Ransomware uitgelegd: hoe het werkt en hoe het te verwijderen
Ransomware definitie
Ransomware is een vorm van malware die bestanden van een slachtoffer versleutelt. De aanvaller eist dan een losgeld van het slachtoffer om de toegang tot de gegevens te herstellen bij betaling.
gebruikers krijgen instructies voor het betalen van een vergoeding om de decryptie sleutel te krijgen. De kosten kunnen variëren van een paar honderd dollar tot duizenden, te betalen aan cybercriminelen in Bitcoin.
hoe ransomware werkt
Er zijn een aantal vectoren die ransomware kan gebruiken om toegang te krijgen tot een computer., Een van de meest voorkomende leveringssystemen is phishing spam — bijlagen die naar het slachtoffer komen in een e-mail, vermomd als een bestand dat ze moeten vertrouwen. Zodra ze ‘ re gedownload en geopend, ze kunnen de computer van het slachtoffer over te nemen, vooral als ze hebben ingebouwde social engineering tools die gebruikers te verleiden tot het toestaan van administratieve toegang. Sommige andere, meer agressieve vormen van ransomware, zoals NotPetya, exploiteren beveiligingslekken om computers te infecteren zonder gebruikers te misleiden.,
Er zijn verschillende dingen die de malware zou kunnen doen als het eenmaal is overgenomen van de computer van het slachtoffer, maar veruit de meest voorkomende actie is het versleutelen van sommige of alle bestanden van de gebruiker. Als u wilt dat de technische details, De Infosec Institute heeft een grote diepgaande blik op hoe verschillende smaken van ransomware bestanden te versleutelen. Maar het belangrijkste om te weten is dat aan het einde van het proces, de bestanden niet kunnen worden gedecodeerd zonder een wiskundige sleutel die alleen bekend is door de aanvaller., De gebruiker wordt gepresenteerd met een bericht waarin wordt uitgelegd dat hun bestanden zijn nu zijn nu ontoegankelijk en zal alleen worden gedecodeerd als het slachtoffer stuurt een onvindbare Bitcoin betaling aan de aanvaller.
in sommige vormen van malware kan de aanvaller beweren een wetshandhavingsinstantie te zijn die de computer van het slachtoffer afsluit vanwege de aanwezigheid van pornografie of illegale software, en de betaling van een”boete “eist, misschien om de slachtoffers minder kans te geven de aanval aan de autoriteiten te melden. Maar de meeste aanvallen doen geen moeite met deze schijn., Er is ook een variatie, genaamd leakware of doxware, waarin de aanvaller dreigt gevoelige gegevens op de harde schijf van het slachtoffer te publiceren, tenzij er losgeld wordt betaald. Maar omdat het vinden en extraheren van dergelijke informatie is een zeer lastig voorstel voor aanvallers, encryptie ransomware is veruit de meest voorkomende vorm.
Wie is een doel voor ransomware?
Er zijn verschillende manieren waarop aanvallers de organisaties kiezen waarop ze zich richten met ransomware., Soms is het ‘ s een kwestie van kans: bijvoorbeeld, aanvallers kunnen richten universiteiten, omdat ze de neiging hebben om kleinere beveiligingsteams en een ongelijksoortige user base die veel van het delen van bestanden doet, waardoor het gemakkelijker om hun verdediging te penetreren.
aan de andere kant zijn sommige organisaties targets aan het verleiden omdat ze meer kans maken om snel losgeld te betalen. Bijvoorbeeld, overheidsinstanties of medische voorzieningen hebben vaak onmiddellijke toegang tot hun bestanden., Advocatenkantoren en andere organisaties met gevoelige gegevens kunnen bereid zijn om te betalen om het nieuws van een compromis stil te houden — en deze organisaties kunnen uniek gevoelig zijn voor lekwareaanvallen.
maar je voelt je niet veilig als je niet in deze categorieën past: zoals we hebben opgemerkt, verspreidt sommige ransomware zich automatisch en zonder onderscheid over het internet.
hoe ransomware te voorkomen
Er zijn een aantal defensieve stappen die u kunt nemen om ransomware infectie te voorkomen., Deze stappen zijn natuurlijk een goede beveiligingspraktijk in het algemeen, dus het volgen ervan verbetert je verdediging tegen allerlei aanvallen:
- houd je besturingssysteem gepatcht en up-to-date om er zeker van te zijn dat je minder kwetsbaarheden hebt om te exploiteren.
- Installeer geen software of geef het geen beheerdersrechten tenzij je precies weet wat het is en wat het doet.
- installeer antivirussoftware, die schadelijke programma ‘ s zoals ransomware detecteert als ze aankomen, en whitelisting software, die in de eerste plaats voorkomt dat ongeautoriseerde toepassingen worden uitgevoerd.,
- en, natuurlijk, back-up van uw bestanden, regelmatig en automatisch! Dat won ‘ t stoppen van een malware-aanval, maar het kan de schade veroorzaakt door een veel minder significant te maken.
ransomware verwijderen
als uw computer is geïnfecteerd met ransomware, moet u de controle over uw machine terugkrijgen.,onstrating hoe om dit te doen op een Windows machine 10:
De video heeft alle details, maar de belangrijkste stappen zijn:
- start Windows opnieuw op 10 veilige modus
- antimalware software Installeren
- het systeem Scannen om te vinden de ransomware programma
- de computer Terugzetten naar een eerdere status
Maar hier ‘ s het belangrijkste ding om in gedachten te houden: tijdens een wandeling door deze stappen kan de malware te verwijderen van uw computer te herstellen naar uw controle, het is niet decoderen van uw bestanden., Hun transformatie in onleesbaarheid is al gebeurd, en als de malware is helemaal verfijnd, zal het wiskundig onmogelijk voor iedereen om ze te decoderen zonder toegang tot de sleutel die de aanvaller houdt. In feite, door het verwijderen van de malware, je”ve uitgesloten van de mogelijkheid van het herstellen van uw bestanden door het betalen van de aanvallers het losgeld ze”ve gevraagd.
ransomware feiten en cijfers
Ransomware is big business. Er is veel geld in ransomware, en de markt snel uitgebreid vanaf het begin van het decennium., In 2017, ransomware resulteerde in $ 5 miljard aan verliezen, zowel in termen van losgeld betaald en uitgaven en verloren tijd in het herstellen van aanvallen. Dat is 15 keer gestegen sinds 2015. In het eerste kwartaal van 2018, slechts één soort ransomware software, SamSam, verzamelde een $1 miljoen in losgeld.
sommige markten zijn bijzonder gevoelig voor ransomware-en het betalen van het losgeld., Veel high-profile ransomware aanvallen hebben plaatsgevonden in ziekenhuizen of andere medische organisaties, die verleidelijke doelen te maken: aanvallers weten dat, met levens letterlijk in de balans, deze ondernemingen hebben meer kans om gewoon een relatief laag losgeld te betalen om een probleem weg te gaan. Het ” s geschat dat 45 procent van de ransomware aanvallen richten gezondheidszorg orgs, en, omgekeerd, dat 85 procent van de malware-infecties in de gezondheidszorg orgs zijn ransomware. Weer een verleidelijke industrie? De financiële dienstensector, dat is, zoals Willie Sutton beroemde merkte, waar het geld is., Het ” s geschat dat 90 procent van de financiële instellingen werden het doelwit van een ransomware-aanval in 2017.
uw anti-malwaresoftware zal u niet noodzakelijkerwijs beschermen. Ransomware wordt voortdurend geschreven en getweaked door de ontwikkelaars, en dus zijn handtekeningen worden vaak niet gevangen door typische anti-virus programma ‘ s. In feite, maar liefst 75 procent van de bedrijven die het slachtoffer van ransomware worden uitgevoerd up-to-date endpoint bescherming op de geà nfecteerde machines.
Ransomware komt niet meer voor dan vroeger., Als u een beetje goed nieuws, het ” s dit: het aantal ransomware aanvallen, na exploderen in het midden “10s, is gegaan in een daling, hoewel de eerste nummers waren hoog genoeg dat het”s nog steeds. Maar in het eerste kwartaal van 2017, ransomware aanvallen bestond uit 60 procent van de malware payloads; nu is het ” s neer op 5 procent.
Ransomware neemt af?
Wat zit er achter deze grote dip? In veel opzichten is het”een economische beslissing op basis van de cybercrimineel” s valuta van keuze: bitcoin., Het extraheren van een losgeld van een slachtoffer is altijd geraakt of gemist; ze kunnen niet beslissen om te betalen, of zelfs als ze willen, ze misschien niet vertrouwd genoeg met bitcoin om erachter te komen hoe om daadwerkelijk te doen.
zoals Kaspersky opmerkt, is de daling van ransomware gepaard gegaan met een toename van zogenaamde cryptomining malware, die de computer van het slachtoffer infecteert en zijn rekenkracht gebruikt om (of de mijne, in cryptogeld taalgebruik) bitcoin te maken zonder dat de eigenaar het Weet., Dit is een nette route naar het gebruik van iemand anders ‘ s middelen om bitcoin die de meeste moeilijkheden bij het scoren van een losgeld omzeilt krijgen, en het is alleen maar aantrekkelijker als een cyberaanval als de prijs van bitcoin spiked in eind 2017.
dat betekent echter niet dat de dreiging voorbij is. Er zijn twee verschillende soorten ransomware aanvallers:” commodity “aanvallen die proberen om computers willekeurig te infecteren door pure volume en omvatten zogenaamde” ransomware as a service ” platforms die criminelen kunnen huren; en doelgroepen die zich richten op bijzonder kwetsbare marktsegmenten en organisaties., Je moet op je hoede zijn als je ” re in de laatste categorie, Het maakt niet uit of de grote ransomware boom is verstreken.
nu de prijs van bitcoin in de loop van 2018 daalt, kan de kosten-batenanalyse voor aanvallers terugschuiven. Uiteindelijk, met behulp van ransomware of cryptomining malware is een zakelijke beslissing voor aanvallers, zegt Steve Grobman, chief technology officer bij McAfee. “Als cryptogeld prijzen dalen, het is natuurlijk om een verschuiving terug te zien .”
moet u het losgeld betalen?,
als uw systeem is geà nfecteerd met malware, en u hebt vitale gegevens verloren die u niet kunt herstellen van back-up, moet u het losgeld betalen?
als je theoretisch spreekt, raden de meeste wetshandhavingsinstanties je aan om geen ransomware aanvallers te betalen, op de logica dat dit alleen hackers aanmoedigt om meer ransomware te maken. Dat gezegd hebbende, veel organisaties die zich getroffen door malware snel stoppen met denken in termen van het” groter goed ” en beginnen met het doen van een kosten-batenanalyse, het wegen van de prijs van het losgeld tegen de waarde van de versleutelde gegevens., Volgens onderzoek van Trend Micro, terwijl 66 procent van de bedrijven zeggen dat ze nooit een losgeld te betalen als een punt van principe, in de praktijk 65 procent eigenlijk betalen het losgeld als ze worden geraakt.
Ransomware aanvallers houden de prijzen relatief laag-meestal tussen de $ 700 en $ 1.300, een bedrag dat bedrijven zich meestal kunnen veroorloven om te betalen op korte termijn. Sommige bijzonder geavanceerde malware zal het land waar de geà nfecteerde computer wordt uitgevoerd detecteren en het losgeld aan te passen aan die natie ’s economie, eisen meer van bedrijven in rijke landen en minder van die in arme regio’ s.,
Er worden vaak kortingen geboden voor snel handelen, om slachtoffers aan te moedigen snel te betalen voordat ze er teveel over nadenken. In het algemeen, de prijs punt is zo ingesteld dat het “s hoog genoeg om de moeite waard de crimineel”s terwijl, maar laag genoeg dat het” s vaak goedkoper dan wat het slachtoffer zou moeten betalen om hun computer te herstellen of reconstrueren van de verloren gegevens., Met dat in gedachten, sommige bedrijven beginnen om de potentiële noodzaak om losgeld te betalen in hun veiligheidsplannen op te bouwen: bijvoorbeeld, sommige grote Britse bedrijven die anders niet betrokken zijn bij cryptogeld houden een aantal Bitcoin in reserve specifiek voor losgeld betalingen.
Er zijn een paar lastige dingen om te onthouden, rekening houdend met het feit dat de mensen waarmee je te maken hebt, natuurlijk, criminelen zijn. Eerste, wat eruit ziet als ransomware kan niet daadwerkelijk hebben gecodeerd uw gegevens op alle; zorg ervoor dat u “t omgaan met zogenaamde “scareware” voordat u geld te sturen naar iemand., En ten tweede, het betalen van de aanvallers doesn ’t garanderen dat u’ ll krijgen uw bestanden terug. Soms is de criminelen gewoon het geld te nemen en uit te voeren, en kan niet eens hebben gebouwd decryptie functionaliteit in de malware. Maar een dergelijke malware zal snel een reputatie te krijgen en won ” t inkomsten te genereren, dus in de meeste gevallen — Gary Sockrider, principal security technologist bij Arbor Networks, schattingen rond 65 tot 70 procent van de tijd — de boeven komen door en uw gegevens worden hersteld.
gerelateerde video:
Ransomware voorbeelden
terwijl ransomware technisch al bestaat sinds de jaren ‘ 90, is het pas in de afgelopen vijf jaar of zo van start gegaan, grotendeels vanwege de beschikbaarheid van niet-traceerbare betaalmethoden zoals Bitcoin. Enkele van de ergste daders zijn:
- CryptoLocker, een aanval uit 2013, lanceerde het moderne ransomware-tijdperk en infecteerde tot 500.000 machines op zijn hoogtepunt.
- TeslaCrypt gerichte gaming bestanden en zag een constante verbetering tijdens zijn schrikbewind.,SimpleLocker was de eerste wijdverspreide ransomware aanval die zich richtte op mobiele apparaten
- WannaCry verspreidde autonoom van computer naar computer met behulp van EternalBlue, een exploit ontwikkeld door de NSA en vervolgens gestolen door hackers.
- NotPetya gebruikte ook EternalBlue en maakte mogelijk deel uit van een Russische cyberaanval tegen Oekraïne.
- Locky begon zich te verspreiden in 2016 en was ” vergelijkbaar in zijn aanvalsmodus met de beruchte banksoftware Dridex.”Een variant, Osiris, werd verspreid via phishing campagnes.,
- Leatherlocker werd voor het eerst ontdekt in 2017 in twee Android-toepassingen: Booster & Cleaner en Wallpaper Blur HD. In plaats van bestanden te versleutelen, het vergrendelt het startscherm om toegang tot gegevens te voorkomen.
- Wysiwye, ook ontdekt in 2017, scant het web voor open Remote Desktop Protocol (RDP) servers. Het probeert vervolgens RDP-referenties te stelen om zich over het netwerk te verspreiden.
- Cerber bleek zeer effectief toen het voor het eerst verscheen in 2016, verrekening aanvallers $200.000 in juli van dat jaar. Het maakte gebruik van een Microsoft kwetsbaarheid om netwerken te infecteren.,
- BadRabbit verspreidde zich in 2017 over mediabedrijven in Oost-Europa en Azië.
- SamSam bestaat sinds 2015 en is vooral gericht op gezondheidszorgorganisaties.
- Ryuk verscheen voor het eerst in 2018 en wordt gebruikt bij gerichte aanvallen op kwetsbare organisaties zoals ziekenhuizen. Het wordt vaak gebruikt in combinatie met andere malware zoals TrickBot.
- Maze is een relatief nieuwe ransomware groep bekend voor het vrijgeven van gestolen gegevens aan het publiek als het slachtoffer niet betaalt om het te decoderen.,RobbinHood is een andere EternalBlue variant die de stad Baltimore, Maryland, op de knieën bracht in 2019.
- GandCrab is misschien wel de meest lucratieve ransomware ooit. De ontwikkelaars, die het programma verkocht aan cybercriminelen, claim meer dan $2 miljard in slachtoffer uitbetalingen vanaf juli 2019.
- Sodinokibi richt zich op Microsoft Windows-systemen en versleutelt alle bestanden behalve configuratiebestanden. Het is gerelateerd aan GandCrab
- Thanos is de nieuwste ransomware op deze lijst, ontdekt in januari 2020., Het wordt verkocht als ransomware as a service, het is de eerste om de RIPlace techniek te gebruiken, die de meeste anti-ransomware methoden kan omzeilen.
deze lijst wordt alleen maar langer. Volg de tips hier om jezelf te beschermen.
gerelateerde video: