Ransomware explained: How it works and how to remove it
Ransomware definition
Ransomware is a form of malware that encrypts a victim ” s files. O atacante, em seguida, exige um resgate da vítima para restaurar o acesso aos dados após o pagamento.
Users are shown instructions for how to pay a fee to get the decryption key. Os custos podem variar de algumas centenas de dólares a milhares, pagáveis aos criminosos cibernéticos da Bitcoin.
como ransomware funciona
há um número de vetores que ransomware pode levar para acessar um computador., Um dos sistemas de entrega mais comuns é phishing spam-anexos que vêm para a vítima em um e-mail, mascarando-se como um arquivo que eles devem confiar. Uma vez baixados e abertos, eles podem assumir o computador da vítima, especialmente se eles têm ferramentas de engenharia social embutidas que enganam os usuários para permitir o acesso administrativo. Algumas outras formas mais agressivas de ransomware, como NotPetya, exploram buracos de segurança para infectar computadores sem precisar enganar usuários.,
Existem várias coisas que o malware pode fazer uma vez que é tomada sobre o computador da vítima, mas de longe a ação mais comum é criptografar alguns ou todos os arquivos do Usuário. Se você quiser os detalhes técnicos, O Instituto Infosec tem uma grande profundidade olhar como vários sabores de ransomware encriptar arquivos. Mas a coisa mais importante a saber é que, no final do processo, os arquivos não podem ser descriptografados sem uma chave matemática conhecida apenas pelo invasor., O Usuário é apresentado com uma mensagem explicando que seus arquivos estão agora inacessíveis e só serão descriptografados se a vítima enviar um pagamento Bitcoin não rastreável para o atacante.
Em algumas formas de malware, o invasor pode afirmar ser uma agência de aplicação da lei de encerrar a vítima”s computador, devido à presença de pornografia ou pirataria de software, e exigindo o pagamento de um “bem”, talvez para fazer vítimas menos propensos a relatar o ataque às autoridades. Mas a maioria dos ataques não se incomodam com esta pretensão., Há também uma variação, chamada leakware ou doxware, na qual o atacante ameaça divulgar dados sensíveis no disco rígido da vítima, a menos que um resgate seja pago. Mas porque encontrar e extrair tal informação é uma proposição muito complicada para os atacantes, criptografia ransomware é de longe o tipo mais comum.quem é o alvo do ransomware?
Existem várias maneiras diferentes de atacantes escolher as organizações que visam com ransomware., Às vezes é uma questão de oportunidade: por exemplo, atacantes podem atingir universidades porque eles tendem a ter equipes de segurança menores e uma base de usuários díspares que faz um monte de compartilhamento de arquivos, tornando mais fácil penetrar suas defesas.por outro lado, algumas organizações são alvos tentadores porque parecem mais propensos a pagar um resgate rapidamente. Por exemplo, agências governamentais ou instalações médicas muitas vezes precisam de acesso imediato aos seus arquivos., As firmas de advocacia e outras organizações com dados sensíveis podem estar dispostas a pagar para manter em segredo as notícias de um compromisso — e estas organizações podem ser excepcionalmente sensíveis a ataques de leakware.
But don’t feel like you “re safe if you”don’t FITT these categories: as we noted, some ransomware spreads automatically and indiscriminally across the internet.
como prevenir ransomware
há uma série de medidas defensivas que você pode tomar para prevenir a infecção por ransomware., Estes passos são, naturalmente, boas práticas de segurança em geral, por isso, ao segui-los, melhora as suas defesas de todos os tipos de ataques:
- mantenha o seu sistema operacional remendado e actualizado para garantir que tenha menos vulnerabilidades a explorar.
- Não instale software ou dê privilégios administrativos a menos que você saiba exatamente o que é e o que ele faz.
- instale software antivírus, que detecta programas maliciosos como ransomware à medida que eles chegam, e software de whitelisting, que impede aplicações não autorizadas de executar em primeiro lugar.,
- e, claro, faça backup de seus arquivos, frequentemente e automaticamente! Isso não vai parar um ataque de malware, mas pode fazer os danos causados por um muito menos significativo.se o seu computador foi infectado com ransomware, terá de recuperar o controlo da sua máquina.,onstrating como fazer isso em uma máquina Windows 10:
O vídeo tem todos os detalhes, mas o importante etapas são:
- Reinicie o Windows 10 para o modo de segurança
- Instalar software antimalware
- verificar o sistema para encontrar o programa de ransomware
- Restaurar o computador para um estado anterior
Mas aqui o importante a manter em mente: enquanto caminhava através dessas etapas pode remover o malware do seu computador e restaurá-lo para seu controle, ganhou”t descriptografar seus arquivos., Sua transformação em ilegibilidade já aconteceu, e se o malware for sofisticado, será matematicamente impossível para qualquer um descriptografá-los sem acesso à chave que o atacante possui. Na verdade, ao remover o malware, você impediu a possibilidade de restaurar seus arquivos, pagando aos atacantes o resgate que eles pediram.
Ransomware factos e números
Ransomware é um grande negócio. Há muito dinheiro no ransomware, e o mercado expandiu-se rapidamente desde o início da década., Em 2017, ransomware resultou em US $ 5 bilhões em perdas, tanto em termos de resgates pagos e gastos e perdeu tempo na recuperação de ataques. Isso subiu 15 vezes a partir de 2015. No primeiro trimestre de 2018, apenas um tipo de software ransomware, SamSam, arrecadou um milhão de dólares em dinheiro de resgate.alguns mercados são particularmente propensos ao ransomware—e ao pagamento do resgate., Muitos ataques de alto perfil ransomware ocorreram em hospitais ou outras organizações médicas, que fazem alvos tentadores: os atacantes sabem que, com vidas literalmente em saldo, essas empresas são mais propensos a simplesmente pagar um resgate relativamente baixo para fazer um problema desaparecer. Estima-se que 45 por cento dos ataques de ransomware visam orgs de saúde, e, inversamente, que 85 por cento das infecções de malware em orgs de saúde são ransomware. Outra indústria tentadora? O sector dos serviços financeiros, que é, como o famoso Willie Sutton observou, onde está o dinheiro., Estima-se que 90% das instituições financeiras foram alvo de um ataque do ransomware em 2017. o seu software anti-malware não o protegerá necessariamente. Ransomware está constantemente sendo escrito e aperfeiçoado por seus desenvolvedores, e assim suas assinaturas não são muitas vezes capturadas por programas típicos anti-vírus. Na verdade, cerca de 75 por cento das empresas que são vítimas do ransomware estavam correndo proteção de endpoint atualizado nas máquinas infectadas.
Ransomware isn”t as prevalent as it used to be., Se você quer um pouco de boas notícias, é isto: o número de ataques de ransomware, depois de explodir em meados de “10s, entrou em declínio, embora os números iniciais fossem altos o suficiente para que ainda esteja. Mas no primeiro trimestre de 2017, os ataques ransomware representavam 60 por cento das cargas de malware; agora está abaixo de 5 por cento.
Ransomware em declínio?o que está por trás deste grande mergulho? Em muitos aspectos, é uma decisão econômica baseada na moeda de escolha do cibercriminal: a bitcoin., Extrair um resgate de uma vítima sempre foi atingido ou perdido; eles podem não decidir pagar, ou mesmo se quiserem, eles podem não estar familiarizados o suficiente com bitcoin para descobrir como realmente fazê-lo.
como Kaspersky aponta, o declínio no ransomware tem sido acompanhado por um aumento no chamado malware criptominante, que infecta o computador vítima e usa o seu poder de computação para criar (ou o meu, em linguagem criptomurrency) bitcoin sem o proprietário saber., Esta é uma rota limpa para usar os recursos de outra pessoa para obter bitcoin que ultrapassa a maioria das dificuldades em conseguir um resgate, e ele só se tornou mais atraente como um ciberataque como o preço da bitcoin disparou no final de 2017.no entanto, isso não significa que a ameaça tenha acabado. Existem dois tipos diferentes de atacantes ransomware: ataques de “commodity” que tentam infectar os computadores indiscriminadamente por puro volume e incluem as chamadas plataformas de “ransomware como um serviço” que criminosos podem alugar; e grupos-alvo que se concentram em segmentos e organizações de mercado particularmente vulneráveis., Você deve estar de guarda se você está na última categoria, não importa se o grande boom ransomware passou.
com o preço da bitcoin caindo ao longo de 2018, a análise custo-benefício para os atacantes pode mudar para trás. Em última análise, o uso de ransomware ou malware criptomanizante é uma decisão de negócios para atacantes, diz Steve Grobman, diretor de tecnologia da McAfee. “À medida que os preços da criptomoeda baixam, é natural ver uma mudança para trás .deve pagar o resgate?,se o seu sistema foi infectado com malware, e perdeu dados vitais que não pode restaurar do backup, deve pagar o resgate?
ao falar teoricamente, a maioria das agências de aplicação da lei exortam você a não pagar atacantes de ransomware, na lógica de que fazê-lo só incentiva os hackers a criar mais ransomware. Dito isso, muitas organizações que se encontram aflitas por malware rapidamente param de pensar em termos de “bem maior” e começam a fazer uma análise de custo-benefício, pesando o preço do resgate contra o valor dos dados criptografados., De acordo com a pesquisa da Trend Micro, enquanto 66 por cento das empresas dizem que nunca pagariam um resgate como um ponto de princípio, na prática 65 por cento realmente pagam o resgate quando eles são atingidos.
ransomware attackers mantém os preços relativamente baixos-geralmente entre $ 700 e $ 1.300, uma quantia que as empresas podem pagar em curto prazo. Alguns malware particularmente sofisticados detectarão o país onde o computador infectado está funcionando e ajustarão o resgate para corresponder à economia desse país, exigindo mais de empresas em países ricos e menos de aquelas em regiões pobres.,
Existem muitas vezes descontos oferecidos para agir rapidamente, de modo a incentivar as vítimas a pagar rapidamente antes de pensar muito sobre isso. Em geral, o ponto de preço é definido de modo que ele”é alto o suficiente para valer o criminoso”s enquanto, mas baixo o suficiente que”é muitas vezes mais barato do que o que a vítima teria que pagar para restaurar o seu computador ou reconstruir os dados perdidos., Com isso em mente, algumas empresas estão começando a construir a necessidade potencial de pagar resgate em seus planos de segurança: por exemplo, algumas grandes empresas do Reino Unido, que de outra forma não estão envolvidas com a criptomoeda estão mantendo alguma Bitcoin em reserva, especificamente para pagamentos de resgate.
existem algumas coisas difíceis de lembrar aqui, tendo em mente que as pessoas com quem você está lidando são, é claro, criminosos. Primeiro, o que se parece com ransomware pode não ter realmente criptografado seus dados em tudo; certifique-se de que você não está”lidando com o chamado “scareware” antes de enviar qualquer dinheiro para qualquer um., E segundo, pagar aos atacantes não garante que recuperem os ficheiros. Às vezes, os criminosos apenas pegar o dinheiro e correr, e pode nem mesmo ter construído a funcionalidade de decriptação no malware. Mas qualquer malware desse tipo vai rapidamente obter uma reputação e não vai gerar receita, então na maioria dos casos — Gary Sockrider, principal tecnólogo de segurança da Arbor Networks, estima em cerca de 65 a 70 por cento do tempo — os bandidos chegam e seus dados são restaurados.vídeo relacionado: