Ransomware magyarázata: hogyan működik, hogyan kell eltávolítani

0 Comments

Ransomware definition

Ransomware egy formája malware, hogy titkosítja az áldozat fájlokat. A támadó ezután váltságdíjat követel az áldozattól, hogy fizetés után visszaállítsa az adatokhoz való hozzáférést.

a felhasználók utasításokat kapnak arra vonatkozóan, hogyan kell díjat fizetni a dekódolási kulcs megszerzéséhez. A költségek terjedhet néhány száz dollárt több ezer, fizetendő kiberbűnözők Bitcoin.

hogyan működik a ransomware

számos vektor ransomware képes elérni a számítógépet., Az egyik leggyakoribb kézbesítési rendszer az adathalász spam — mellékletek, amelyek e-mailben érkeznek az áldozathoz, olyan fájlként álcázva, amelyben megbízniuk kell. Miután letöltötték és megnyitották, átvehetik az áldozat számítógépét, különösen, ha beépített szociális mérnöki eszközökkel rendelkeznek, amelyek becsapják a felhasználókat az adminisztratív hozzáférés engedélyezésébe. A ransomware más, agresszívabb formái, mint például a NotPetya, kihasználják a biztonsági lyukakat a számítógépek megfertőzésére anélkül, hogy becsapniuk kellene a felhasználókat.,

számos dolog a malware tehet, ha átvette az áldozat számítógépén, de messze a leggyakoribb intézkedés az, hogy titkosítja néhány vagy az összes felhasználó fájlokat. Ha a technikai részleteket szeretné, az Infosec Intézet alaposan megvizsgálja, hogy a ransomware több íze hogyan titkosítja a fájlokat. De a legfontosabb dolog, amit tudni kell, hogy a folyamat végén a fájlokat nem lehet visszafejteni anélkül, hogy csak a támadó által ismert matematikai kulcs lenne., A felhasználó egy üzenetet kap, amelyben elmagyarázza, hogy fájljaik most már elérhetetlenek, és csak akkor kerülnek visszafejtésre, ha az áldozat lenyomozhatatlan Bitcoin-fizetést küld a támadónak.

a rosszindulatú programok bizonyos formáiban a támadó azt állíthatja, hogy bűnüldöző szerv, amely pornográfia vagy kalóz szoftver jelenléte miatt leállítja az áldozat számítógépét, és “bírság” megfizetését követeli, talán azért, hogy az áldozatok kevésbé valószínű, hogy a támadást a hatóságoknak jelentik. De a legtöbb támadás nem zavarja ezt a látszatot., Van is egy variáció, úgynevezett leakware vagy doxware, amelyben a támadó azzal fenyeget, hogy nyilvánosságra érzékeny adatokat az áldozat merevlemezén, kivéve, ha a váltságdíjat fizetik. De mivel az ilyen információk megtalálása és kinyerése nagyon trükkös javaslat a támadók számára, a titkosítási ransomware messze a leggyakoribb típus.

ki a ransomware célpontja?

a támadók többféle módon választhatják meg a ransomware-rel megcélzott szervezeteket., Néha ez egy lehetőség kérdése: például, támadók lehet cél egyetemek, mert általában kisebb biztonsági csapatok és egy eltérő felhasználói bázis, amely nem egy csomó fájlmegosztás, így könnyebb behatolni a védelmet.

másrészről, egyes szervezetek csábító célokat, mert úgy tűnik, nagyobb valószínűséggel fizetnek váltságdíjat gyorsan. Például a kormányzati ügynökségeknek vagy az egészségügyi intézményeknek gyakran azonnali hozzáférést kell biztosítaniuk az aktáikhoz., Az ügyvédi irodák és más, érzékeny adatokkal rendelkező szervezetek hajlandóak lehetnek fizetni azért, hogy a kompromisszumról szóló híreket csendben tartsák — ezek a szervezetek pedig egyedülállóan érzékenyek lehetnek a szivárgó szoftverek támadásaira.

de nem érzem, hogy biztonságban, ha nem illik ezek a kategóriák: mint már említettük, néhány ransomware terjed automatikusan és válogatás nélkül az Interneten keresztül.

hogyan lehet megakadályozni a ransomware

számos védekező lépést tehet a ransomware fertőzés megelőzésére., Ezek a lépések természetesen jó biztonsági gyakorlatok általában, így ezek követése javítja a védelmet mindenféle támadások ellen:

  • tartsa az operációs rendszert naprakészen annak biztosítása érdekében, hogy kevesebb sebezhetőséggel rendelkezzen.
  • ne telepítse a szoftvert, vagy adjon neki adminisztrációs jogosultságokat, kivéve, ha pontosan tudja, mi az és mit csinál.
  • telepítse a víruskereső szoftvert, amely észleli a rosszindulatú programokat, például a ransomware-t, amikor megérkeznek, valamint engedélyez egy szoftvert,amely megakadályozza az illetéktelen alkalmazások végrehajtását.,
  • és természetesen készítsen biztonsági másolatot a fájlokról, gyakran és automatikusan! Ez nem hagyja abba a rosszindulatú támadás, de lehet, hogy a kár által okozott egy sokkal kevésbé jelentős.

Ransomware removal

Ha a számítógép fertőzött ransomware, akkor kell, hogy visszanyerje az irányítást a gép.,onstrating, hogyan kell ezt csinálni Windows 10 machine:

A videó a részleteket, de a fontos lépéseket, hogy:

  • indítsa újra a Windows rendszert 10 csökkentett módban
  • Telepítés lehetőséget antimalware szoftver
  • Átvizsgálja a rendszert, hogy megtalálják a ransomware program
  • Visszaállítja a számítógépet egy korábbi állapotba

De itt”s a legfontosabb dolog, hogy tartsa szem előtt: séta közben át ezeket a lépéseket, távolítsa el a malware a számítógépre, majd állítsuk vissza a vezérlés, nyert”t visszafejteni a fájlokat., Az olvashatatlanná válásuk már megtörtént, és ha a rosszindulatú program egyáltalán kifinomult, matematikailag lehetetlen, hogy bárki visszafejtse őket anélkül, hogy hozzáférne a támadó kulcsához. Valójában, eltávolításával a malware, már kizárta annak lehetőségét, hogy visszaállítsa a fájlokat fizet a támadók a váltságdíjat kértek.

Ransomware tények és számok

Ransomware is big business. Van egy csomó pénzt ransomware, a piac gyorsan bővült az évtized elején., 2017-ben a ransomware 5 milliárd dolláros veszteséget eredményezett, mind a fizetett ransomok, mind a kiadások tekintetében, mind pedig a támadások helyreállításában. Ez 15-ször emelkedik 2015-től. 2018 első negyedévében csak egyfajta ransomware szoftver, a SamSam gyűjtött egy $ 1 millió váltságdíjat.

egyes piacok különösen hajlamosak a ransomware—re-és a váltságdíj megfizetésére., Sok nagy horderejű ransomware támadás történt kórházakban vagy más orvosi szervezetekben, amelyek csábító célokat tesznek lehetővé: a támadók tudják, hogy a szó szoros értelmében az egyensúlyban lévő életekkel ezek a vállalkozások nagyobb valószínűséggel fizetnek viszonylag alacsony váltságdíjat, hogy a probléma eltűnjön. Becslések szerint a ransomware támadások 45 százaléka az egészségügyi szervekre irányul, ezzel szemben az egészségügyi szerveknél a rosszindulatú programok fertőzéseinek 85 százaléka ransomware. Egy másik csábító ipar? A pénzügyi szolgáltatási szektor, amely, mint Willie Sutton híresen megjegyezte, hol van a pénz., Becslések szerint a pénzintézetek 90 százalékát egy 2017-es ransomware támadás célozta meg.

az anti-malware szoftver nem feltétlenül véd meg. Ransomware folyamatosan írt, csípett a fejlesztők, így az aláírások gyakran nem fogott tipikus anti-vírus programok. Valójában a ransomware-nek áldozatul eső vállalatok akár 75%-a naprakész végpontvédelmet folytatott a fertőzött gépeken.

Ransomware nem olyan elterjedt, mint régen., Ha azt szeretnénk, egy kis jó hír, ez: a számos ransomware támadások, után felrobbant a közepén “10-es évek, csökkent, bár a kezdeti számok elég magasak voltak ahhoz, hogy ez még mindig. De az első negyedévben 2017, ransomware támadások tette ki 60 százaléka malware terhelések; most ez le 5 százalék.

Ransomware a hanyatlás?

mi mögött ez a nagy dip? Sok szempontból ez egy gazdasági döntés alapján a cybercriminal pénzneme választás: bitcoin., A váltságdíj kinyerése egy áldozattól mindig eltalált vagy hiányzik; lehet, hogy nem döntenek úgy, hogy fizetnek, vagy még akkor is, ha akarnak, lehet, hogy nem ismerik eléggé a Bitcoint, hogy kitalálják, hogyan kell ezt megtenni.

a Kaspersky rámutat, a csökkenés a ransomware párosult emelkedett az úgynevezett cryptomining malware, amely megfertőzi az áldozat számítógépén használja a számítási erő létrehozása (vagy az enyém, a fizetőeszköz nyelvben) a bitcoin anélkül, hogy a tulajdonos tudta., Ez egy ügyes útvonal segítségével valaki más erőforrásait, hogy Bitcoin, amely megkerüli a legtöbb nehézséget pontozási váltságdíjat, és ez csak ütött vonzóbb, mint a cyberattack, mint az ár a bitcoin tüskés végén 2017.

Ez azonban nem jelenti azt, hogy a fenyegetésnek vége. Két különböző típusú ransomware támadók: “commodity “támadások, hogy megpróbálja megfertőzni számítógépek válogatás nélkül puszta kötet, és tartalmazza az úgynevezett” ransomware, mint a szolgáltatás ” platformok, hogy a bűnözők lehet bérelni; és célzott csoportok, amelyek középpontjában a különösen veszélyeztetett piaci szegmensek és szervezetek., Meg kell őr, ha az utóbbi kategóriában, nem számít, ha a nagy ransomware boom telt el.

a bitcoin ára 2018 folyamán csökken, a támadók költség-haszon elemzése visszatérhet. Végső soron a ransomware vagy a cryptomining malware használata üzleti döntés a támadók számára-mondja Steve Grobman, a McAfee technológiai vezetője. “Ahogy cryptocurrency árak csökkennek, ez természetes, hogy egy műszak vissza .”

kell fizetni a váltságdíjat?,

Ha a rendszer fertőzött malware, és elvesztette létfontosságú adatokat, hogy nem lehet visszaállítani a biztonsági mentés, meg kell fizetni a váltságdíjat?

amikor elméletileg beszél, a legtöbb bűnüldöző szerv arra ösztönzi Önt, hogy ne fizessen ransomware támadókat, azon a logikán, hogy ez csak arra ösztönzi a hackereket, hogy több ransomware-t hozzanak létre. Ennek ellenére sok olyan szervezet, amely a rosszindulatú programok által sújtott, gyorsan abbahagyja a “nagyobb jó” gondolkodását, és elkezd költség-haszon elemzést végezni, mérlegelve a váltságdíj árát a titkosított adatok értékével szemben., A Trend Micro kutatása szerint, míg a vállalatok 66 százaléka azt mondja, hogy elvi szempontból soha nem fizet váltságdíjat, a gyakorlatban 65 százalék valójában fizeti a váltságdíjat, amikor megütik őket.

a Ransomware támadók viszonylag alacsony áron tartják az árakat – általában 700-1300 dollár között, egy olyan összeg, amelyet a vállalatok általában rövid időn belül fizethetnek. Néhány különösen kifinomult malware fogja észlelni az országot, ahol a fertőzött számítógép fut, és állítsa be a váltságdíjat, hogy megfeleljen az adott nemzet gazdasága, igényes több vállalat gazdag országokban, kevesebb azoktól a szegény régiókban.,

gyakran kínálnak kedvezményeket a gyors cselekvéshez, hogy ösztönözzék az áldozatokat arra, hogy gyorsan fizessenek, mielőtt túl sokat gondolkodnának róla. Általában, az ár pont úgy van beállítva, hogy ez elég magas ahhoz, hogy megéri a bűnöző, de elég alacsony, hogy ez gyakran olcsóbb, mint amit az áldozat kellene fizetnie, hogy visszaállítsa a számítógép vagy rekonstruálni az elveszett adatok., Ezt szem előtt tartva, egyes vállalatok kezdik építeni a lehetséges szükségességét, hogy váltságdíjat fizetni a biztonsági tervek: például, néhány nagy brit cégek, akik egyébként uninved cryptocurrency tartanak néhány Bitcoin tartalék kifejezetten váltságdíj kifizetések.

van egy pár trükkös dolog, hogy emlékezzen itt, szem előtt tartva, hogy az emberek akkor foglalkozik, természetesen, bűnözők. Először is, mi úgy néz ki, mint ransomware nem ténylegesen titkosította az adatokat egyáltalán; győződjön meg róla, nem foglalkozik az úgynevezett “scareware”, mielőtt bármilyen pénzt küldeni senkinek., Másodszor, fizet a támadók nem garantálja, hogy akkor kap a fájlokat vissza. Előfordul, hogy a bűnözők egyszerűen elveszik a pénzt és elfutnak, és talán még a dekódolási funkciót sem építették be a kártevőbe. De minden ilyen rosszindulatú, hamar híre megy, de nem”t bevételt, így a legtöbb esetben — Gary Sockrider, fő biztonsági technológus az Arbor Networks, becslések szerint mintegy 65 70 százaléka az idő — a bűnözők gyere át, illetve az adatok visszaállítása.

kapcsolódó videó:

Ransomware: kifizeti a váltságdíjat?, / Sózott Hash Ep 19

Ransomware példák

míg ransomware technikailag már körül, mivel a”90-es évek, ez csak levette az elmúlt öt évben, nagyrészt azért, mert a rendelkezésre álló követhetetlen fizetési módok, mint a Bitcoin. A legrosszabb elkövetők volna:

  • CryptoLocker, egy 2013-ban támadást indított a modern ransomware korban fertőzött akár 500,000 gépek fénykorában.
  • a TeslaCrypt a játékfájlokat célozta meg, és folyamatos javulást látott a terror uralkodása alatt.,
  • a SimpleLocker volt az első elterjedt ransomware támadás, amely a mobil eszközökre összpontosított
  • a WannaCry autonóm módon terjedt el a számítógépről a számítógépre az EternalBlue segítségével, az NSA által kifejlesztett, majd a hackerek által ellopott exploit segítségével.
  • NotPetya az EternalBlue-t is használta, és része lehetett egy Ukrajna elleni orosz irányítású kibertámadásnak.
  • Locky 2016-ban kezdett elterjedni, és “támadási módjában hasonló volt a hírhedt Dridex banki szoftverhez.”Egy változat, Osiris, adathalász kampányokon keresztül terjedt el.,
  • a Leatherlockert először 2017-ben fedezték fel két androidos alkalmazásban: Booster & Cleaner and Wallpaper Blur HD. A fájlok titkosítása helyett zárolja a kezdőképernyőt, hogy megakadályozza az adatokhoz való hozzáférést.
  • a Wysiwye, amelyet szintén 2017-ben fedeztek fel, beolvassa az internetet az open Remote Desktop Protocol (RDP) szerverek számára. Ezután megpróbálja ellopni az RDP hitelesítő adatait, hogy elterjedjen a hálózaton.
  • Cerber nagyon hatékonynak bizonyult, amikor először jelent meg 2016-ban, nettósítás támadók $200,000 az év júliusában. Kihasználta a Microsoft sebezhetőségét a hálózatok megfertőzésére.,
  • a BadRabbit 2017-ben terjedt el Kelet-Európában és Ázsiában.
  • a SamSam 2015 óta működik, és elsősorban egészségügyi szervezeteket céloz meg.
  • Ryuk először 2018-ban jelent meg, és célzott támadásokban használják sebezhető szervezetek, például kórházak ellen. Gyakran használják más rosszindulatú programokkal, mint például a TrickBot.
  • A Maze egy viszonylag új ransomware csoport, amely ismert az ellopott adatok nyilvánosságra hozataláról, ha az áldozat nem fizet a dekódolásért.,
  • RobbinHood egy másik Örökkévaló változat, amely 2019-ben térdre hozta Baltimore városát, Marylandet.
  • GandCrab lehet A legjövedelmezőbb ransomware valaha. Fejlesztői, amelyek a programot számítógépes bűnözőknek adták el, 2019 júliusától több mint 2 milliárd dollárt követelnek az áldozatok kifizetéseiben.
  • a Sodinokibi a Microsoft Windows rendszereket célozza meg, és a konfigurációs fájlok kivételével titkosítja az összes fájlt. Ez kapcsolódik GandCrab
  • Thanos a legújabb ransomware ezen a listán, felfedezett januárban 2020., Ransomware-ként értékesítik, mint szolgáltatást, ez az első, aki a RIPlace technikát használja, amely megkerülheti a legtöbb ransomware módszert.

Ez a lista csak hosszabb lesz. Kövesse az itt felsorolt tippeket, hogy megvédje magát.

kapcsolódó videó:

Ransomware piacterek és a jövőben a malware / sózott Hash Ep 6


Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük