Ransomware explained: How it works and how to remove it

0 Comments

Ransomware definition

Ransomware is a form of malware that encrypts a victim ” s files. O atacante, em seguida, exige um resgate da vítima para restaurar o acesso aos dados após o pagamento.

Users are shown instructions for how to pay a fee to get the decryption key. Os custos podem variar de algumas centenas de dólares a milhares, pagáveis aos criminosos cibernéticos da Bitcoin.

como ransomware funciona

há um número de vetores que ransomware pode levar para acessar um computador., Um dos sistemas de entrega mais comuns é phishing spam-anexos que vêm para a vítima em um e-mail, mascarando-se como um arquivo que eles devem confiar. Uma vez baixados e abertos, eles podem assumir o computador da vítima, especialmente se eles têm ferramentas de engenharia social embutidas que enganam os usuários para permitir o acesso administrativo. Algumas outras formas mais agressivas de ransomware, como NotPetya, exploram buracos de segurança para infectar computadores sem precisar enganar usuários.,

Existem várias coisas que o malware pode fazer uma vez que é tomada sobre o computador da vítima, mas de longe a ação mais comum é criptografar alguns ou todos os arquivos do Usuário. Se você quiser os detalhes técnicos, O Instituto Infosec tem uma grande profundidade olhar como vários sabores de ransomware encriptar arquivos. Mas a coisa mais importante a saber é que, no final do processo, os arquivos não podem ser descriptografados sem uma chave matemática conhecida apenas pelo invasor., O Usuário é apresentado com uma mensagem explicando que seus arquivos estão agora inacessíveis e só serão descriptografados se a vítima enviar um pagamento Bitcoin não rastreável para o atacante.

Em algumas formas de malware, o invasor pode afirmar ser uma agência de aplicação da lei de encerrar a vítima”s computador, devido à presença de pornografia ou pirataria de software, e exigindo o pagamento de um “bem”, talvez para fazer vítimas menos propensos a relatar o ataque às autoridades. Mas a maioria dos ataques não se incomodam com esta pretensão., Há também uma variação, chamada leakware ou doxware, na qual o atacante ameaça divulgar dados sensíveis no disco rígido da vítima, a menos que um resgate seja pago. Mas porque encontrar e extrair tal informação é uma proposição muito complicada para os atacantes, criptografia ransomware é de longe o tipo mais comum.quem é o alvo do ransomware?

Existem várias maneiras diferentes de atacantes escolher as organizações que visam com ransomware., Às vezes é uma questão de oportunidade: por exemplo, atacantes podem atingir universidades porque eles tendem a ter equipes de segurança menores e uma base de usuários díspares que faz um monte de compartilhamento de arquivos, tornando mais fácil penetrar suas defesas.por outro lado, algumas organizações são alvos tentadores porque parecem mais propensos a pagar um resgate rapidamente. Por exemplo, agências governamentais ou instalações médicas muitas vezes precisam de acesso imediato aos seus arquivos., As firmas de advocacia e outras organizações com dados sensíveis podem estar dispostas a pagar para manter em segredo as notícias de um compromisso — e estas organizações podem ser excepcionalmente sensíveis a ataques de leakware.

But don’t feel like you “re safe if you”don’t FITT these categories: as we noted, some ransomware spreads automatically and indiscriminally across the internet.

como prevenir ransomware

há uma série de medidas defensivas que você pode tomar para prevenir a infecção por ransomware., Estes passos são, naturalmente, boas práticas de segurança em geral, por isso, ao segui-los, melhora as suas defesas de todos os tipos de ataques:

  • mantenha o seu sistema operacional remendado e actualizado para garantir que tenha menos vulnerabilidades a explorar.
  • Não instale software ou dê privilégios administrativos a menos que você saiba exatamente o que é e o que ele faz.
  • instale software antivírus, que detecta programas maliciosos como ransomware à medida que eles chegam, e software de whitelisting, que impede aplicações não autorizadas de executar em primeiro lugar.,
  • e, claro, faça backup de seus arquivos, frequentemente e automaticamente! Isso não vai parar um ataque de malware, mas pode fazer os danos causados por um muito menos significativo.se o seu computador foi infectado com ransomware, terá de recuperar o controlo da sua máquina.,onstrating como fazer isso em uma máquina Windows 10:

    O vídeo tem todos os detalhes, mas o importante etapas são:

    • Reinicie o Windows 10 para o modo de segurança
    • Instalar software antimalware
    • verificar o sistema para encontrar o programa de ransomware
    • Restaurar o computador para um estado anterior

    Mas aqui o importante a manter em mente: enquanto caminhava através dessas etapas pode remover o malware do seu computador e restaurá-lo para seu controle, ganhou”t descriptografar seus arquivos., Sua transformação em ilegibilidade já aconteceu, e se o malware for sofisticado, será matematicamente impossível para qualquer um descriptografá-los sem acesso à chave que o atacante possui. Na verdade, ao remover o malware, você impediu a possibilidade de restaurar seus arquivos, pagando aos atacantes o resgate que eles pediram.

    Ransomware factos e números

    Ransomware é um grande negócio. Há muito dinheiro no ransomware, e o mercado expandiu-se rapidamente desde o início da década., Em 2017, ransomware resultou em US $ 5 bilhões em perdas, tanto em termos de resgates pagos e gastos e perdeu tempo na recuperação de ataques. Isso subiu 15 vezes a partir de 2015. No primeiro trimestre de 2018, apenas um tipo de software ransomware, SamSam, arrecadou um milhão de dólares em dinheiro de resgate.alguns mercados são particularmente propensos ao ransomware—e ao pagamento do resgate., Muitos ataques de alto perfil ransomware ocorreram em hospitais ou outras organizações médicas, que fazem alvos tentadores: os atacantes sabem que, com vidas literalmente em saldo, essas empresas são mais propensos a simplesmente pagar um resgate relativamente baixo para fazer um problema desaparecer. Estima-se que 45 por cento dos ataques de ransomware visam orgs de saúde, e, inversamente, que 85 por cento das infecções de malware em orgs de saúde são ransomware. Outra indústria tentadora? O sector dos serviços financeiros, que é, como o famoso Willie Sutton observou, onde está o dinheiro., Estima-se que 90% das instituições financeiras foram alvo de um ataque do ransomware em 2017. o seu software anti-malware não o protegerá necessariamente. Ransomware está constantemente sendo escrito e aperfeiçoado por seus desenvolvedores, e assim suas assinaturas não são muitas vezes capturadas por programas típicos anti-vírus. Na verdade, cerca de 75 por cento das empresas que são vítimas do ransomware estavam correndo proteção de endpoint atualizado nas máquinas infectadas.

    Ransomware isn”t as prevalent as it used to be., Se você quer um pouco de boas notícias, é isto: o número de ataques de ransomware, depois de explodir em meados de “10s, entrou em declínio, embora os números iniciais fossem altos o suficiente para que ainda esteja. Mas no primeiro trimestre de 2017, os ataques ransomware representavam 60 por cento das cargas de malware; agora está abaixo de 5 por cento.

    Ransomware em declínio?o que está por trás deste grande mergulho? Em muitos aspectos, é uma decisão econômica baseada na moeda de escolha do cibercriminal: a bitcoin., Extrair um resgate de uma vítima sempre foi atingido ou perdido; eles podem não decidir pagar, ou mesmo se quiserem, eles podem não estar familiarizados o suficiente com bitcoin para descobrir como realmente fazê-lo.

    como Kaspersky aponta, o declínio no ransomware tem sido acompanhado por um aumento no chamado malware criptominante, que infecta o computador vítima e usa o seu poder de computação para criar (ou o meu, em linguagem criptomurrency) bitcoin sem o proprietário saber., Esta é uma rota limpa para usar os recursos de outra pessoa para obter bitcoin que ultrapassa a maioria das dificuldades em conseguir um resgate, e ele só se tornou mais atraente como um ciberataque como o preço da bitcoin disparou no final de 2017.no entanto, isso não significa que a ameaça tenha acabado. Existem dois tipos diferentes de atacantes ransomware: ataques de “commodity” que tentam infectar os computadores indiscriminadamente por puro volume e incluem as chamadas plataformas de “ransomware como um serviço” que criminosos podem alugar; e grupos-alvo que se concentram em segmentos e organizações de mercado particularmente vulneráveis., Você deve estar de guarda se você está na última categoria, não importa se o grande boom ransomware passou.

    com o preço da bitcoin caindo ao longo de 2018, a análise custo-benefício para os atacantes pode mudar para trás. Em última análise, o uso de ransomware ou malware criptomanizante é uma decisão de negócios para atacantes, diz Steve Grobman, diretor de tecnologia da McAfee. “À medida que os preços da criptomoeda baixam, é natural ver uma mudança para trás .deve pagar o resgate?,se o seu sistema foi infectado com malware, e perdeu dados vitais que não pode restaurar do backup, deve pagar o resgate?

    ao falar teoricamente, a maioria das agências de aplicação da lei exortam você a não pagar atacantes de ransomware, na lógica de que fazê-lo só incentiva os hackers a criar mais ransomware. Dito isso, muitas organizações que se encontram aflitas por malware rapidamente param de pensar em termos de “bem maior” e começam a fazer uma análise de custo-benefício, pesando o preço do resgate contra o valor dos dados criptografados., De acordo com a pesquisa da Trend Micro, enquanto 66 por cento das empresas dizem que nunca pagariam um resgate como um ponto de princípio, na prática 65 por cento realmente pagam o resgate quando eles são atingidos.

    ransomware attackers mantém os preços relativamente baixos-geralmente entre $ 700 e $ 1.300, uma quantia que as empresas podem pagar em curto prazo. Alguns malware particularmente sofisticados detectarão o país onde o computador infectado está funcionando e ajustarão o resgate para corresponder à economia desse país, exigindo mais de empresas em países ricos e menos de aquelas em regiões pobres.,

    Existem muitas vezes descontos oferecidos para agir rapidamente, de modo a incentivar as vítimas a pagar rapidamente antes de pensar muito sobre isso. Em geral, o ponto de preço é definido de modo que ele”é alto o suficiente para valer o criminoso”s enquanto, mas baixo o suficiente que”é muitas vezes mais barato do que o que a vítima teria que pagar para restaurar o seu computador ou reconstruir os dados perdidos., Com isso em mente, algumas empresas estão começando a construir a necessidade potencial de pagar resgate em seus planos de segurança: por exemplo, algumas grandes empresas do Reino Unido, que de outra forma não estão envolvidas com a criptomoeda estão mantendo alguma Bitcoin em reserva, especificamente para pagamentos de resgate.

    existem algumas coisas difíceis de lembrar aqui, tendo em mente que as pessoas com quem você está lidando são, é claro, criminosos. Primeiro, o que se parece com ransomware pode não ter realmente criptografado seus dados em tudo; certifique-se de que você não está”lidando com o chamado “scareware” antes de enviar qualquer dinheiro para qualquer um., E segundo, pagar aos atacantes não garante que recuperem os ficheiros. Às vezes, os criminosos apenas pegar o dinheiro e correr, e pode nem mesmo ter construído a funcionalidade de decriptação no malware. Mas qualquer malware desse tipo vai rapidamente obter uma reputação e não vai gerar receita, então na maioria dos casos — Gary Sockrider, principal tecnólogo de segurança da Arbor Networks, estima em cerca de 65 a 70 por cento do tempo — os bandidos chegam e seus dados são restaurados.vídeo relacionado:

    Ransomware: você paga o resgate?, | Salgado Hash Ep 19

    Ransomware exemplos

    Enquanto ransomware tecnicamente tem sido em torno desde a década de 90, é só decolou nos últimos cinco anos, principalmente por causa da disponibilidade de untraceable métodos de pagamento como Bitcoin. Alguns dos piores infratores foram:

    • CryptoLocker, um ataque de 2013, lançou a era moderna do ransomware e infectou até 500.000 máquinas em sua altura.TeslaCrypt selected gaming files and saw constant improvement during its reign Of terror.,SimpleLocker foi o primeiro ataque generalizado de ransomware que se concentrou em dispositivos móveis WannaCry se espalhou autonomamente de computador para computador usando EternalBlue, uma façanha desenvolvida pela NSA e depois roubada por hackers.NotPetya também usou EternalBlue e pode ter sido parte de um ataque cibernético dirigido pela Rússia contra a Ucrânia.
    • Locky começou a se espalhar em 2016 e foi ” similar em seu modo de ataque ao notório software bancário Dridex. Uma variante, Osíris, foi espalhada através de campanhas de phishing.,
    • Leatherlocker foi descoberto pela primeira vez em 2017 em duas aplicações Android: Booster & Cleaner and Wallpaper Blur HD. Ao invés de criptografar arquivos, ele bloqueia a tela inicial para impedir o acesso aos dados.
    • Wysiwye, também descoberto em 2017, digitaliza a web para servidores open Remote Desktop Protocol (RDP). Ele então tenta roubar credenciais RDP para se espalhar pela rede.Cerber provou ser muito eficaz quando apareceu pela primeira vez em 2016, fazendo a compensação de US $200.000 em julho daquele ano. Aproveitou – se de uma vulnerabilidade da Microsoft para infectar redes.,
    • BadRabbit se espalhou por empresas de mídia na Europa Oriental e Ásia em 2017.
    • SamSam existe desde 2015 e tem como alvo principalmente organizações de saúde.Ryuk apareceu pela primeira vez em 2018 e é usado em ataques contra organizações vulneráveis, como hospitais. É muitas vezes usado em combinação com outros malware como TrickBot.

    • Maze é um grupo de ransomware relativamente novo conhecido por liberar dados roubados para o público se a vítima não pagar para descriptografá-lo.,RobbinHood é outra variante EternalBlue que trouxe a cidade de Baltimore, Maryland, de joelhos em 2019.GandCrab pode ser o ransomware mais lucrativo de sempre. Seus desenvolvedores, que venderam o programa aos criminosos cibernéticos, reclamaram mais de US $2 bilhões em pagamentos de vítimas a partir de julho de 2019.
    • Sodinokibi Visa sistemas Microsoft Windows e criptografa todos os arquivos, exceto arquivos de configuração. Ele está relacionado com GandCrab
    • Thanos é o mais novo ransomware desta lista, descoberto em janeiro de 2020., É vendido como ransomware como um serviço, é o primeiro a usar a técnica RIPlace, que pode contornar a maioria dos métodos Anti-ransomware.

    Esta lista só vai ficar mais longa. Siga as dicas listadas aqui para se proteger.

    vídeos Relacionados:

    Ransomware mercados e o futuro de malware | Salgado Hash Ep 6


Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *