Ransomware förklarade: hur det fungerar och hur man tar bort det

0 Comments

Ransomware definition

Ransomware är en form av skadlig kod som krypterar ett offer”S filer. Angriparen kräver sedan en lösensumma från offret för att återställa tillgången till data vid betalning.

användare visas instruktioner för hur man betalar en avgift för att få dekrypteringsnyckeln. Kostnaderna kan variera från några hundra dollar till tusentals, betalas till cyberkriminella i Bitcoin.

hur ransomware fungerar

det finns ett antal vektorer ransomware kan ta för att komma åt en dator., Ett av de vanligaste leveranssystemen är phishing spam-bilagor som kommer till offret i ett e-postmeddelande, maskerad som en fil som de borde lita på. När de”laddas ner och öppnas kan de ta över offrets dator, särskilt om de har inbyggda sociala verktyg som lurar användarna till att tillåta administrativ åtkomst. Några andra, mer aggressiva former av ransomware, som NotPetya, utnyttja säkerhetshål för att infektera datorer utan att behöva lura användare.,

det finns flera saker som malware kan göra när den har tagit över offrets dator, men den överlägset vanligaste åtgärden är att kryptera vissa eller alla användarens filer. Om du vill ha de tekniska detaljerna, Infosec Institute har en stor djupgående titt på hur flera smaker av ransomware kryptera filer. Men det viktigaste att veta är att i slutet av processen kan filerna inte dekrypteras utan en matematisk nyckel som endast är känd av angriparen., Användaren presenteras med ett meddelande som förklarar att deras filer nu är otillgängliga och kommer bara att dekrypteras om offret skickar en ospårbar Bitcoin-betalning till angriparen.

i vissa former av skadlig kod kan angriparen göra anspråk på att vara en brottsbekämpande myndighet som stänger offrets dator på grund av närvaron av pornografi eller piratkopierad programvara på den och kräver betalning av en”böter”, kanske för att göra offren mindre benägna att rapportera attacken till myndigheterna. Men de flesta attacker stör inte med denna förevändning., Det finns också en variation, kallad leakware eller doxware, där angriparen hotar att publicera känsliga data på offrets hårddisk om inte en lösensumma betalas. Men eftersom att hitta och extrahera sådan information är en mycket knepig proposition för angripare, kryptering ransomware är överlägset den vanligaste typen.

Vem är ett mål för ransomware?

det finns flera olika sätt angripare väljer de organisationer de riktar sig mot med ransomware., Ibland är det en fråga om möjlighet: till exempel kan angripare rikta universitet eftersom de tenderar att ha mindre säkerhetsteam och en olikartad användarbas som gör mycket fildelning, vilket gör det lättare att tränga in i deras försvar.

å andra sidan är vissa organisationer frestande mål eftersom de verkar mer benägna att betala en lösensumma snabbt. Till exempel behöver myndigheter eller medicinska anläggningar ofta omedelbar tillgång till sina filer., Advokatbyråer och andra organisationer med känsliga data kan vara villiga att betala för att hålla nyheter om en kompromiss tyst — och dessa organisationer kan vara unikt känsliga för läcka attacker.

men känner inte att du är säker om du inte passar dessa kategorier: som vi noterade sprider vissa ransomware automatiskt och urskillningslöst över internet.

hur man förhindrar ransomware

det finns ett antal defensiva steg du kan vidta för att förhindra ransomware infektion., Dessa steg är naturligtvis god säkerhetspraxis i allmänhet, så att följa dem förbättrar ditt försvar från alla typer av attacker:

  • Håll ditt operativsystem lappat och Uppdaterat för att säkerställa att du har färre sårbarheter att utnyttja.
  • installera inte programvara eller ge den administrativa privilegier om du inte vet exakt vad den är och vad den gör.
  • installera antivirusprogram, som upptäcker skadliga program som ransomware när de anländer, och vitlista programvara, vilket förhindrar obehöriga program från att köras i första hand.,
  • och, naturligtvis, säkerhetskopiera dina filer, ofta och automatiskt! Som vann ” t stoppa en malware attack, men det kan göra den skada som orsakas av en mycket mindre betydande.

Ransomware removal

om din dator har smittats med ransomware måste du återfå kontrollen över din maskin.,hur man gör det på en Windows 10-maskin:

videon har alla detaljer, men de viktiga stegen är att:

  • starta om Windows 10 till Säkert läge
  • installera antimalware-programvara
  • skanna systemet för att hitta ransomware-programmet
  • Återställ datorn till ett tidigare tillstånd

men här är det viktiga att komma ihåg: när du går igenom dessa steg kan du ta bort skadlig kod från datorn och återställa den till din kontroll, det vann”t dekryptera dina filer., Deras omvandling till oläslighet har redan hänt, och om malware är alls sofistikerad, kommer det att vara matematiskt omöjligt för någon att dekryptera dem utan tillgång till nyckeln som angriparen innehar. I själva verket, genom att ta bort malware, du ”ve hindrade möjligheten att återställa dina filer genom att betala angriparna lösen de” ve bad om.

Ransomware fakta och siffror

Ransomware är big business. Det finns mycket pengar i ransomware, och marknaden expanderade snabbt från början av decenniet., I 2017 resulterade ransomware i $5 miljarder i förluster, både när det gäller lösen betalda och utgifter och förlorad tid att återhämta sig från attacker. Det är upp 15 gånger från 2015. Under första kvartalet 2018 samlade bara en typ av ransomware-programvara, SamSam, en $ 1 miljon i lösenpengar.

vissa marknader är särskilt utsatta för ransomware—och att betala lösensumman., Många högprofilerade ransomware-attacker har inträffat på sjukhus eller andra medicinska organisationer, vilket gör frestande mål: angripare vet att med liv bokstavligen i balansen är dessa företag mer benägna att helt enkelt betala en relativt låg lösensumma för att få ett problem att gå bort. Det uppskattas att 45 procent av ransomware-attacker riktar sig till hälsovårdsorganisationer, och omvänt att 85 procent av skadliga infektioner hos hälsovårdsorganisationer är ransomware. En annan frestande industri? Sektorn för finansiella tjänster, vilket är, som Willie Sutton berömda påpekade, där pengarna är., Det uppskattas att 90 procent av finansinstituten var riktade mot en ransomware-attack i 2017.

din Anti-malware programvara kommer inte nödvändigtvis skydda dig. Ransomware ständigt skrivs och tweaked av dess utvecklare, och så dess signaturer är ofta inte fångas av typiska antivirusprogram. I själva verket, så många som 75 procent av företag som faller offer för ransomware var igång up-to-date Endpoint skydd på de infekterade maskinerna.

Ransomware är inte lika vanligt som det brukade vara., Om du vill ha lite goda nyheter,är det så här: antalet ransomware-attacker, efter att ha exploderat i mitten av ” 10s, har gått in i en nedgång, även om de ursprungliga siffrorna var tillräckligt höga för att det fortfarande är. Men under första kvartalet 2017 utgjorde ransomware-attacker 60 procent av malware-nyttolasterna. nu är det ner till 5 procent.

Ransomware på nedgången?

vad ligger bakom detta stora dopp? På många sätt är det ett ekonomiskt beslut baserat på den cyberkriminella”s valutans valuta: bitcoin., Att extrahera en lösensumma från ett offer har alltid träffats eller missats; de kanske inte bestämmer sig för att betala, eller även om de vill, kanske de inte är bekanta nog med bitcoin för att räkna ut hur man faktiskt gör det.

som Kaspersky påpekar har nedgången i ransomware matchats av en ökning av så kallad cryptomining malware, som infekterar offrets dator och använder sin datorkraft för att skapa (eller min, i cryptocurrency parlance) bitcoin utan att ägaren vet., Detta är en snygg väg att använda någon annans resurser för att få bitcoin som kringgår de flesta svårigheterna med att göra en lösensumma, och det har bara blivit mer attraktivt som en cyberattack som priset på bitcoin spikade i slutet av 2017.

det betyder dock inte att hotet är över. Det finns två olika typer av ransomware angripare:” commodity ” attacker som försöker infektera datorer urskillningslöst av ren volym och inkluderar så kallade ”ransomware som en tjänst” plattformar som brottslingar kan hyra; och riktade grupper som fokuserar på särskilt utsatta marknadssegment och organisationer., Du bör vara på sin vakt om du ” RE i den senare kategorin, oavsett om den stora ransomware boom har gått.

med priset på bitcoin som sjunker under 2018 kan kostnads-nyttoanalysen för angripare flytta tillbaka. I slutändan är det ett affärsbeslut för angripare att använda ransomware eller cryptomining malware, säger Steve Grobman, Chief technology officer på McAfee. ”När cryptocurrency-priserna sjunker är det naturligt att se ett skift tillbaka .”

ska du betala lösensumman?,

om ditt system har smittats med skadlig kod, och du”har förlorat viktiga data som du kan”t återställa från backup, ska du betala lösensumman?

När man talar teoretiskt, de flesta brottsbekämpande organ uppmanar dig att inte betala ransomware angripare, på logiken som gör det bara uppmuntrar hackare att skapa mer ransomware. Som sagt, många organisationer som befinner sig drabbade av skadlig kod snabbt sluta tänka i termer av” större nytta ” och börja göra en kostnads-nyttoanalys, väger priset på lösen mot värdet av krypterade data., Enligt forskning från Trend Micro, medan 66 procent av företagen säger att de aldrig skulle betala en lösensumma som en princip, betalar i praktiken 65 procent faktiskt lösensumman när de träffas.

Ransomware angripare hålla priserna relativt låga-vanligtvis mellan $ 700 och $ 1,300, ett belopp företag har vanligtvis råd att betala med kort varsel. Vissa särskilt sofistikerade malware kommer att upptäcka det land där den infekterade datorn körs och justera lösen för att matcha den nationens ekonomi, kräver mer från företag i rika länder och mindre från dem i fattiga regioner.,

det finns ofta rabatter som erbjuds för att agera snabbt, för att uppmuntra offren att betala snabbt innan de tänker för mycket om det. I allmänhet är prispunkten inställd så att det är tillräckligt högt för att vara värt de kriminella medan, men tillräckligt lågt att det ofta är billigare än vad offret skulle behöva betala för att återställa sin dator eller rekonstruera de förlorade data., Med detta i åtanke börjar vissa företag att bygga det potentiella behovet av att betala lösenbelopp i sina säkerhetsplaner: till exempel håller några stora brittiska företag som annars inte är involverade i kryptokurrency lite Bitcoin i reserv speciellt för lösenbetalningar.

det finns ett par knepiga saker att komma ihåg här, med tanke på att de människor du”re hantera är naturligtvis brottslingar. Först, Vad ser ut som ransomware kanske inte har faktiskt krypterat dina data alls; se till att du är ”t hantera så kallade ”scareware” innan du skickar några pengar till någon., Och för det andra, att betala angriparna garanterar inte att du får tillbaka dina filer. Ibland brottslingar bara ta pengar och köra, och kanske inte ens har byggt dekryptering funktionalitet i malware. Men någon sådan skadlig programvara kommer snabbt att få ett rykte och vann”t generera intäkter, så i de flesta fall — Gary Sockrider, huvudsakliga säkerhet teknolog på Arbor Networks, uppskattningar ca 65 till 70 procent av tiden — skurkarna som kommer igenom och att dina data återställs.

relaterad video:

Ransomware: betalar du lösensumman?, /Salted Hash Ep 19

Ransomware exempel

medan ransomware har tekniskt funnits sedan ” 90-talet, det är bara tas bort under de senaste fem åren eller så, till stor del på grund av tillgången på spårbara betalningsmetoder som Bitcoin. Några av de värsta brottslingarna har varit:

  • CryptoLocker, en 2013-attack, lanserade den moderna ransomware-åldern och infekterade upp till 500,000-maskiner på sin höjd.
  • TeslaCrypt riktade spelfiler och såg ständig förbättring under dess skräckvälde.,
  • SimpleLocker var den första omfattande ransomware attack som fokuserar på mobila enheter
  • WannaCry sprida sig autonomt från dator till dator med hjälp av EternalBlue, en exploatering som utvecklats av NSA och sedan stulits av hackare.
  • NotPetya använde också EternalBlue och kan ha varit en del av en ryskstyrd cyberattack mot Ukraina.
  • Locky började sprida sig i 2016 och var ”liknande i sitt attackläge till den ökända bankprogramvaran Dridex.”En variant, Osiris, spreds genom phishing-kampanjer.,
  • Leatherlocker upptäcktes först år 2017 i två Android-applikationer: Booster & Renare och Tapeter Oskärpa HD. I stället för att kryptera filer låser den startskärmen för att förhindra åtkomst till data.
  • Wysiwye, som också upptäcktes 2017, skannar webben för RDP-servrar (Open Remote Desktop Protocol). Den försöker sedan stjäla RDP-referenser för att sprida sig över nätverket.
  • Cerber visade sig vara mycket effektiv när den först dök upp i 2016, nettning angripare $200,000 i juli samma år. Det utnyttjade en Microsoft-sårbarhet för att infektera nätverk.,
  • BadRabbit spred sig över medieföretag i Östeuropa och Asien 2017.
  • SamSam har funnits sedan 2015 och riktar sig främst till hälso-och sjukvårdsorganisationer.
  • Ryuk uppträdde först i 2018 och används i riktade attacker mot sårbara organisationer som sjukhus. Det används ofta i kombination med andra skadliga program som TrickBot.
  • Maze är en relativt ny ransomware-grupp som är känd för att släppa stulna data till allmänheten om offret inte betalar för att dekryptera det.,
  • RobbinHood är en annan Evigblå variant som tog staden Baltimore, Maryland, till knäna 2019.
  • GandCrab kan vara den mest lukrativa ransomware någonsin. Dess utvecklare, som sålde programmet till cyberbrottslingar, hävdar mer än $ 2 miljarder i offer utbetalningar från juli 2019.
  • Sodinokibi riktar Microsoft Windows-system och krypterar alla filer utom konfigurationsfiler. Det är relaterat till GandCrab
  • Thanos är den nyaste ransomware på den här listan, upptäckt i januari 2020., Det säljs som ransomware som en tjänst, det är den första som använder RIPlace-tekniken, som kan kringgå de flesta anti-ransomware-metoder.

den här listan kommer bara att bli längre. Följ de tips som anges här för att skydda dig själv.

relaterad video:

Ransomware marknadsplatser och framtiden för malware | Salted Hash Ep 6


Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *