Ransomware a explicat: cum funcționează și cum să-l eliminați

0 Comments

Ransomware definiție

Ransomware este o formă de malware care criptează fișierele unei victime. Atacatorul cere apoi o răscumpărare de la victimă pentru a restabili accesul la date la plată.

utilizatorii sunt afișate instrucțiuni pentru cum să plătească o taxă pentru a obține cheia de decriptare. Costurile pot varia de la câteva sute de dolari la mii, plătibile infractorilor cibernetici în Bitcoin.

cum funcționează ransomware

există un număr de vectori pe care ransomware-ul îi poate lua pentru a accesa un computer., Unul dintre cele mai comune sisteme de livrare este spam — ul de tip phishing-atașamente care vin la victimă într-un e-mail, mascându-se ca un fișier în care ar trebui să aibă încredere. Odată ce au descărcat și deschis, pot prelua computerul victimei, mai ales dacă au instrumente de inginerie socială încorporate care îi păcălesc pe utilizatori să permită accesul administrativ. Unele alte forme mai agresive de ransomware, Cum ar fi NotPetya, exploatează găurile de securitate pentru a infecta computerele fără a fi nevoie să păcălească utilizatorii.,există mai multe lucruri pe care malware-ul le-ar putea face odată ce a preluat computerul victimei, dar de departe cea mai comună acțiune este de a cripta unele sau toate fișierele utilizatorului. Dacă doriți detaliile tehnice, Institutul Infosec are o privire aprofundată asupra modului în care mai multe arome de criptare a fișierelor ransomware. Dar cel mai important lucru de știut este că la sfârșitul procesului, fișierele nu pot fi decriptate fără o cheie matematică cunoscută doar de atacator., Utilizatorul este prezentat cu un mesaj care explică faptul că fișierele lor sunt acum sunt acum inaccesibile și vor fi decriptate numai în cazul în care victima trimite o plată Bitcoin nedetectabile atacatorului.în unele forme de malware, atacatorul ar putea pretinde că este o agenție de aplicare a legii care închide computerul victimei din cauza prezenței pornografiei sau a software-ului piratat și solicită plata unei”amenzi”, probabil pentru a face victimele mai puțin probabil să raporteze atacul autorităților. Dar majoritatea atacurilor nu se deranjează cu această pretenție., Există, de asemenea, o variație, numită leakware sau doxware, în care atacatorul amenință să publice date sensibile pe hard disk-ul victimei, cu excepția cazului în care se plătește o răscumpărare. Dar pentru că găsirea și extragerea unor astfel de informații este o propunere foarte complicată pentru atacatori, ransomware-ul de criptare este de departe cel mai frecvent tip.

cine este o țintă pentru ransomware?

există mai multe moduri diferite în care atacatorii aleg organizațiile pe care le vizează cu ransomware., Uneori este o chestiune de oportunitate: de exemplu, atacatorii ar putea viza universitățile, deoarece tind să aibă Echipe de securitate mai mici și o bază de utilizatori disparată care face o mulțime de partajare de fișiere, ceea ce face mai ușor să le pătrundă apărarea.pe de altă parte, unele organizații sunt ținte tentante, deoarece par mai susceptibile să plătească rapid o răscumpărare. De exemplu, agențiile guvernamentale sau instituțiile medicale au adesea nevoie de acces imediat la dosarele lor., Firmele de avocatură și alte organizații cu date sensibile pot fi dispuse să plătească pentru a păstra știrile despre un compromis liniștit — iar aceste organizații pot fi sensibile în mod unic la atacurile leakware.dar nu simți că ești în siguranță dacă nu te încadrezi în aceste categorii: după cum am observat, unele ransomware se răspândesc automat și fără discriminare pe internet.

cum să preveniți ransomware

există o serie de pași defensivi pe care îi puteți lua pentru a preveni infecția cu ransomware., Acești pași sunt, desigur, bune practici de securitate în general, așa că urmărirea lor vă îmbunătățește apărarea împotriva tot felul de atacuri:

  • păstrați sistemul de operare patch-uri și actualizate pentru a vă asigura că aveți mai puține vulnerabilități de exploatat.
  • nu instalați software-ul sau nu îi acordați privilegii administrative decât dacă știți exact ce este și ce face.
  • instalați software antivirus, care detectează programe rău intenționate cum ar fi ransomware-ul pe măsură ce sosesc și software-ul whitelisting, care împiedică executarea aplicațiilor neautorizate în primul rând.,
  • și, desigur, faceți o copie de siguranță a fișierelor dvs., frecvent și automat! Acest lucru nu va opri un atac malware, dar poate face daunele cauzate de unul mult mai puțin semnificativ.

eliminarea Ransomware

dacă computerul dvs. a fost infectat cu ransomware, va trebui să recâștigați controlul asupra mașinii.,onstrating cum să faci asta pe un Windows 10, mașină:

video are toate detaliile, dar cele mai importante etape sunt:

  • Reporniți Windows 10 pentru modul de siguranță
  • de a Instala software antimalware
  • sistemul de Scanare pentru a găsi programul ransomware
  • de a Restabili computerul la o stare anterioară,

Dar aici”e cel mai important lucru de a păstra în minte: în timp ce mersul pe jos prin aceste etape pot elimina malware de pe computer și de a restabili o la control, ea a câștigat”t decripta fișierele., Transformarea lor în necitabilitate s-a întâmplat deja și, dacă malware-ul este deloc sofisticat, va fi imposibil din punct de vedere matematic pentru oricine să le decripteze fără acces la cheia pe care o deține atacatorul. De fapt, eliminând malware-ul, ați împiedicat posibilitatea de a vă restaura fișierele plătind atacatorilor răscumpărarea pe care au cerut-o.

fapte și cifre Ransomware

Ransomware este o afacere mare. Există o mulțime de bani în ransomware, iar piața sa extins rapid de la începutul deceniului., În 2017, ransomware-ul a dus la pierderi de 5 miliarde de dolari, atât în ceea ce privește răscumpărările plătite, cât și cheltuielile și timpul pierdut în recuperarea din atacuri. Asta e de 15 ori de la 2015. În primul trimestru al anului 2018, un singur tip de software ransomware, SamSam, a colectat un milion de dolari în bani de răscumpărare.unele piețe sunt deosebit de predispuse la ransomware—și la plata răscumpărării., Mai multe de profil înalt ransomware atacuri au avut loc în spitale sau alte organizații medicale, care ținte tentante: atacatorii știu că, cu viața literalmente în echilibru, aceste întreprinderi sunt mult mai probabil să plătească pur și simplu un nivel relativ scăzut de răscumpărare a face o problema. Se estimează că 45% din atacurile ransomware vizează orgs de asistență medicală și, invers, că 85% din infecțiile malware la orgs de asistență medicală sunt ransomware. O altă industrie tentantă? Sectorul serviciilor financiare, care este, după cum a remarcat Willie Sutton, unde se află banii., Se estimează că 90% din instituțiile financiare au fost vizate de un atac ransomware în 2017.

software-ul anti-malware nu te va proteja în mod necesar. Ransomware-ul este în mod constant scris și optimizat de dezvoltatorii săi, astfel încât semnăturile sale nu sunt adesea prinse de programele antivirus tipice. De fapt, până la 75% dintre companiile care cad victime ransomware-ului rulau o protecție actualizată a punctelor finale pe mașinile infectate.Ransomware-ul nu este la fel de răspândit ca înainte., Dacă doriți o veste bună, este aceasta: numărul de atacuri ransomware, după ce au explodat la mijlocul anilor 10, a intrat într-un declin, deși numerele inițiale au fost suficient de mari încât să fie încă. Dar în primul trimestru al anului 2017, atacurile ransomware au constituit 60 la sută din sarcinile utile malware; acum este până la 5 la sută.

Ransomware în declin?

ce se află în spatele acestei mari scufundări? În multe privințe, este o decizie economică bazată pe moneda de alegere a infractorului cibernetic: bitcoin., Extragerea unei răscumpărări de la o victimă a fost întotdeauna lovită sau ratată; s-ar putea să nu decidă să plătească sau, chiar dacă doresc, s-ar putea să nu fie suficient de familiarizați cu bitcoin pentru a-și da seama cum să facă acest lucru.

Ca Kaspersky subliniază, declinul în ransomware a fost compensată de o creștere în așa-numitele cryptomining malware, care infectează calculatorul victimei și își utilizează puterea de calcul pentru a crea (sau a mea, în cryptocurrency limbajul) bitcoin, fără ca proprietarul să știe., Aceasta este o cale îngrijită de a folosi resursele altcuiva pentru a obține bitcoin care ocolește majoritatea dificultăților în marcarea unei răscumpărări și a devenit mai atractivă ca un cyberattack, deoarece prețul bitcoin a crescut la sfârșitul anului 2017.

asta nu înseamnă că amenințarea sa terminat, totuși. Există două tipuri diferite de atacatori de ransomware: atacurile „de mărfuri” care încearcă să infecteze computerele fără discriminare prin volum pur și includ așa-numitele platforme „ransomware ca serviciu” pe care infractorii le pot închiria; și grupuri țintă care se concentrează pe segmente și organizații de piață deosebit de vulnerabile., Ar trebui să fiți în gardă dacă vă aflați în ultima categorie, indiferent dacă boom-ul mare de ransomware a trecut.odată cu scăderea prețului bitcoin pe parcursul anului 2018, Analiza cost-beneficiu pentru atacatori s-ar putea schimba. În cele din urmă, folosind ransomware sau cryptomining malware este o decizie de afaceri pentru atacatori, spune Steve Grobman, chief technology officer la Kaspersky. „Pe măsură ce prețurile criptocurrency scad, Este firesc să vedem o schimbare înapoi .”

ar trebui să plătiți răscumpărarea?,dacă sistemul dvs. a fost infectat cu malware și ați pierdut date vitale pe care nu le puteți restaura din backup, ar trebui să plătiți răscumpărarea? când vorbim teoretic, majoritatea agențiilor de aplicare a legii vă îndeamnă să nu plătiți atacatorilor de ransomware, pe logica că acest lucru încurajează doar hackerii să creeze mai multe ransomware. Asta a spus, multe organizații care se găsesc afectate de malware rapid nu mai gândesc în termeni de „mai bine”, și începe să faci o analiză cost-beneficiu, cu o greutate prețul de răscumpărare față de valoarea de date criptate., Potrivit cercetărilor de la Trend Micro, în timp ce 66 la sută dintre companii spun că nu ar plăti niciodată o răscumpărare ca punct de principiu, în practică, 65 la sută plătesc răscumpărarea atunci când sunt loviți.

atacatorii ransomware păstrează prețurile relativ scăzute-de obicei între $700 și $1,300, o sumă pe care companiile își pot permite de obicei să o plătească în scurt timp. Unele programe malware deosebit de sofisticate vor detecta țara în care rulează computerul infectat și vor ajusta răscumpărarea pentru a se potrivi economiei acelei națiuni, cerând mai mult de la companii din țările bogate și mai puțin de la cele din regiunile sărace.,există adesea reduceri oferite pentru a acționa rapid, astfel încât să încurajeze victimele să plătească rapid înainte de a se gândi prea mult la asta. În general, punctul de preț este setat astfel încât să fie suficient de mare pentru a merita criminalul, dar suficient de scăzut încât este adesea mai ieftin decât ceea ce victima ar trebui să plătească pentru a restabili computerul sau pentru a reconstrui datele pierdute., Având în vedere acest lucru, unele companii încep să construiască nevoia potențială de a plăti răscumpărarea în planurile lor de securitate: de exemplu, unele companii mari din Marea Britanie care altfel nu sunt implicate în criptocurrency dețin un Bitcoin în rezervă special pentru plățile de răscumpărare.există câteva lucruri dificile de reținut aici, ținând cont de faptul că oamenii cu care aveți de-a face sunt, desigur, criminali. În primul rând, ceea ce pare a fi ransomware poate să nu vă fi criptat deloc datele; asigurați-vă că nu aveți de-a face cu așa-numitele”scareware „înainte de a trimite bani nimănui., Și în al doilea rând, plata atacatorilor nu garantează că veți primi fișierele înapoi. Uneori, infractorii iau doar banii și fug și este posibil să nu fi construit nici măcar funcționalitatea de decriptare în malware. Dar orice astfel de malware va obține rapid o reputație și nu va genera venituri, așa că în majoritatea cazurilor — Gary Sockrider, tehnolog principal de securitate la Arbor Networks, estimează în jur de 65 până la 70% din timp — escrocii vin și datele dvs. sunt restaurate.

videoclip similar:

Ransomware: plătiți răscumpărarea?, | Sărate Hash Ep 19

Ransomware exemple

în Timp ce ransomware a fost punct de vedere tehnic jurul anilor „90,”e doar scos în ultimii cinci ani, în mare parte din cauza disponibilitatea de negăsit metode de plată, cum ar fi Bitcoin. Unii dintre cei mai răi infractori au fost:

  • CryptoLocker, un atac din 2013, a lansat epoca modernă de ransomware și a infectat până la 500.000 de mașini la înălțimea sa.
  • TeslaCrypt fișiere de jocuri vizate și a văzut o îmbunătățire constantă în timpul domniei sale de teroare.,
  • SimpleLocker a fost primul pe scară largă ransomware atacul care s-a concentrat pe dispozitive mobile
  • WannaCry răspândit în mod autonom de la calculator la calculator folosind EternalBlue, un exploit dezvoltat de NSA și apoi furate de hackeri.
  • NotPetya a folosit, de asemenea, EternalBlue și este posibil să fi făcut parte dintr-un cyberattack direcționat de Rusia împotriva Ucrainei.
  • Locky a început să se răspândească în 2016 și a fost „similar în modul său de atac cu software-ul bancar notoriu Dridex.”O variantă, Osiris, a fost răspândită prin campanii de phishing.,
  • Leatherlocker a fost descoperit în 2017 în două aplicații Android: Rapel & Curat și Blur Tapet HD. În loc să cripteze fișierele, blochează ecranul de pornire pentru a împiedica accesul la date.
  • Wysiwye, descoperit și în 2017, scanează web-ul pentru serverele open Remote Desktop Protocol (RDP). Apoi încearcă să fure acreditările RDP pentru a se răspândi în rețea.
  • Cerber sa dovedit a fi foarte eficient atunci când a apărut pentru prima dată în 2016, compensând atacatorii $200,000 în luna iulie a acelui an. A profitat de o vulnerabilitate Microsoft pentru a infecta rețelele.,
  • badrabbit s-a răspândit în companii media din Europa de Est și Asia în 2017.
  • SamSam a fost în jur de la 2015 și a vizat în primul rând organizațiile de asistență medicală.
  • Ryuk a apărut pentru prima dată în 2018 și este utilizat în atacuri vizate împotriva organizațiilor vulnerabile, cum ar fi spitalele. Este adesea folosit în combinație cu alte programe malware, cum ar fi TrickBot.
  • Maze este un grup relativ nou de ransomware cunoscut pentru eliberarea datelor furate publicului dacă victima nu plătește pentru a le decripta.,
  • RobbinHood este o altă Eternăvarianta albastra care a adus Orasul Baltimore, Maryland, in genunchi in 2019.
  • GandCrab ar putea fi cel mai profitabil ransomware vreodată. Dezvoltatorii săi, care au vândut programul infractorilor cibernetici, solicită mai mult de 2 miliarde de dolari în plățile victimelor începând cu iulie 2019.Sodinokibi vizează sistemele Microsoft Windows și criptează toate fișierele, cu excepția fișierelor de configurare. Este legat de GandCrab
  • Thanos este cel mai nou ransomware din această listă, descoperit în ianuarie 2020., Este vândut ca ransomware ca serviciu, este primul care folosește tehnica RIPlace, care poate ocoli majoritatea metodelor anti-ransomware.

această listă va deveni mai lungă. Urmați sfaturile enumerate aici pentru a vă proteja.

video Legate:

Ransomware piețe și viitorul malware | Sărate Hash Ep 6


Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *