Ransomware wyjaśnił: jak to działa i jak go usunąć

0 Comments

definicja Ransomware

Ransomware jest formą złośliwego oprogramowania, które szyfruje pliki ofiary. Atakujący żąda od ofiary okupu w celu przywrócenia dostępu do danych po dokonaniu płatności.

użytkownicy są wyświetlane instrukcje, jak uiścić opłatę, aby uzyskać klucz deszyfrowania. Koszty mogą wahać się od kilkuset dolarów do tysięcy, płatne cyberprzestępcom w Bitcoin.

jak działa ransomware

istnieje wiele wektorów, które ransomware może wykonać, aby uzyskać dostęp do komputera., Jednym z najczęstszych systemów dostarczania jest phishingowy spam — załączniki, które trafiają do ofiary w wiadomości e-mail, udając plik, któremu powinna zaufać. Po pobraniu i otwarciu mogą przejąć komputer ofiary, zwłaszcza jeśli mają wbudowane narzędzia inżynierii społecznej, które nakłaniają użytkowników do umożliwienia dostępu administracyjnego. Inne, bardziej agresywne formy oprogramowania ransomware, takie jak NotPetya, wykorzystują luki w zabezpieczeniach, aby zainfekować komputery bez konieczności oszukiwania użytkowników.,

istnieje kilka rzeczy, które złośliwe oprogramowanie może zrobić po przejęciu komputera ofiary, ale zdecydowanie najczęstszym działaniem jest szyfrowanie niektórych lub wszystkich plików użytkownika. Jeśli chcesz poznać szczegóły techniczne, Instytut Infosec ma dogłębne spojrzenie na to, jak kilka smaków oprogramowania ransomware szyfruje pliki. Ale najważniejszą rzeczą jest to, że pod koniec procesu pliki nie mogą być odszyfrowane bez klucza matematycznego znanego tylko przez atakującego., Użytkownik otrzymuje komunikat wyjaśniający, że jego pliki są teraz niedostępne i zostaną odszyfrowane tylko wtedy, gdy ofiara wyśle atakującemu niewykrywalną płatność Bitcoin.

w niektórych formach złośliwego oprogramowania atakujący może twierdzić, że jest organem ścigania, który wyłącza komputer ofiary z powodu obecności na nim pornografii lub pirackiego oprogramowania i żąda zapłaty”grzywny”, być może w celu zmniejszenia prawdopodobieństwa zgłoszenia ataku władzom. Ale większość ataków nie przeszkadza w tym udawaniu., Istnieje również odmiana, zwana leakware lub doxware, w której atakujący grozi upublicznieniem poufnych danych na dysku twardym ofiary, chyba że zostanie zapłacony okup. Ponieważ jednak znajdowanie i wydobywanie takich informacji jest bardzo trudną propozycją dla atakujących, szyfrowanie ransomware jest zdecydowanie najczęstszym typem.

kto jest celem ransomware?

istnieje kilka różnych sposobów, w jaki atakujący wybierają organizacje, których atakują za pomocą oprogramowania ransomware., Czasami jest to kwestia możliwości: na przykład atakujący mogą atakować uniwersytety, ponieważ mają zwykle mniejsze zespoły ds. bezpieczeństwa i zróżnicowaną bazę użytkowników, która udostępnia wiele plików, ułatwiając penetrację ich zabezpieczeń.

z drugiej strony, niektóre organizacje są kuszące, ponieważ wydają się bardziej prawdopodobne, że szybko zapłacą okup. Na przykład agencje rządowe lub placówki medyczne często potrzebują natychmiastowego dostępu do swoich plików., Kancelarie Prawne i inne organizacje dysponujące wrażliwymi danymi mogą być skłonne zapłacić za milczenie wiadomości o kompromisie — a organizacje te mogą być wyjątkowo wrażliwe na ataki typu leakware.

ale nie czuj się bezpieczny, jeśli nie pasujesz do tych kategorii: jak zauważyliśmy, niektóre oprogramowanie ransomware rozprzestrzenia się automatycznie i bezkrytycznie w Internecie.

jak zapobiec ransomware

istnieje wiele kroków obronnych, które można podjąć, aby zapobiec infekcji ransomware., Te kroki są oczywiście dobrymi praktykami bezpieczeństwa w ogóle, więc ich przestrzeganie poprawia ochronę przed wszelkiego rodzaju atakami:

  • utrzymuj poprawkę i aktualność systemu operacyjnego, aby upewnić się, że masz mniej luk do wykorzystania.
  • nie instaluj oprogramowania ani nie nadawaj mu uprawnień administracyjnych, chyba że dokładnie wiesz, co to jest i co robi.
  • Zainstaluj oprogramowanie antywirusowe, które wykrywa złośliwe programy, takie jak ransomware, i oprogramowanie do białej listy, które zapobiega wykonywaniu nieautoryzowanych aplikacji w pierwszej kolejności.,
  • i oczywiście tworzenie kopii zapasowych plików, często i automatycznie! To nie powstrzyma ataku złośliwego oprogramowania, ale może sprawić, że szkody wyrządzone przez jednego znacznie mniej znaczące.

usuwanie Ransomware

Jeśli komputer został zainfekowany ransomware, musisz odzyskać kontrolę nad swoim komputerem.,aby dowiedzieć się, jak to zrobić na komputerze z systemem Windows 10:

film zawiera wszystkie szczegóły, ale ważne kroki są następujące:

  • Uruchom ponownie System Windows 10 w trybie awaryjnym
  • Zainstaluj oprogramowanie antymalware
  • skanuj system, aby znaleźć program ransomware
  • Przywróć komputer do poprzedniego stanu

ale oto ważna rzecz, o której należy pamiętać: podczas przechodzenia przez te kroki można usunąć złośliwe oprogramowanie z komputera i przywrócić je do kontroli, nie odszyfrowuje plików., Ich przekształcenie w nieczytelność już się wydarzyło, a jeśli złośliwe oprogramowanie jest w ogóle wyrafinowane, matematycznie niemożliwe będzie odszyfrowanie ich bez dostępu do klucza, który przechowuje atakujący. W rzeczywistości, usuwając złośliwe oprogramowanie, wykluczyłeś możliwość przywrócenia plików, płacąc atakującym żądany okup.

ransomware fakty i liczby

Ransomware to wielki biznes. W ransomware jest dużo pieniędzy, a rynek szybko się rozwijał od początku dekady., W 2017 r. oprogramowanie ransomware przyniosło 5 miliardów dolarów strat, zarówno pod względem zapłaconych okupów, jak i wydatków i straconego czasu na odzyskanie po atakach. To 15 razy więcej niż w 2015 roku. W pierwszym kwartale 2018 roku tylko jeden rodzaj oprogramowania ransomware, SamSam, zebrał milion dolarów okupu.

niektóre rynki są szczególnie podatne na ransomware—i płacenie okupu., Wiele głośnych ataków ransomware miało miejsce w szpitalach lub innych organizacjach medycznych, które sprawiają, że kuszące cele: atakujący wiedzą, że przy życiu dosłownie w równowadze, przedsiębiorstwa te są bardziej skłonne po prostu zapłacić stosunkowo niski okup, aby rozwiązać problem. Szacuje się, że 45 procent ataków ransomware jest adresowanych do organizacji opieki zdrowotnej, a 85 procent infekcji złośliwym oprogramowaniem w orgach opieki zdrowotnej to oprogramowanie ransomware. Kolejny kuszący przemysł? Sektor usług finansowych, czyli, jak zauważył Willie Sutton, gdzie znajdują się pieniądze., Szacuje się, że 90 procent instytucji finansowych było celem ataku ransomware w 2017 roku.

Twoje oprogramowanie anty-malware nie musi cię chronić. Ransomware jest ciągle pisany i modyfikowany przez jego twórców, więc jego sygnatury często nie są przechwytywane przez typowe programy antywirusowe. W rzeczywistości aż 75 procent firm, które padły ofiarą oprogramowania ransomware, uruchomiło na zainfekowanych komputerach aktualną ochronę punktów końcowych.

Ransomware nie jest tak rozpowszechniony, jak kiedyś., Jeśli chcesz trochę dobrej wiadomości, to jest to: liczba ataków ransomware, po wybuchu w połowie „10s, poszedł do spadku, choć początkowe numery były na tyle wysokie, że” jest nadal. Jednak w pierwszym kwartale 2017 r. ataki ransomware stanowiły 60 procent złośliwego oprogramowania; teraz spadły do 5 procent.

Ransomware na schyłku?

Co kryje się za tym wielkim dipem? Pod wieloma względami jest to decyzja ekonomiczna oparta na wybranej przez cyberprzestępcę walucie: Bitcoinie., Wydobywanie okupu od ofiary zawsze było trafione lub chybione; może nie zdecydować się na zapłacenie, a nawet jeśli chce, może nie być wystarczająco zaznajomiony z bitcoinem, aby dowiedzieć się, jak to zrobić.

jak zauważa Kaspersky, spadkowi ransomware towarzyszył wzrost tak zwanego złośliwego oprogramowania kryptograficznego, które infekuje komputer ofiary i wykorzystuje jego moc obliczeniową do tworzenia (lub kopalni, w języku kryptowalutowym) bitcoin bez wiedzy właściciela., Jest to zgrabna droga do korzystania z cudzych zasobów, aby uzyskać bitcoin, który omija większość trudności w zdobyciu okupu, a stał się bardziej atrakcyjny jako cyberatak, ponieważ cena bitcoina wzrosła pod koniec 2017.

nie oznacza to jednak, że zagrożenie się skończyło. Istnieją dwa różne rodzaje atakujących ransomware: ataki „towarowe”, które próbują zainfekować komputery masowo i obejmują tak zwane platformy” ransomware jako usługa”, które przestępcy mogą wynająć; oraz grupy docelowe, które koncentrują się na szczególnie wrażliwych segmentach rynku i organizacjach., Powinieneś być czujny, jeśli jesteś w tej drugiej kategorii, bez względu na to, czy minął wielki boom oprogramowania ransomware.

wraz ze spadkiem ceny bitcoina w ciągu 2018 roku analiza kosztów i korzyści dla atakujących może się cofnąć. Ostatecznie korzystanie z oprogramowania ransomware lub złośliwego oprogramowania kryptograficznego jest decyzją biznesową dla atakujących, mówi Steve Grobman, Chief technology officer w McAfee. „Ponieważ ceny kryptowalut spadają, naturalne jest cofnięcie się .”

czy należy zapłacić okup?,

Jeśli Twój system został zainfekowany złośliwym oprogramowaniem i utraciłeś istotne dane, których nie możesz przywrócić z kopii zapasowej, czy powinieneś zapłacić okup?

mówiąc teoretycznie, większość organów ścigania apeluje, aby nie płacić atakującym ransomware, zgodnie z logiką, która zachęca hakerów do tworzenia większej liczby programów ransomware. To powiedziawszy, wiele organizacji, które są dotknięte złośliwym oprogramowaniem, szybko przestaje myśleć w kategoriach „większego dobra” i rozpoczyna analizę kosztów i korzyści, ważąc cenę okupu w stosunku do wartości zaszyfrowanych danych., Według badań Trend Micro, podczas gdy 66 procent firm twierdzi, że nigdy nie zapłaci okupu z zasady, w praktyce 65 procent faktycznie płaci okup, gdy zostanie uderzony.

atakujący Ransomware utrzymują ceny na stosunkowo niskim poziomie — zwykle od 700 do 1300 USD, co firmy zwykle mogą sobie pozwolić na zapłacenie w krótkim czasie. Niektóre szczególnie wyrafinowane złośliwe oprogramowanie wykryje kraj, w którym działa zainfekowany komputer i dostosuje okup do gospodarki tego kraju, wymagając więcej od firm w bogatych krajach, a mniej od tych w biednych regionach.,

często oferowane są zniżki za szybkie działanie, aby zachęcić ofiary do szybkiego płacenia, zanim zbyt wiele o tym pomyśli. Ogólnie rzecz biorąc, cena jest ustawiona tak, że jest na tyle wysoka, aby była warta czasu przestępcy, ale na tyle niska, że często jest tańsza niż to, co ofiara musiałaby zapłacić, aby przywrócić komputer lub zrekonstruować utracone dane., Mając to na uwadze, niektóre firmy zaczynają budować potencjalną potrzebę płacenia okupu w swoich planach bezpieczeństwa: na przykład niektóre duże brytyjskie firmy, które w inny sposób nie są zaangażowane w kryptowaluty, trzymają trochę Bitcoin w rezerwie specjalnie dla płatności okupu.

jest tu kilka trudnych rzeczy do zapamiętania, pamiętając, że ludzie, z którymi masz do czynienia, są oczywiście przestępcami. Po pierwsze, wygląda na to, że oprogramowanie ransomware w ogóle nie zaszyfrowało Twoich danych; upewnij się, że nie masz do czynienia z tak zwanym „scareware”, zanim wyślesz jakiekolwiek pieniądze komukolwiek., A po drugie, płacenie napastnikom nie gwarantuje, że odzyskasz swoje pliki. Czasami przestępcy po prostu biorą pieniądze i uciekają, a może nawet nie mają wbudowanej funkcji deszyfrowania złośliwego oprogramowania. Ale takie złośliwe oprogramowanie szybko zyskuje reputację i nie generuje przychodów, więc w większości przypadków — Gary Sockrider, główny technolog bezpieczeństwa w Arbor Networks, szacuje, że około 65 do 70 procent czasu — oszuści przychodzą i Twoje dane są przywracane.

Powiązane wideo:

Ransomware: czy płacisz okup?, / Solone Hash Ep 19

przykłady Ransomware

chociaż ransomware technicznie istnieje od „90s, to”s tylko zdjęty w ciągu ostatnich pięciu lat lub więcej, głównie ze względu na dostępność nie do namierzenia metod płatności, takich jak Bitcoin. Niektóre z najgorszych sprawców to:

  • CryptoLocker, atak z 2013 roku, uruchomił nowoczesną erę oprogramowania ransomware i zainfekował do 500 000 maszyn na swojej wysokości.
  • TeslaCrypt celował Pliki Gier i widział stałą poprawę podczas jego rządów terroru.,
  • SimpleLocker był pierwszym powszechnym atakiem ransomware, który skupił się na urządzeniach mobilnych
  • WannaCry rozprzestrzeniał się autonomicznie z komputera na komputer za pomocą EternalBlue, exploita opracowanego przez NSA, a następnie skradzionego przez hakerów.
  • NotPetya również użył EternalBlue i mógł być częścią kierowanego przez Rosję cyberataku przeciwko Ukrainie.
  • Locky zaczął rozprzestrzeniać się w 2016 roku i był ” podobny w swoim trybie ataku do notorycznego oprogramowania bankowego Dridex.”Wariant, Ozyrys, został rozpowszechniony w kampaniach phishingowych.,
  • Leatherlocker został po raz pierwszy odkryty w 2017 roku w dwóch aplikacjach na Androida: Booster & Cleaner i Wallpaper Blur HD. Zamiast szyfrować pliki, blokuje ekran główny, aby uniemożliwić dostęp do danych.
  • Wysiwye, również odkryty w 2017 roku, skanuje sieć w poszukiwaniu serwerów open Remote Desktop Protocol (RDP). Następnie próbuje ukraść poświadczenia RDP, aby rozprzestrzenić się po sieci.
  • Cerber okazał się bardzo skuteczny, gdy pojawił się po raz pierwszy w 2016 roku, w lipcu tego samego roku. Wykorzystała lukę Microsoft do zainfekowania sieci.,
  • BadRabbit rozpowszechnił się w 2017 roku w firmach medialnych w Europie Wschodniej i Azji.
  • SamSam istnieje od 2015 roku i jest adresowany głównie do organizacji opieki zdrowotnej.
  • Ryuk po raz pierwszy pojawił się w 2018 roku i jest używany w celowych atakach przeciwko podatnym organizacjom, takim jak szpitale. Jest często używany w połączeniu z innym złośliwym oprogramowaniem, takim jak TrickBot.
  • Maze to stosunkowo nowa grupa oprogramowania ransomware znana z publicznego udostępniania skradzionych danych, jeśli ofiara nie płaci za ich odszyfrowanie.,
  • RobbinHood to kolejny wariant EternalBlue, który w 2019 roku powalił na kolana Miasto Baltimore w stanie Maryland.
  • GandCrab może być najbardziej lukratywnym oprogramowaniem ransomware w historii. Jego twórcy, którzy sprzedali program cyberprzestępcom, domagają się ponad 2 miliardów dolarów wypłat ofiar w lipcu 2019.
  • Sodinokibi atakuje systemy Microsoft Windows i szyfruje wszystkie pliki z wyjątkiem plików konfiguracyjnych. Jest to związane z GandCrab
  • Thanos jest najnowszym oprogramowaniem ransomware na tej liście, odkrytym w styczniu 2020., Jest sprzedawany jako ransomware jako usługa, jako pierwszy wykorzystuje technikę RIPlace, która może ominąć większość metod Anty-ransomware.

Ta lista po prostu się wydłuży. Postępuj zgodnie z wskazówkami wymienionymi tutaj, aby się chronić.

Powiązane wideo:

rynek Ransomware i przyszłość złośliwego oprogramowania | solone Hash Ep 6


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *