Ransomware forklart: Hvordan det fungerer og hvordan du fjerner det
Ransomware definisjon
Ransomware er en form for malware som krypterer et offer»s-filer. Angriperen så krever løsepenger fra offeret til å gjenopprette tilgang til data ved betaling.
Brukere, vises instruksjoner for hvordan du skal betale en avgift for å få dekrypteringsnøkkelen. Kostnadene kan variere fra et par hundre dollar til tusenvis, som skal betales til nettkriminelle i Bitcoin.
Hvordan ransomware fungerer
Det finnes en rekke vektorer ransomware kan ta for å få tilgang til en datamaskin., En av de vanligste levering systemer er phishing-spam — vedlegg som kommer til offeret i en e-post, maskert som en fil de skal stole på. Når de»re lastet ned og åpnet, kan de ta over offeret»s datamaskin, spesielt hvis de har innebygd social engineering verktøy som kan lure brukere til å la administrativ tilgang. Noen andre, mer aggressive former for ransomware, som NotPetya, utnytte sikkerhetshull til å infisere datamaskiner uten at du trenger å lure brukere.,
Det er flere ting malware kan gjøre når den er tatt over offeret»s datamaskin, men langt den vanligste handlingen er å kryptere alle eller noen av brukeren»s-filer. Hvis du vil ha de tekniske detaljene, den Infosec Instituttet har en stor grundig titt på hvordan flere varianter av ransomware kryptere filer. Men mest viktig ting å vite er at på slutten av prosessen, filene kan ikke dekrypteres uten en matematisk nøkkel som bare er kjent av angriperen., Brukeren blir presentert med en melding som forklarer at deres filer nå er nå utilgjengelig og vil bare dekrypteres hvis offeret sender en untraceable Bitcoin betaling til angriperen.
I noen former for malware, angriperen kan hevde å være en politimyndigheter for å slå ned offeret»s datamaskin på grunn av nærværet av pornografi eller piratkopiert programvare på det, og kreve betaling av et «fint» kanskje for å gjøre ofrene mindre sannsynlighet for å rapportere angrepet til myndighetene. Men de fleste angrep don»t bry seg med dette påskudd., Det er også en variant, kalt leakware eller doxware, der angriperen truer med å offentliggjøre sensitive data på offeret»s harddisk med mindre løsepenger er betalt. Men fordi det å finne og hente ut slik informasjon er en svært vanskelig proposisjoner for angripere, kryptering ransomware er langt den mest vanlige typen.
Som er et mål for ransomware?
Det er flere forskjellige måter angripere velge organisasjonene de målet med ransomware., Noen ganger det er et spørsmål om mulighet: for eksempel at angriperne kan målrette mot universiteter fordi de har en tendens til å ha mindre sikkerhets-team og en variert brukergruppe som gjør mye av fildeling, noe som gjør det lettere å trenge gjennom deres forsvar.
På den annen side, noen organisasjoner er fristende mål fordi de virker mer sannsynlig til å betale løsepenger for raskt. For eksempel, offentlige etater eller medisinske fasiliteter ofte trenger umiddelbar tilgang til sine filer., Advokatfirmaer og andre organisasjoner med sensitive data kan være villig til å betale for å holde nyheten om et kompromiss rolig — og disse organisasjonene kan være unikt følsom for leakware angrep.
Men don»t føler du»re trygg hvis du don»t passer i disse kategoriene: som vi nevnte, noen ransomware sprer seg automatisk og ukritisk over internett.
Hvordan for å hindre ransomware
Det finnes en rekke defensive tiltak du kan ta for å hindre at ransomware infeksjon., Disse trinnene er en selvfølgelig god sikkerhet praksis generelt, så du følger dem, forbedrer ditt forsvar fra alle slags angrep:
- Holde operativsystemet oppdatert og up-to-date for å sikre at du har færre sårbarheter til å utnytte.
- Don»t å installere programvaren eller gi den administrative rettigheter, med mindre du vet nøyaktig hva det er og hva det gjør.
- Installer antivirus-programvare, som oppdager ondsinnede programmer som ransomware som de kommer, og whitelisting programvare, som hindrer uautoriserte programmer fra å kjøre i første omgang.,
- Og, selvfølgelig, må du sikkerhetskopiere filene, ofte og automatisk! Som vant»t stop en malware angrep, men det kan gjøre skade forårsaket av en mye mindre viktig.
Ransomware fjerning
Hvis datamaskinen har blitt infisert med ransomware, du»ll trenger å få kontroll over maskinen din.,onstrating hvordan du gjør dette på en Windows-10 maskin:
videoen har alle detaljer, men viktig skritt er å:
- Start Windows på nytt 10 til sikker modus
- Installere programvare for beskyttelse mot skadelig programvare
- Skanne systemet for å finne den ransomware program
- Gjenopprett datamaskinen til en tidligere tilstand
Men her er det viktig ting å huske på: mens du går gjennom disse trinnene kan fjerne malware fra din datamaskin og gjenopprette den til din kontroll, det vil»t dekryptere filene dine., Forvandlingen til unreadability som allerede har skjedd, og hvis malware er på alle sofistikert, vil det være matematisk umulig for noen å dekryptere dem uten tilgang til nøkkelen som angriperen har. Faktisk, ved å fjerne den skadelige programvaren, du»ve utelukket muligheten for å gjenopprette filer ved å betale angriperne løsepenger de»har bedt om.
Ransomware fakta og tall
Ransomware er big business. Det er mye penger i ransomware, og markedet utvidet seg raskt fra begynnelsen av tiåret., I 2017, ransomware resulterte i $5 milliarder kroner i tap, både i form av løsepenger er betalt og utgifter og tapt tid i å utvinne fra angrep. Det»er opptil 15 ganger fra 2015. I første kvartal 2018, bare en slags ransomware programvare, SamSam, er samlet inn $1 millioner i løsepenger.
Noen markeder er særlig utsatt for å ransomware—og til å betale løsepenger., Mange høyt profilerte ransomware angrep har funnet sted i sykehus eller andre medisinske organisasjoner, som gjør det fristende mål: angripere vet at, med liv bokstavelig talt i balanse, er disse virksomhetene er mer sannsynlig å bare betale en relativt lav løsepenger for å få problemet til å forsvinne. Det er anslått at 45 prosent av ransomware angrep mål healthcare orgs, og, omvendt, at 85 prosent av malware infeksjoner i helseinstitusjoner orgs er ransomware. En annen fristende industrien? Den finansielle tjenester sektor, som er, som Willie Sutton famously sa, hvor pengene er., Det er anslått at 90 prosent av finansinstitusjoner ble angrepet av en ransomware angrep i 2017.
anti-malware-programvaren som vant»t nødvendigvis beskytte deg. Ransomware er i stadig blir skrevet og forskjøvet av sine utviklere, og så sine signaturer er ofte ikke fanget opp av typiske anti-virus programmer. Faktisk så mange som 75 prosent av selskapene som faller offer å ransomware kjørte up-to-date endpoint protection på den infiserte maskiner.
Ransomware er»t så utbredt som det pleide å være., Hvis du vil ha en bit av gode nyheter, det er denne: antall ransomware angrep, etter eksplosjon i midten av «10-ere, har gått inn i en nedgang, selv om de første tallene var høy nok til at det»s ro. Men i første kvartal 2017, ransomware angrep består av 60 prosent av malware nyttelast; nå er det»s ned til 5 prosent.
Ransomware på nedgangen?
Hva»s bak denne store dukkert? På mange måter er det»s en økonomisk beslutning basert på de nettkriminelle»s valuta til valg: bitcoin., Utpakking av løsepenger fra et offer har alltid blitt truffet eller savner, de kan ikke bestemme seg for å betale, eller om de vil, de kan ikke bli godt nok kjent med bitcoin å finne ut hvordan å faktisk gjøre det.
Så Kaspersky peker ut, nedgangen i ransomware har vært motsvares av en økning i såkalte cryptomining malware, som infiserer offeret datamaskinen og bruker sin datakraft til å opprette (eller min, i cryptocurrency språkbruk) bitcoin uten at eieren vet om det., Dette er en fin rute å bruke noen andre»s ressurser for å få bitcoin som omgår de fleste av vanskelighetene i scoring løsepenger, og det har bare blitt mer attraktive som en cyberattack som prisen av bitcoin tilsatt i slutten av 2017.
Som doesn»t mener trusselen er over, men. Det finnes to forskjellige typer av ransomware angripere: «vare» angrep som prøver å infisere datamaskiner ukritisk av ren volum og inkluderer såkalt «ransomware som en tjeneste» plattformer som kriminelle kan leie; og målrettede grupper som fokuserer på spesielt sårbare markedssegmenter og organisasjoner., Du bør være på vakt hvis du»re i sistnevnte kategori, uansett om de store ransomware boom har gått.
Med prisen på bitcoin slippe i løpet av 2018, kost-nytte-analyse for angripere kan skifte tilbake. Til slutt, ved hjelp av ransomware eller cryptomining malware er en forretningsmessig beslutning for angripere, sier Steve Grobman, teknisk sjef hos McAfee. «Som cryptocurrency prisene synker, er det naturlig å se et skifte tilbake .»
Skal du betale løsepenger?,
Hvis systemet ditt har blitt infisert med skadelig programvare, og du»har mistet viktige data som du kan»t gjenopprette fra backup, bør du betale løsepenger?
Når du snakker teoretisk, mest politiet oppfordrer deg ikke til å betale ransomware angripere, på den logikken som gjør så bare oppfordrer hackere for å skape mer ransomware. Som sagt, mange organisasjoner som befinner seg rammet av malware raskt slutte å tenke i form av «bedre» og begynne å gjøre en kost-nytte-analyse, veiing prisen av løsepenger mot verdien av de krypterte dataene., Ifølge forskning fra Trend Micro, mens 66 prosent av bedriftene sier de vil aldri betale en løsepenge som et punkt i prinsippet, i praksis 65 prosent faktisk må betale løsepenger når de kommer hit.
Ransomware angripere holde prisene relativt lave — vanligvis mellom $700 og kr 1 300 i, et beløp som bedriftene kan vanligvis råd til å betale på kort varsel. Noen spesielt sofistikert malware vil oppdage landet der den infiserte datamaskinen kjører og justere løsepenger for å matche det folket»s økonomi, som krever mer fra selskaper i rike land og mindre av dem i fattige regioner.,
Det er ofte rabatter tilbys for å handle raskt, slik som å oppmuntre til ofrene til å betale raskt før du tenker for mye om det. I den generelle pris er satt slik at det er høyt nok til å være verdt den kriminelle»s stund, men lavt nok til at det er ofte billigere enn hva skadelidte ville ha til å betale for å gjenopprette sin datamaskin eller rekonstruere de tapte dataene., Med det i tankene, noen selskaper er i ferd med å bygge den potensielle trenger å betale løsepenger til deres sikkerhet planer: for eksempel, noen store, BRITISKE selskaper som ellers ikke deltar med cryptocurrency er å holde noen Bitcoin i reserve spesielt for løsepenger betalinger.
Det er et par av vanskelige ting å huske på her, og husk at personer du»re arbeider med er, selvfølgelig, kriminelle. Først, det ser ut som ransomware kan ikke ha faktisk kryptert data i det hele tatt; sørg for at du er»t arbeider med såkalte «scareware» før du sender penger til noen., Og for det andre, å betale angriperne doesn»t garantere at du vil få filene tilbake. Noen ganger de kriminelle bare ta pengene og løpe, og kanskje ikke har selv bygget dekryptering funksjonalitet inn malware. Men slike malware får raskt et rykte, og vant»t generere inntekter, så i de fleste tilfeller — Gary Sockrider, rektor sikkerhet teknolog på Arbor Networks, estimater rundt 65 til 70 prosent av tiden — crooks komme gjennom og dine data er gjenopprettet.
i Slekt video:
Ransomware eksempler
Mens ransomware har teknisk sett vært rundt siden «på 90-tallet, det er bare tatt av de siste fem årene eller så, hovedsakelig på grunn av tilgjengeligheten av untraceable betalingsmetoder som Bitcoin. Noen av de verste lovbrytere har vært:
- CryptoLocker, 2013 angrep, lanserte den moderne ransomware alder og infisert opp til 500.000 maskiner på sin høyde.
- TeslaCrypt målrettet gaming-filer og så konstant forbedring i løpet av sin regjeringstid av terror.,
- SimpleLocker var den første utbredt ransomware angrep som fokuserte på mobile enheter
- WannaCry spre seg selvstendig fra datamaskin til datamaskin ved hjelp av EternalBlue, en utnytte utviklet av NSA og deretter stjålet av hackere.
- NotPetya også brukes EternalBlue og kan ha vært en del av en russisk-anvist cyberattack mot Ukraina.
- Locky begynte å spre seg i 2016 og var «lik i sin modus for angrep til den beryktede programvare for banksektoren Dridex.»En variant, Osiris, var spre seg via phishing-kampanjer.,
- Leatherlocker ble først oppdaget i 2017 i to Android-programmer: Booster & Renere og Bakgrunn Uskarphet HD. Snarere enn å kryptere filer, den låser hjem-skjermen for å hindre tilgang til data.
- Wysiwye, også oppdaget i 2017, skanner nettet for å åpne Remote Desktop Protocol (RDP) servere. Det forsøker deretter å stjele RDP legitimasjon til å spre seg over hele nettverk.
- Cerber vist seg å være svært effektive når det først dukket opp i 2016, netting angripere $200 000 i juli samme år. Det tok fordel av et Microsoft sårbarhet for å infisere nettverk.,
- BadRabbit spredt over media selskaper i Øst-Europa og Asia i 2017.
- SamSam har eksistert siden 2015 og målrettet primært helseorganisasjoner.
- Ryuk først dukket opp i 2018, og er brukt i målrettede angrep mot sårbare organisasjoner som sykehus. Det er ofte brukt i kombinasjon med andre malware som TrickBot.
- Labyrinten er en relativt ny ransomware gruppe kjent for å slippe stjålet data til det offentlige hvis offeret ikke betale for å dekryptere den.,
- RobbinHood er en annen EternalBlue variant som brakte byen Baltimore, Maryland, til sine knær i 2019.
- GandCrab kan være den mest lukrative ransomware noensinne. Utviklere, som solgte program til nettkriminelle, hevder mer enn $2 milliarder kroner i offer utbetalinger i juli 2019.
- Sodinokibi mål Microsoft Windows-systemer og krypterer alle filer unntatt konfigurasjonsfiler. Det er i slekt å GandCrab
- Thanos er den nyeste ransomware på denne listen, oppdaget i januar 2020., Det er solgt som ransomware som en tjeneste, Det er de første til å bruke RIPlace teknikk, som kan omgå de fleste anti-ransomware metoder.
Denne listen er bare kommer til å bli lengre. Følg tipsene som er oppført her for å beskytte deg selv.
i Slekt video: