Ransomware ha spiegato: Come funziona e come rimuoverlo
Ransomware definizione
Ransomware è una forma di malware che crittografa i file di una vittima. L’attaccante richiede quindi un riscatto dalla vittima per ripristinare l’accesso ai dati al momento del pagamento.
Agli utenti vengono mostrate le istruzioni su come pagare una tassa per ottenere la chiave di decrittazione. I costi possono variare da poche centinaia di dollari a migliaia, pagabili ai criminali informatici in Bitcoin.
Come funziona ransomware
Ci sono un certo numero di vettori ransomware può prendere per accedere a un computer., Uno dei sistemi di consegna più comuni è lo spam di phishing — allegati che arrivano alla vittima in una e-mail, mascherati da un file di cui dovrebbero fidarsi. Una volta che sono scaricati e aperti, possono prendere in consegna il computer della vittima, soprattutto se hanno built-in strumenti di ingegneria sociale che ingannare gli utenti a consentire l”accesso amministrativo. Alcune altre forme più aggressive di ransomware, come NotPetya, sfruttano i buchi di sicurezza per infettare i computer senza dover ingannare gli utenti.,
Ci sono diverse cose che il malware potrebbe fare una volta che è preso in consegna il computer della vittima, ma di gran lunga l”azione più comune è quello di crittografare alcuni o tutti i file dell”utente. Se si desidera che i dettagli tecnici, l’Istituto Infosec ha un grande sguardo approfondito a come diversi sapori di ransomware crittografare i file. Ma la cosa più importante da sapere è che alla fine del processo, i file non possono essere decifrati senza una chiave matematica conosciuta solo dall’attaccante., All’utente viene presentato un messaggio che spiega che i loro file sono ora inaccessibili e verranno decifrati solo se la vittima invia un pagamento Bitcoin non rintracciabile all’attaccante.
In alcune forme di malware, l’attaccante potrebbe pretendere di essere un’agenzia di applicazione della legge che spegne il computer della vittima a causa della presenza di pornografia o software pirata su di esso, e chiedendo il pagamento di una”multa”, forse per rendere le vittime meno propense a segnalare l’attacco alle autorità. Ma la maggior parte degli attacchi non si preoccupano di questa pretesa., C”è anche una variazione, chiamato leakware o doxware, in cui l” attaccante minaccia di pubblicizzare i dati sensibili sul disco rigido della vittima a meno che non viene pagato un riscatto. Ma perché trovare ed estrarre tali informazioni è una proposta molto difficile per gli aggressori, crittografia ransomware è di gran lunga il tipo più comune.
Chi è un obiettivo per ransomware?
Esistono diversi modi in cui gli aggressori scelgono le organizzazioni che prendono di mira con il ransomware., A volte è una questione di opportunità: per esempio, gli aggressori potrebbero indirizzare le università perché tendono ad avere team di sicurezza più piccoli e una base di utenti disparati che fa un sacco di condivisione di file, rendendo più facile penetrare le loro difese.
D’altra parte, alcune organizzazioni sono obiettivi allettanti perché sembrano più propensi a pagare un riscatto in fretta. Ad esempio, le agenzie governative o le strutture mediche spesso hanno bisogno di un accesso immediato ai loro file., Studi legali e altre organizzazioni con dati sensibili possono essere disposti a pagare per mantenere la notizia di un compromesso tranquilla — e queste organizzazioni possono essere unicamente sensibili agli attacchi leakware.
Ma non si sentono come se fossi al sicuro se non si adattano queste categorie: come abbiamo notato, alcuni ransomware si diffonde automaticamente e indiscriminatamente su Internet.
Come prevenire ransomware
Ci sono una serie di passi difensivi si può prendere per prevenire l’infezione ransomware., Questi passaggi sono ovviamente buone pratiche di sicurezza in generale, quindi seguirli migliora le tue difese da tutti i tipi di attacchi:
- Mantieni il tuo sistema operativo aggiornato e aggiornato per assicurarti di avere meno vulnerabilità da sfruttare.
- Non installare il software o dargli privilegi amministrativi a meno che non si sa esattamente che cosa è e che cosa fa.
- Installare il software antivirus, che rileva i programmi dannosi come ransomware come arrivano, e il software whitelisting, che impedisce applicazioni non autorizzate da eseguire in primo luogo.,
- E, naturalmente, eseguire il backup dei file, frequentemente e automaticamente! Che non si fermerà un attacco di malware, ma può rendere il danno causato da uno molto meno significativo.
Rimozione ransomware
Se il computer è stato infettato da ransomware, è necessario riprendere il controllo della macchina.,onstrating come fare questo su una macchina Windows 10:
Il video ha tutti i dettagli, ma i passaggi importanti sono:
- Riavvio di Windows 10 in modalità provvisoria
- Installazione software antimalware
- eseguire la Scansione del sistema per trovare il programma ransomware
- Ripristina il computer a uno stato precedente
Ma qui la”s la cosa importante da tenere a mente: mentre si cammina attraverso questi passaggi possono rimuovere il malware dal tuo computer e ripristinare il vostro controllo, ha vinto”t decrittografare i file., La loro trasformazione in non leggibilità è già avvenuta, e se il malware è affatto sofisticato, sarà matematicamente impossibile per chiunque decrittografarli senza accesso alla chiave che l’attaccante detiene. Infatti, rimuovendo il malware, hai precluso la possibilità di ripristinare i file pagando gli aggressori il riscatto che hanno chiesto.
Ransomware fatti e cifre
Ransomware è un grande business. C “è un sacco di soldi in ransomware, e il mercato si espanse rapidamente a partire dall” inizio del decennio., Nel 2017, ransomware ha provocato losses 5 miliardi di perdite, sia in termini di riscatti pagati e la spesa e ha perso tempo nel recupero da attacchi. Questo è fino 15 volte da 2015. Nel primo trimestre del 2018, solo un tipo di software ransomware, SamSam, raccolto un ransom 1 milione in denaro riscatto.
Alcuni mercati sono particolarmente inclini a ransomware—e al pagamento del riscatto., Molti attacchi ransomware di alto profilo si sono verificati in ospedali o altre organizzazioni mediche, che rendono obiettivi allettanti: gli aggressori sanno che, con vite letteralmente in bilico, queste imprese sono più propensi a pagare semplicemente un riscatto relativamente basso per fare un problema andare via. Si stima che 45 per cento degli attacchi ransomware bersaglio organizzazioni sanitarie, e, viceversa, che 85 per cento delle infezioni da malware a organizzazioni sanitarie sono ransomware. Un altro settore allettante? Il settore dei servizi finanziari, che è, come Willie Sutton notoriamente osservato, dove il denaro è., Si stima che il 90 per cento delle istituzioni finanziarie sono stati presi di mira da un attacco ransomware nel 2017.
Il tuo software anti-malware non ti proteggerà necessariamente. Ransomware viene costantemente scritto e ottimizzato dai suoi sviluppatori, e così le sue firme spesso non sono catturati da tipici programmi anti-virus. Infatti, ben il 75 per cento delle aziende che cadono vittima di ransomware erano in esecuzione up-to-date protezione degli endpoint sulle macchine infette.
Ransomware non è così prevalente come una volta., Se volete un po”di buone notizie, è questo: il numero di attacchi ransomware, dopo che esplode a metà degli anni “10, è andato in declino, anche se i numeri iniziali erano abbastanza alto che è ancora. Ma nel primo trimestre del 2017, gli attacchi ransomware costituito il 60 per cento dei carichi utili di malware; ora è giù al 5 per cento.
Ransomware in declino?
Cosa c”è dietro questo grande tuffo? In molti modi è una decisione economica basata sulla valuta di scelta del criminale informatico: bitcoin., Estrarre un riscatto da una vittima è sempre stato colpito o mancato; potrebbero non decidere di pagare, o anche se lo desiderano, potrebbero non avere abbastanza familiarità con bitcoin per capire come farlo effettivamente.
Come sottolinea Kaspersky, il declino del ransomware è stato accompagnato da un aumento del cosiddetto malware cryptomining, che infetta il computer vittima e utilizza la sua potenza di calcolo per creare (o il mio, in gergo criptovaluta) bitcoin senza che il proprietario lo sappia., Questo è un percorso pulito per utilizzare le risorse di qualcun altro per ottenere bitcoin che bypassa la maggior parte delle difficoltà nel segnare un riscatto, e ha ottenuto solo più attraente come un attacco informatico come il prezzo del bitcoin a spillo alla fine del 2017.
Ciò non significa che la minaccia sia finita, tuttavia. Esistono due diversi tipi di attacchi ransomware: attacchi” commodity “che cercano di infettare i computer indiscriminatamente per volume e includono le cosiddette piattaforme” ransomware as a service ” che i criminali possono affittare; e gruppi mirati che si concentrano su segmenti di mercato e organizzazioni particolarmente vulnerabili., Si dovrebbe essere in guardia se siete in quest ” ultima categoria, non importa se il grande boom ransomware è passato.
Con il prezzo del bitcoin in calo nel corso del 2018, l’analisi costi-benefici per gli aggressori potrebbe tornare indietro. In definitiva, utilizzando ransomware o cryptomining malware è una decisione di business per gli aggressori, dice Steve Grobman, Chief Technology officer di McAfee. “Con il calo dei prezzi delle criptovalute, è naturale vedere un ritorno indietro .”
Si dovrebbe pagare il riscatto?,
Se il sistema è stato infettato da malware, e hai perso i dati vitali che non è possibile ripristinare dal backup, si dovrebbe pagare il riscatto?
Quando si parla teoricamente, la maggior parte delle forze dell’ordine vi invitano a non pagare gli aggressori ransomware, sulla logica che così facendo incoraggia solo gli hacker per creare più ransomware. Detto questo, molte organizzazioni che si trovano afflitte da malware smettono rapidamente di pensare in termini di “bene superiore” e iniziano a fare un’analisi costi-benefici, soppesando il prezzo del riscatto rispetto al valore dei dati crittografati., Secondo una ricerca di Trend Micro, mentre il 66 per cento delle aziende dice che non avrebbe mai pagare un riscatto come punto di principio, in pratica il 65 per cento in realtà non pagare il riscatto quando vengono colpiti.
Aggressori ransomware mantenere i prezzi relativamente bassi — di solito tra $700 e $1.300, un importo aziende di solito possono permettersi di pagare con breve preavviso. Alcuni particolarmente sofisticato malware in grado di rilevare il paese in cui il computer infetto è in esecuzione e regolare il riscatto per abbinare l”economia di quella nazione, chiedendo di più da aziende nei paesi ricchi e meno da quelli nelle regioni povere.,
Ci sono spesso sconti offerti per agire in fretta, in modo da incoraggiare le vittime a pagare in fretta prima di pensare troppo su di esso. In generale, il punto di prezzo è impostato in modo che sia abbastanza alto da valere la pena del criminale, ma abbastanza basso che è spesso più conveniente di quello che la vittima avrebbe dovuto pagare per ripristinare il proprio computer o ricostruire i dati persi., Con questo in mente, alcune aziende stanno iniziando a costruire il potenziale bisogno di pagare il riscatto nei loro piani di sicurezza: ad esempio, alcune grandi aziende del Regno Unito che non sono altrimenti coinvolte nella criptovaluta stanno tenendo alcuni Bitcoin in riserva specificamente per i pagamenti del riscatto.
Ci sono un paio di cose difficili da ricordare qui, tenendo presente che le persone con cui hai a che fare sono, ovviamente, criminali. Primo, quello che sembra ransomware non può avere effettivamente crittografato i dati a tutti; assicurarsi che non si tratta di cosiddetti”scareware “prima di inviare i soldi a nessuno., E secondo, pagare gli aggressori non garantisce che otterrete i file indietro. A volte i criminali solo prendere i soldi e correre, e non può avere anche costruito funzionalità di decrittografia nel malware. Ma qualsiasi tale malware otterrà rapidamente una reputazione e non genererà entrate, quindi nella maggior parte dei casi — Gary Sockrider, principal security technologist presso Arbor Networks, stima intorno 65 a 70 per cento del tempo — i truffatori vengono attraverso e i dati vengono ripristinati.
Video correlati:
Ransomware esempi
Mentre ransomware è tecnicamente è stato intorno dagli anni “90, è soltanto negli ultimi cinque anni o giù di lì, in gran parte a causa della disponibilità di irrintracciabili metodi di pagamento come Bitcoin. Alcuni dei peggiori trasgressori sono stati:
- CryptoLocker, un attacco del 2013, ha lanciato la moderna età ransomware e infettato fino a 500.000 macchine al suo apice.
- TeslaCrypt ha preso di mira i file di gioco e ha visto un costante miglioramento durante il suo regno del terrore.,
- SimpleLocker è stato il primo attacco ransomware diffuso che si è concentrato sui dispositivi mobili
- WannaCry si è diffuso autonomamente da computer a computer utilizzando EternalBlue, un exploit sviluppato dalla NSA e poi rubato dagli hacker.
- NotPetya ha anche usato EternalBlue e potrebbe aver fatto parte di un attacco informatico diretto dalla Russia contro l’Ucraina.
- Locky ha iniziato a diffondersi nel 2016 ed era ” simile nella sua modalità di attacco al famigerato software bancario Dridex.”Una variante, Osiris, è stata diffusa attraverso campagne di phishing.,
- Leatherlocker è stato scoperto nel 2017 in due applicazioni Android: Booster& Cleaner e Wallpaper Blur HD. Invece di crittografare i file, blocca la schermata iniziale per impedire l’accesso ai dati.
- Wysiwye, scoperto anche nel 2017, esegue la scansione del web per open Remote Desktop Protocol (RDP) server. Quindi tenta di rubare le credenziali RDP per diffondersi in tutta la rete.
- Cerber si è dimostrato molto efficace quando è apparso per la prima volta nel 2016, compensando gli aggressori attackers 200.000 nel luglio dello stesso anno. Ha approfittato di una vulnerabilità di Microsoft per infettare le reti.,
- BadRabbit si è diffuso tra le società di media dell’Europa orientale e dell’Asia nel 2017.
- SamSam esiste dal 2015 e si rivolge principalmente alle organizzazioni sanitarie.
- Ryuk è apparso per la prima volta nel 2018 e viene utilizzato in attacchi mirati contro organizzazioni vulnerabili come gli ospedali. Viene spesso utilizzato in combinazione con altri malware come TrickBot.
- Maze è un gruppo ransomware relativamente nuovo noto per il rilascio di dati rubati al pubblico se la vittima non paga per decifrarlo.,
- RobbinHood è un’altra variante EternalBlue che ha messo in ginocchio la città di Baltimora, nel Maryland, nel 2019.
- GandCrab potrebbe essere il ransomware più redditizio mai. I suoi sviluppatori, che hanno venduto il programma ai criminali informatici, rivendicano più di billion 2 miliardi in pagamenti delle vittime a partire da luglio 2019.
- Sodinokibi si rivolge a sistemi Microsoft Windows e crittografa tutti i file tranne i file di configurazione. E ‘ legato a GandCrab
- Thanos è il più recente ransomware in questa lista, scoperto nel mese di gennaio 2020., Viene venduto come ransomware come servizio, è il primo ad utilizzare la tecnica RIPlace, che può bypassare la maggior parte dei metodi anti-ransomware.
Questa lista si allungherà. Seguire i suggerimenti elencati qui per proteggersi.
Video correlati: