Ransomware selitti: Miten se toimii ja miten poistaa se

syyskuu 20, 2020 admin 0 Comments

Ransomware määrittely

Ransomware on haittaohjelma, joka salaa uhri”s-tiedostoja. Tämän jälkeen hyökkääjä vaatii uhrilta lunnaita, jotta tämä voisi palauttaa pääsyn tietoihin maksun yhteydessä.

käyttäjille näytetään ohjeet siitä, miten salauksen purkuavaimen saa maksettua. Kustannukset voivat vaihdella muutamasta sadasta dollarista tuhansia, maksetaan verkkorikollisille Bitcoin.

Miten ransomware works

On olemassa useita vektoreita ransomware voi ottaa pääsyn tietokoneeseen., Yksi yleisimmistä toimitusjärjestelmistä on Verkkourkinta roskapostia-liitetiedostoja, jotka tulevat uhrin sähköpostissa, naamioituneena tiedostoksi, johon heidän pitäisi luottaa. Kun he”uudelleen ladattu ja avattu, he voivat ottaa uhrin”s tietokone, varsinkin jos ne on rakennettu-in social engineering työkaluja, jotka huijata käyttäjiä, jotta hallinnolliset pääsy. Jotkin muut aggressiivisemmat kiristyshaittaohjelmat, kuten NotPetya, hyödyntävät tietoturva-aukkoja saastuttaakseen tietokoneita tarvitsematta huijata käyttäjiä.,

On olemassa useita asioita, joita haittaohjelma voi tehdä, kun se on ottanut uhrin”s tietokone, mutta ylivoimaisesti yleisin toiminta on salata joitakin tai kaikki käyttäjän”s-tiedostoja. Jos haluat TEKNISET TIEDOT, Infosec-instituutissa on hyvä syvällinen katsaus siihen, miten useat ransomware-viruksen aromit salaavat tiedostoja. Mutta tärkein asia tietää on, että lopussa prosessin, tiedostoja ei voi purkaa ilman matemaattisia avain, joka tunnetaan vain hyökkääjä., Käyttäjälle esitetään viestin selittäen, että heidän tiedostot ovat nyt ovat nyt saavuttamattomissa, ja vain purkaa, jos uhri lähettää jäljittää Bitcoin maksu hyökkääjä.

joidenkin haittaohjelmien muotoja, hyökkääjä voi väittää olla law enforcement agency sammuttamista uhri”s tietokone, koska läsnäolo pornografiaa tai piraattiohjelmia, ja vaatii maksun ”hieno”, ehkä tehdä uhreja vähemmän todennäköisesti ilmoittavat hyökkäys viranomaisille. Mutta useimmat hyökkäykset eivät vaivaudu tällä teeskentelyllä., On myös variaatio, jota kutsutaan leakware tai doxware, jossa hyökkääjä uhkaa julkaista arkaluonteisia tietoja uhrin”s-kiintolevyn, ellei lunnaat on maksettu. Mutta koska löytää ja talteen tällaisia tietoja on hyvin hankala ehdotus hyökkääjät, salaus ransomware on ylivoimaisesti yleisin.

Kuka on kohde ransomware?

on olemassa useita eri tapoja, joilla hyökkääjät valitsevat ransomware-ohjelmalla kohteensa organisaatiot., Joskus se”s kysymys mahdollisuus: esimerkiksi, hyökkääjät voivat kohdistaa korkeakoulujen, koska ne ovat yleensä pienemmät ryhmät ja erilaiset käyttäjäkunta, joka ei paljon tiedostojen jakaminen, jolloin se on helpompi tunkeutua niiden puolustukset.

toisaalta osa järjestöistä houkuttelee kohteita, koska ne näyttävät todennäköisemmin maksavan lunnaat nopeasti. Esimerkiksi valtion virastot tai hoitolaitokset tarvitsevat usein välitöntä pääsyä tietoihinsa., Laki yritysten ja muiden organisaatioiden kanssa arkaluonteisia tietoja voivat olla valmiita maksamaan pitää uutisia kompromissi hiljainen ja nämä organisaatiot voivat olla yksilöllisesti herkkiä leakware hyökkäyksiä.

Mutta don”t tuntuu et”uudelleen turvassa jos et”t sovi näihin ryhmiin: kuten olemme huomanneet, jotkut ransomware leviää automaattisesti ja umpimähkään kaikkialla internetissä.

Miten estää ransomware

On olemassa useita puolustava vaiheita voit estää ransomware infektio., Nämä vaiheet ovat tietenkin hyviä turvallisuuskäytäntöjä yleensä, niin seuraavat niitä parantaa oman puolustuksemme kaikenlaisia hyökkäyksiä:

Pidä käyttöjärjestelmän korjauspäivitykset ajan tasalla, jotta sinulla on vähemmän haavoittuvuuksia hyväkseen.
älä asenna ohjelmistoa tai anna sille hallinnollisia oikeuksia, ellet tiedä tarkalleen, mitä se on ja mitä se tekee.
Asenna anti-virus ohjelmisto, joka havaitsee haittaohjelmia kuten ransomware, kun ne saapuvat, ja whitelisting-ohjelmisto, joka estää luvattomien sovellusten suorittamisen ensimmäinen paikka.,
ja tietenkin varmuuskopioida tiedostot, usein ja automaattisesti! Se voitti”t pysäyttää haittaohjelmien hyökkäys, mutta se voi tehdä vahingot yhden paljon vähemmän merkittäviä.

Ransomware poisto

Jos tietokone on saanut tartunnan kanssa ransomware, sinun”ll täytyy saada hallintaan kone.,onstrating, miten tehdä tämä Windows 10-kone:

video on kaikki yksityiskohdat, mutta tärkeät vaiheet ovat:

Käynnistä Windows 10 vikasietotilassa
Asentaa antimalware ohjelmisto
Skannaus järjestelmä löytää ransomware-ohjelma
Palauta tietokone aiempaan tilaan

Mutta täällä”s tärkeä asia pitää mielessä: kun kävely läpi nämä vaiheet, voit poistaa malware tietokoneesta ja palauttaa sen valvontaa, se voitti”t purkaa tiedostoja., Niiden muuttumista ettei sitä voi lukea on jo tapahtunut, ja jos haittaohjelma on lainkaan hienostunut, se on matemaattisesti mahdotonta purkaa niitä ilman pääsyn avain, että hyökkääjä mahtuu. Itse asiassa poistamalla haittaohjelman, olet sulkenut pois mahdollisuuden palauttaa tiedostoja maksamalla hyökkääjät lunnaat he ” ve pyytänyt.

Ransomware facts and figures

Ransomware is big business. Ransomware-ohjelmassa on paljon rahaa, ja markkinat laajenivat nopeasti vuosikymmenen alusta., Vuonna 2017 ransomware aiheutti 5 miljardin dollarin tappiot sekä maksettujen lunastusten että menojen osalta ja menetti aikaa hyökkäyksistä toipumisessa. Se on noussut 15 kertaa vuodesta 2015. Vuoden 2018 ensimmäisellä neljänneksellä vain yhdenlainen ransomware-ohjelmisto, SamSam, keräsi 1 miljoonan dollarin lunnasrahat.

Jotkut markkinat ovat erityisen alttiita ransomware—ja maksaa lunnaat., Monet korkean profiilin ransomware hyökkäyksiä on tapahtunut sairaalat tai muut lääketieteelliset järjestöt, jotka tekevät houkuttelevaa tavoitteet: hyökkääjät tietää, että asuu kirjaimellisesti vaakalaudalla, nämä yritykset ovat todennäköisesti yksinkertaisesti maksaa suhteellisen alhainen ransom tehdä ongelman mennä pois. Se”s arvioitu, että 45 prosenttia ransomware hyökkäyksiä tavoite terveydenhuollon organisaatioissa, ja päinvastoin, että 85 prosenttia malware infektiot terveydenhuollon organisaatioissa on ransomware. Taas houkutteleva ala? Rahoituspalveluala, joka on, kuten Willie Sutton tunnetusti huomautti, missä rahat ovat., Sen mukaan 90 prosenttia rahoituslaitoksista joutui kiristyshaittahyökkäyksen kohteeksi vuonna 2017.

haittaohjelmien vastainen ohjelmisto voitti”t välttämättä suojaa sinua. Sen kehittäjät kirjoittavat ja virittävät jatkuvasti kiristysohjelmaa, joten tyypilliset virustorjuntaohjelmat eivät useinkaan Tartu sen allekirjoituksiin. Itse asiassa jopa 75 prosenttia yrityksistä, jotka joutuvat ransomware-viruksen uhreiksi, käyttivät ajantasaista endpoint-suojaa tartunnan saaneilla koneilla.

Ransomware isn”t niin yleistä kuin se käytti olla., Jos haluat vähän hyvä uutinen, se”s tämä: määrä ransomware hyökkäyksiä, kun räjähtävä puolivälissä ”10s, on mennyt laskuun, vaikka alkuperäisen numerot olivat riittävän korkea, että se”s vielä. Mutta vuoden 2017 ensimmäisellä neljänneksellä ransomware-hyökkäykset muodostivat 60 prosenttia haittaohjelmien hyötykuormista; nyt se on jopa 5 prosenttia.

Ransomware laskussa?

mikä ” S tämän ison notkahduksen takana? Monin tavoin se ”on taloudellinen päätös perustuu cybercriminal” s valuutta valinta: bitcoin., Talteen lunnaita uhri on aina ollut osuma tai neiti, he eivät ehkä päättää maksaa, tai jopa jos he haluavat, he eivät ehkä tunne bitcoin selvittää, miten todella tehdä niin.

Kuten Symantec huomauttaa, lasku ransomware on poistettu rinnalle nousevat ns cryptomining haittaohjelmia, joka tartuttaa uhrin tietokoneeseen ja käyttää sen laskentatehoa luoda (tai minun kryptovaluutta kielenkäytössä) bitcoin ilman omistajan tietämättä., Tämä on siisti reitti käyttää joku muu”s resursseja saada bitcoin, joka ohittaa useimmat vaikeuksia pisteytys lunnaita, ja se on vain saanut enemmän houkutteleva kuin cyberattack hinta bitcoin piikki loppuvuodesta 2017.

se ei kuitenkaan tarkoita, että uhka olisi ohi. On olemassa kaksi erilaista ransomware hyökkääjät: ”hyödyke” hyökkäyksiä, jotka yrittävät tartuttaa tietokoneisiin umpimähkään pelkkä määrä ja sisältävät ns. ”ransomware as a service” – alustoilla, että rikolliset voivat vuokrata; ja kohdennettuja ryhmiä, joissa keskitytään erityisen haavoittuvia markkinasegmenteillä ja järjestöt., Sinun pitäisi olla varuillasi, jos”olet jälkimmäisessä luokassa, riippumatta siitä, onko iso ransomware-buumi ohi.

hinta bitcoin pudottamalla aikana 2018, kustannus-hyöty-analyysi hyökkääjät voisi siirtää takaisin. Viime kädessä kiristysohjelmien tai kryptomining-haittaohjelmien käyttö on hyökkääjille bisnespäätös, sanoo McAfeen teknologiajohtaja Steve Grobman. ”Kryptovaluuttojen hintojen laskiessa on luontevaa nähdä muutos takaisin .”

pitäisikö lunnaat maksaa?,

jos järjestelmässäsi on ollut haittaohjelmia ja olet”menettänyt elintärkeitä tietoja, joita voit”t palauttaa varmuuskopiosta, pitäisikö sinun maksaa lunnaat?

Kun puhutaan teoriassa, useimmat lainvalvontaviranomaisten kehotamme sinua ei maksaa ransomware hyökkääjät, logiikka, että näin vain kannustaa hakkerit luoda enemmän ransomware. Se sanoi, monet organisaatiot, jotka joutuvat kärsimään haittaohjelmia nopeasti lopettaa ajattelun kannalta ”suuremman hyvän” ja alkaa tehdä kustannus-hyöty-analyysi, paino hinta lunnaita vastaan arvo salattuja tietoja., Tutkimuksen mukaan Trend Micro, kun taas 66 prosenttia yrityksistä ilmoittaa, että he olisivat koskaan maksa lunnaita periaatteessa, käytännössä 65 prosenttia itse tehdä maksaa lunnaat, kun he saada osuma.

Ransomware hyökkääjät pitämään hinnat suhteellisen alhainen — yleensä välillä $700 ja $1,300, määrä yritykset voidaan yleensä varaa maksaa lyhyellä varoitusajalla. Joitakin erityisen kehittyneitä haittaohjelmia tunnistaa maa, jossa tartunnan tietokone on käynnissä ja säätää ransom vastaamaan, että kansakunnan”s talous, vaativat yhä enemmän yrityksiltä, rikkaiden maiden ja vähemmän kuin köyhiä alueita.,

On usein alennukset toimivat nopeasti, joten kun rohkaista uhreja maksamaan nopeasti ennen ajatellut liikaa sitä. Yleensä, hinta kohta on asetettu niin, että se”s tarpeeksi korkea arvoinen rikos”s aikaa, mutta tarpeeksi alhainen, että se”on usein halvempaa kuin mitä uhri joutuisi maksamaan palauttaa heidän tietokoneen tai rekonstruoida kadonneet tiedot., Tässä mielessä, jotkut yritykset ovat alkaneet rakentaa mahdollisia tarvitse maksaa lunnaita heidän turvallisuus suunnitelmat: esimerkiksi, jotkut suuret UK yritykset, jotka eivät muuten osallistu kanssa kryptovaluutta pitävät jotkut Bitcoin varalla erityisesti lunnaiden maksuja.

tässä on pari kiperää muisteltavaa asiaa, pitäen mielessä, että ihmiset, joiden kanssa olet tekemisissä, ovat tietenkin rikollisia. Ensimmäinen, mitä näyttää ransomware voi olla todella salattuja tietoja ollenkaan, varmista, että et ole”t käsittelevät ns ”scareware”, ennen kuin voit lähettää rahaa kenellekään., Ja toiseksi, hyökkääjille maksaminen ei takaa, että saat tiedostosi takaisin. Joskus rikolliset vain ottavat rahat ja juoksevat, eivätkä ole välttämättä edes rakentaneet salauksen purkutoimintoa haittaohjelmaan. Mutta tällaisia haittaohjelmia ovat nopeasti saada mainetta ja voitti”t tuloja, niin useimmissa tapauksissa — Gary Sockrider, pääasiallinen turvallisuus teknologi Arbor Networks, arvioiden mukaan noin 65-70 prosenttia ajasta — roistoja tulevat läpi ja tiedot on palautettu.

Liittyvä video:

Ransomware: haluatko maksaa lunnaat?, | Suolattu Hash Ep 19

Ransomware esimerkkejä

Kun ransomware on teknisesti ollut noin koska ”90-luvulla, se”s vain otettu pois viimeisen viiden vuoden aikana tai niin, suurelta osin, koska saatavuus voi jäljittää maksutavat, kuten Bitcoin. Pahimpia rikollisia ovat olleet:

CryptoLocker, 2013 hyökkäys, käynnisti modernin ransomware ikä ja tartunnan jopa 500000 koneet huipussaan.
TeslaCrypt kohdisti pelitiedostoja ja näki kauhun valtakaudellaan jatkuvaa parannusta.,
SimpleLocker oli ensimmäinen laajalle levinnyt ransomware hyökkäys, joka keskittyi mobiililaitteet
WannaCry levitä itsenäisesti tietokoneesta toiseen käyttämällä EternalBlue, hyödyntää kehittänyt NSA, ja sitten varastettu hakkerit.
NotPetya käytti myös Eternalblueta ja saattoi olla osa Venäjän ohjaamaa kyberhyökkäystä Ukrainaa vastaan.
Locky alkoi levitä vuonna 2016 ja oli ”hyökkäystavaltaan samanlainen kuin pahamaineinen pankkiohjelmisto Dridex.”Muunnos, Osiris, levisi tietojenkalastelukampanjoiden kautta.,
Leatherlocker havaittiin ensimmäisen kerran vuonna 2017 kaksi Android-sovellukset: Booster & Puhdistaja ja Taustakuva Hämärtää HD. Tiedostojen salaamisen sijaan se lukitsee aloitusnäytön estääkseen tietojen saannin.
wysiwye, joka löydettiin myös vuonna 2017, skannaa Webissä open Remote Desktop Protocol (RDP) – palvelimia. Sen jälkeen se yrittää varastaa RDP: n valtakirjat levittäytyäkseen verkkoon.
Cerber osoittautui erittäin tehokkaaksi, kun se ilmestyi ensimmäisen kerran vuonna 2016, netting attackers $200,000 saman vuoden heinäkuussa. Se käytti hyväkseen Microsoftin haavoittuvuutta tartuttaa verkkoja.,
BadRabbit levisi mediayhtiöihin Itä-Euroopassa ja Aasiassa vuonna 2017.
SamSam on ollut olemassa vuodesta 2015 ja se on kohdistunut ensisijaisesti terveydenhuoltoalan järjestöihin.
Ryuk esiintyi ensimmäisen kerran vuonna 2018 ja sitä käytetään kohdennetuissa hyökkäyksissä haavoittuvia järjestöjä, kuten sairaaloita vastaan. Sitä käytetään usein yhdessä muiden haittaohjelmien kuten Trickbotin kanssa.
Maze on suhteellisen uusi ransomware-ryhmä tunnetaan julkaisee varastettuja tietoja yleisölle, jos uhri ei maksa purkaa sitä.,
RobbinHood on toinen EternalBlue-muunnos, joka sai Baltimoren kaupungin Marylandissa polvilleen vuonna 2019.
GandCrab saattaa olla kaikkien aikojen tuottoisin ransomware. Sen kehittäjät, jotka myydään ohjelman verkkorikollisille, väittävät yli $2 miljardia uhri maksuja kuten heinäkuussa 2019.
Sodinokibi kohdistuu Microsoftin Windows-järjestelmiin ja salaa kaikki tiedostot asetustiedostoja lukuun ottamatta. Se liittyy GandCrab
Thanos on uusin ransomware tässä luettelossa, löydettiin tammikuussa 2020., Sitä myydään ransomware palveluna, se on ensimmäinen, joka käyttää Rplace-tekniikkaa, joka voi ohittaa useimmat anti-ransomware-menetelmät.

Tämä lista vain pitenee. Seuraa tässä listattuja vinkkejä suojautuaksesi.