt af angriberen., Brugeren præsenteres med en meddelelse, der forklarer, at deres filer er nu er nu utilgængelige og vil kun blive dekrypteret, hvis offeret sender en spores Bitcoin betaling til angriberen.
I nogle former for malware, kunne hackeren hævder at være en lov håndhævelse agenturet lukke offeret”s computer på grund af tilstedeværelsen af pornografi eller piratkopieret software på den, og kræve betaling af et “fint,” måske for at gøre ofre mindre tilbøjelige til at anmelde angrebet til myndighederne. Men de fleste angreb don”t gider med denne påskud., Der er også en variation, kaldet leak .are eller Do..are, hvor angriberen truer med at offentliggøre følsomme data på ofrets harddisk, medmindre en løsesum er betalt. Men fordi at finde og udvinde sådanne oplysninger er en meget vanskelig proposition for angribere, kryptering ransom .are er langt den mest almindelige type.
Hvem er et mål for ransom ?are?
Der er flere forskellige måder angribere vælge de organisationer, de målretter med ransom .are., Nogle gange er det et spørgsmål om muligheder: for eksempel, angribere kan målrette universiteter, fordi de har tendens til at have mindre sikkerhed teams og en uensartet brugerbase, der gør en masse fildeling, hvilket gør det lettere at trænge ind i deres forsvar.
På den anden side, nogle organisationer er fristende mål, fordi de synes mere tilbøjelige til at betale en løsesum hurtigt. For eksempel har Offentlige myndigheder eller medicinske faciliteter ofte brug for øjeblikkelig adgang til deres filer., Advokatfirmaer og andre organisationer med følsomme data kan være villige til at betale for at holde nyheden om et kompromis stille — og disse organisationer kan være unikt følsomme over for leakware angreb.
men don”t føle, at du”re sikker, hvis du don”t passer disse kategorier: som vi bemærkede, nogle ransom .are spreder automatisk og flæng på tværs af internettet.
Sådan forhindres ransom .are
Der er en række defensive trin, du kan tage for at forhindre ransom .are-infektion., Disse trin er en selvfølgelig god sikkerhedspraksis i almindelighed, så efter dem, forbedrer dit forsvar mod alle former for angreb:
- Hold dit operativsystem patchede og up-to-date for at sikre, at du har færre sårbarheder til at udnytte.
- Don”t installere soft .are eller give det administratorrettigheder, medmindre du ved præcis, hvad det er, og hvad det gør.
- Installere antivirus-software, der registrerer ondsindede programmer som ransomware, som de ankommer, og whitelisting software, som forhindrer uautoriserede programmer i at udføre i første omgang.,
- og selvfølgelig sikkerhedskopiere dine filer, ofte og automatisk! Det vandt ” t stoppe en mal .are angreb, men det kan gøre skader forårsaget af en langt mindre signifikant.
fjernelse af Ransom .are
Hvis din computer er blevet inficeret med ransom .are, skal du”genvinde kontrollen over din maskine.,onstrating, hvordan du gør dette på en Windows-10 maskine:
Den video har alle detaljerne, men vigtige skridt er at:
- Genstart Windows 10 til fejlsikret tilstand
- Installer antimalware-software
- Scanne systemet for at finde det ransomware program
- Gendan computeren til en tidligere tilstand
Men her er den vigtige ting at holde i tankerne: mens i går gennem disse trin kan fjerne malware fra computeren og gendanne den til din kontrol, it won”t dekryptere dine filer., Deres omdannelse til ulæselighed er allerede sket, og hvis Mal .are overhovedet er sofistikeret, vil det være matematisk umuligt for nogen at dekryptere dem uden adgang til den nøgle, som angriberen har. Faktisk, ved at fjerne Mal .are, du”ve udelukket muligheden for at gendanne dine filer ved at betale angriberne løsesum de”ve bedt om.
ransom .are fakta og tal
Ransom .are er big business. Der ” s en masse penge i Ransom .are, og markedet ekspanderede hurtigt fra begyndelsen af dette årti., I 2017 resulterede ransom .are i tab på 5 milliarder dollars, både hvad angår betalte løsepenge og udgifter og mistede tid på at komme sig efter angreb. Det er op 15 gange fra 2015. I første kvartal af 2018 indsamlede kun en slags ransom .are-soft .are, SamSam, en $1 million i løsepenge.nogle markeder er særligt tilbøjelige til ransom .are-og til at betale løsesummen., Mange højt profilerede ransom .are-angreb har fundet sted på hospitaler eller andre medicinske organisationer, der gør fristende mål: angribere ved, at med lives bogstaveligt talt i balance, er disse virksomheder mere tilbøjelige til blot at betale en relativt lav løsepenge for at få et problem til at forsvinde. Det er anslået, at 45 procent af ransomware angreb mål sundhedsydelser kirker, og omvendt, at 85 procent af malware infektioner på sundhedsydelser kirker er ransomware. En anden fristende industri? Den finansielle servicesektor, som er, som Suttonillie Sutton berømt bemærkede, hvor pengene er., Det ” s anslået, at 90 procent af de finansielle institutioner blev ramt af en ransom .are angreb i 2017.
din anti-Mal .are-soft .are vandt”t nødvendigvis beskytte dig. Ransom .are bliver konstant skrevet og sammenknebne af sine udviklere, og så dens underskrifter er ofte ikke fanget af typiske anti-virus programmer. Faktisk, så mange som 75 procent af virksomheder, der bliver offer for ransom .are kørte up-to-date endpoint beskyttelse på de inficerede maskiner.
Ransom .are isn”t så udbredt som det plejede at være., Hvis du ønsker en smule gode nyheder, Det er dette: antallet af Ransom .are angreb, efter eksploderende i midten”10′ erne, er gået ind i et fald, selvom de oprindelige tal var høj nok, at det er stadig. Men i første kvartal af 2017, ransom .are angreb består 60 procent af Mal .are nyttelast; nu er det”s ned til 5 procent.
Ransom ?are på tilbagegang?
Hvad ” s bag denne store dip? På mange måder er det en økonomisk beslutning baseret på cyberkriminelle valuta valg: bitcoin., Udtrækning af en løsesum fra et offer er altid blevet ramt eller savnet; de beslutter måske ikke at betale, eller selvom de vil, er de måske ikke bekendt nok med bitcoin til at finde ud af, hvordan man rent faktisk gør det.
Som Kaspersky påpeger, er faldet i ransomware er blevet modsvaret af en stigning i såkaldte cryptomining malware, der inficerer offer computer og bruger sin computerkraft til at skabe (eller mine, i cryptocurrency sprogbrug) bitcoin uden at ejeren at vide., Dette er en pæn rute til at bruge en anden”s ressourcer til at få bitcoin, der omgår de fleste af de vanskeligheder, der er i at score en løsesum, og det har kun fået mere attraktiv som et cyberattack som prisen på bitcoin spidse i slutningen af 2017.
det betyder ikke, at truslen er forbi. Der er to forskellige former for ransomware angribere: “commodity” – angreb, der forsøger at inficere computere vilkårligt af ren og skær volumen og omfatter såkaldte “ransomware as a service” – platform, som kriminelle kan leje; og målgrupper at fokusere på særligt sårbare markedssegmenter og organisationer., Du bør være på vagt, hvis du ” re i sidstnævnte kategori, uanset om den store ransom .are boom er gået.
med prisen på bitcoin falder i løbet af 2018, kan cost-benefit-analysen for angribere skifte tilbage. I sidste ende er brug af Ransom .are eller cryptomining Mal .are en forretningsbeslutning for angribere, siger Steve Grobman, Chief technology officer hos McAfee. “Da cryptocurrency-priserne falder, er det naturligt at se et skift tilbage .”
skal du betale løsesummen?,
Hvis dit system er blevet inficeret med Mal ?are, og du har mistet vitale data, som du ikke kan gendanne fra backup, skal du betale løsesummen?
når man taler teoretisk, opfordrer de fleste retshåndhævende myndigheder dig til ikke at betale ransom .are-angribere, på den logik, at det kun tilskynder hackere til at skabe mere ransom .are. Som sagt, er mange organisationer, der befinder sig ramt af malware hurtigt stoppe med at tænke på det “større gode” og begynde at gøre en cost-benefit-analyse, der vejer prisen i løsesum mod værdien af de krypterede data., Ifølge forskning fra Trend Micro, mens 66 procent af virksomhederne siger, at de aldrig ville betale en løsesum som et princippunkt, betaler 65 procent faktisk løsepenge, når de bliver ramt.ransom Ranare-angribere holder priserne relativt lave-normalt mellem $ 700 og $ 1.300, et beløb, som virksomheder normalt har råd til at betale med kort varsel. Nogle særligt sofistikeret malware vil opdage det land, hvor den inficerede computer kører og justere løsesum for at matche usa”s økonomi, krævende mere fra virksomheder i de rige lande, og mindre fra dem, der er i fattige regioner.,
Der tilbydes ofte rabatter for at handle hurtigt for at tilskynde ofrene til at betale hurtigt, før de tænker for meget på det. Generelt, prisen punkt er indstillet således, at det er højt nok til at være værd at den kriminelle mens, men lav nok, at det er ofte billigere end hvad offeret ville have til at betale for at gendanne deres computer eller rekonstruere de tabte data., Med det i tankerne, nogle virksomheder er begyndt at opbygge det potentielle behov for at betale løsepenge i deres sikkerhedsplaner: for eksempel, nogle store britiske virksomheder, der ellers uinddraget med cryptocurrency holder nogle Bitcoin i reserve specielt til løsepenge betalinger.
Der er et par vanskelige ting at huske her, idet man husker på, at de mennesker, du”har at gøre med, selvfølgelig er kriminelle. Første, hvad ligner ransom .are måske ikke har faktisk krypteret dine data på alle; sørg for at du aren”t beskæftiger sig med såkaldte “scare .are”, før du sender nogen penge til nogen., Og for det andet, betale angriberne gør ikke”t garanti for, at du”ll få dine filer tilbage. Nogle gange de kriminelle bare tage pengene og køre, og måske ikke har selv bygget dekryptering funktionalitet i Mal .are. Men en sådan malware vil hurtigt at få et ry og vandt”t generere indtægter, så i de fleste tilfælde — Gary Sockrider, vigtigste sikkerheds-teknolog på Arbor Networks, skønner, at omkring 65 til 70 procent af den tid, de skurke komme igennem, og dine data gendannes.
relateret video:
Ransomware eksempler
Mens ransomware har teknisk set været omkring siden “af 90’erne, det er kun taget ud i de sidste fem år eller så, hovedsagelig på grund af tilgængelighed af usporlige betalingsmetoder som Bitcoin. Nogle af de værste lovovertrædere har været:
- CryptoLocker, et 2013-angreb, lancerede den moderne ransom .are-alder og inficerede op til 500,000 maskiner på sin højde.
- TeslaCrypt målrettet gaming-filer og så konstant forbedring i løbet af sin regeringstid af terror.,
- SimpleLocker var den første udbredte ransomware angreb, der fokuserer på mobile enheder
- WannaCry sprede sig selvstændigt fra computer til computer ved hjælp af EternalBlue, en udnyttelse, der er udviklet af NSA og derefter stjålet af hackere.
- NotPetya brugte også EternalBlue og kan have været en del af et russisk-rettet cyberangreb mod Ukraine.
- Locky begyndte at sprede sig i 2016 og var ” ens i sin angrebsmåde til den berygtede banksoft .are Dride..”En variant, Osiris, blev spredt gennem phishing-kampagner.,
- Leatherlocker blev først opdaget i 2017 i to Android-applikationer: Booster & Renere og Tapet Blur HD. Snarere end kryptere filer, det låser startskærmen for at forhindre adgang til data.
- si .ye, der også blev opdaget i 2017, scanner internettet for servere til open Remote Desktop Protocol (RDP). Den forsøger derefter at stjæle RDP legitimationsoplysninger til at sprede sig over netværket.Cerber viste sig meget effektiv, da den først dukkede op i 2016, netting angribere $ 200.000 i juli samme år. Det udnyttede en Microsoft sårbarhed til at inficere netværk.,
- BadRabbit spredt over medievirksomheder i Østeuropa og Asien i 2017.
- SamSam har eksisteret siden 2015 og målrettet primært sundhedsorganisationer.
- Ryuk optrådte først i 2018 og bruges i målrettede angreb mod sårbare organisationer som hospitaler. Det bruges ofte i kombination med anden Mal .are som TrickBot.
- ma .e er en relativt ny ransom .are gruppe kendt for at frigive stjålne data til offentligheden, hvis offeret ikke betaler for at dekryptere det.,RobbinHood er en anden EternalBlue-variant, der bragte byen Baltimore, Maryland, på knæ i 2019.GandCrab kan være den mest lukrative ransom .are nogensinde. Dens udviklere, som solgte programmet til cyberkriminelle, hævder mere end $ 2 milliarder i offer udbetalinger fra juli 2019.
- Sodinokibi mål Microsoft Windows-systemer og krypterer alle filer undtagen konfigurationsfiler. Det er relateret til GandCrab
- Thanos er den nyeste ransom .are på denne liste, opdaget i januar 2020., Det sælges som ransomware som en service, Det er de første til at bruge RIPlace teknik, som kan omgå de fleste anti-ransomware metoder.
denne liste bliver bare længere. Følg de tips, der er anført her for at beskytte dig selv.
Relateret video: