Ransomware-ul este într-adevăr atât de terifiant cum credeți?

Publicitate

Ransomware-ul este o problemă obișnuită. O infecție cu ransomware ia computerul dvs. ostatic și necesită plata pentru eliberare. În unele cazuri, o plată nu vă securizează fișierele. Fotografii personale, muzică, filme, muncă și multe altele sunt distruse. Rata de infecție cu ransomware continuă să crească - din păcate, încă nu am atins apogeul Ransomware-as-a-Service va aduce haos tuturorRansomware se deplasează de la rădăcinile sale ca instrument al infractorilor și maleficilor într-o industrie de servicii îngrijorătoare, în care oricine se poate abona la un serviciu ransomware și poate viza utilizatori ca și mine. Citeste mai mult - iar complexitatea sa crește.

Au existat excepții notabile de la această regulă. În unele cazuri, securitate cercetătorii au crăpat criptarea ransomware-ului Bateți escrocii cu aceste instrumente de decriptare RansomwareDacă ați fost infectat de ransomware, aceste instrumente gratuite de decriptare vă vor ajuta să deblocați și să recuperați fișierele pierdute. Nu mai astepta inca un minut! Citeste mai mult

, permițându-le creați un instrument de decriptare râvnit 5 site-uri și aplicații pentru a bate Ransomware și pentru a vă protejaV-ați confruntat până acum cu un atac ransomware, unde unele dintre fișierele dvs. nu mai sunt accesibile? Iată câteva dintre instrumentele pe care le puteți utiliza pentru a preveni sau rezolva aceste probleme. Citeste mai mult . Aceste evenimente sunt rare, ajungând de obicei atunci când este eliminată o botnet dăunătoare. Cu toate acestea, nu toate ransomware-urile sunt atât de complexe pe cât credem.

Anatomia unui atac

Spre deosebire de unele variante de malware comune, ransomware încearcă să rămână ascuns cât mai mult timp posibil. Acest lucru este pentru a permite timp pentru a cripta fișierele personale. Ransomware este conceput pentru a păstra cantitatea maximă de resurse de sistem disponibile pentru utilizator, pentru a nu ridica alarma. În consecință, pentru mulți utilizatori, prima indicație a unei infecții cu ransomware este un mesaj de post-criptare care explică ce s-a întâmplat.

Comparativ cu alte programe malware Virusuri, Spyware, Malware etc. Explicat: Înțelegerea amenințărilor onlineCând începeți să vă gândiți la toate lucrurile care ar putea merge greșit atunci când navigați pe Internet, web-ul începe să pară un loc destul de înfricoșător. Citeste mai mult , procesul de infecție al ransomware-ului este destul de previzibil. Utilizatorul va descărca un fișier infectat: acesta conține sarcina utilă ransomware. Când fișierul infectat este executat, nimic nu va apărea imediat (în funcție de tipul de infecție). Utilizatorul nu știe că ransomware-ul începe să cripteze fișierele personale.

Pe lângă aceasta, un atac ransomware are alte câteva modele de comportament distincte:

• Notă ransomware distinsă.
• Transmiterea datelor de fundal între serverele de gazdă și de control.
• Entropia fișierelor se schimbă.

Entropie fișier

Entropia fișierului poate fi utilizată pentru a identifica fișierele criptate cu ransomware. Scris pentru Internet Storm Center, Rob VandenBrink scurte schițe entropie de fișiere și ransomware:

În industria IT, entropia unui fișier se referă la o măsură specifică de randomitate numită „Shannon Entropy”, numită pentru Claude Shannon. Această valoare este în esență o măsură a predictibilității oricărui caracter specific din fișier, pe baza caracterelor precedente (detalii complete și matematică aici). Cu alte cuvinte, este o măsură a „randomității” datelor dintr-un fișier - măsurată pe o scară de la 1 la 8, unde fișierele text tipice vor avea o valoare scăzută, iar fișierele criptate sau comprimate vor avea o valoare ridicată măsura.

Aș sugera să citiți articolul original, deoarece este foarte interesant.

Nu puteți rezolva ransomware-ul cu un algoritm de entropie fantezist găsit pe Google ;-) Problema este ceva mai complexă decât asta.

- Monstrul mach (@osxreverser) 20 aprilie 2016

Este diferit de programele malware „obișnuite”?

Ransomware-ul și malware-ul au un obiectiv comun: să rămână obscur. Utilizatorul menține o șansă de a lupta împotriva infecției dacă este depistat înainte de mult. Cuvântul magic este „criptare”. Ransomware își are locul în infamie pentru utilizarea sa de criptare, în timp ce criptarea a fost folosită în malware pentru o perioadă foarte lungă de timp.

Criptarea ajută malware-ul să treacă sub radarul programelor antivirus confundând detectarea semnăturii. În loc să vadă un șir de personaje de recunoscut care ar avertiza o barieră de apărare, infecția alunecă, neobservată. Deși apartamentele antivirus devin tot mai destepți în a observa aceste șiruri - cunoscute în mod obișnuit ca hashes - este banal ca mulți dezvoltatori malware să lucreze.

Metode comune de obstrucție

Iată câteva metode obișnuite mai frecvente:

• Detectare - Multe variante de malware pot detecta dacă sunt utilizate într-un mediu virtualizat. Acest lucru permite malware-ului să sustragă atenția cercetătorilor de securitate, refuzând pur și simplu să execute sau să despacheteze. La rândul său, acest lucru oprește crearea unei semnături de securitate actualizate.
• Sincronizare - Cele mai bune suite antivirus sunt în alertă constantă, verificând o nouă amenințare. Din păcate, programele antivirus generale nu pot proteja orice aspect al sistemului dvs. în orice moment. De exemplu, unele programe malware se vor implementa numai în urma unei reporniri a sistemului, care vor scăpa (și probabil vor dezactiva operațiile antivirus).
• Comunicare - Malware va telefona acasă la serverul său de comandă și control (C&C) pentru instrucțiuni. Acest lucru nu este valabil pentru toate programele malware. Cu toate acestea, atunci când se întâmplă, un program antivirus poate localiza adrese IP specifice cunoscute de serverele C&C gazdă și poate încerca să împiedice comunicarea. În acest caz, dezvoltatorii malware pur și simplu rotesc adresa serverului C&C, evadând detectarea.
• Funcționare falsă - Un program fals creat în mod inteligent este poate una dintre cele mai comune notificări ale unei infecții cu malware. Utilizatorii necorespunzători presupun că aceasta este o parte obișnuită a sistemului lor de operare (de obicei Windows) și respectă în mod flagrant instrucțiunile de pe ecran. Acestea sunt deosebit de periculoase pentru utilizatorii de PC-uri necalificate și, în timp ce acționează ca un front-friendly prietenos, pot permite o serie de entități dăunătoare acces la un sistem.

Această listă nu este exhaustivă. Cu toate acestea, acesta acoperă unele dintre cele mai frecvente metode utilizate de malware pentru a rămâne obscure pe computer.

Ransomware-ul este simplu?

Simplu este poate cuvântul greșit. Ransomware este diferit. O variantă ransomware folosește criptarea mai extensiv decât omologii săi, precum și într-o manieră diferită. acţiuni de o infecție cu ransomware sunt ceea ce o face notabilă, precum și crearea unei aura: ransomware-ul este ceva de care să te temi.

Cand #ransomware va scala și va lovi #IoT și #Bitcoin, va fi prea târziu să fragmentăm TOATE datele dvs. IT. Vă rog să o faceți acum. #Hack

- Maxime Kozminski (@MaxKozminski) 20 februarie 2017

Ransomware folosește caracteristici oarecum noi, precum:

• Criptarea unor cantități mari de fișiere.
• Ștergerea copiilor umbre care, în mod obișnuit, le va permite utilizatorilor să se restaureze din backup.
• Crearea și stocarea cheilor de criptare pe serverele C&C de la distanță.
• Solicitând o răscumpărare, de obicei într-un Bitcoin de necontestat.

În timp ce malware-ul tradițional „doar” îți fură datele de autentificare și parolele utilizatorului, ransomware-ul te afectează direct, perturbând mediul tău de calcul imediat. De asemenea, urma sa este foarte vizuală.

Ransomware Tactics: Master File File

Ransomware-ul este „Uau!” factorul provine, cu siguranță, de criptarea sa. Dar sofisticarea este tot ce pare? Engin Kirda, co-fondator și arhitect șef la Lastline Labs, crede că nu. El și echipa sa (folosind cercetările întreprinse de Amin Kharraz, unul dintre studenții de doctorat din Kirda) a finalizat un enorm studiu ransomware, analizând 1359 de eșantioane din 15 familii de ransomware. Analiza lor a explorat mecanisme de ștergere și a găsit rezultate interesante.

Care sunt mecanismele de ștergere? Aproximativ 36 la sută din cele mai frecvente familii de ransomware din setul de date au șters fișiere. Dacă nu plătiți, fișierele au fost șterse de fapt. Cea mai mare parte a ștergerii, de fapt, a fost destul de simplă.

Cum ar face o persoană profesionistă? În realitate, ar avea scopul de a șterge discul astfel încât să fie dificil să recupereze datele. Ai scrie pe disc, ai șterge fișierul de pe disc. Dar cei mai mulți au fost, desigur, leneși și lucrau direct la înregistrările din tabelul principal de fișiere și marcând lucrurile ca fiind șterse, dar datele rămâneau în continuare pe disc.

Ulterior, datele șterse ar putea fi recuperate și, în multe cazuri, recuperate complet.

Ransomware Tactics: Desktop Desktop

Un alt comportament clasic de ransomware este blocarea desktopului. Acest tip de atac este prezent în mai multe variante de bază. În loc să se conecteze efectiv la criptarea și ștergerea fișierelor, ransomware blochează desktopul, forțând utilizatorul de la mașină. Majoritatea utilizatorilor consideră că fișierele lor au dispărut (fie criptate, fie șterse complet) și pur și simplu nu pot fi recuperate.

Ransomware Tactics: Mesaje forțate

Infecțiile Ransomware își afișează notoriu nota de răscumpărare. De obicei, solicită plata utilizatorului pentru returnarea în siguranță a fișierelor sale. În afară de aceasta, dezvoltatorii ransomware trimit utilizatorii către anumite pagini web în timp ce dezactivează anumite funcții ale sistemului - astfel încât nu pot scăpa de pagină / imagine. Acest lucru este similar cu un mediu desktop blocat. Nu înseamnă automat că fișierele utilizatorului au fost criptate sau șterse.

Gândiți-vă înainte de a plăti

O infecție cu ransomware poate fi devastatoare. Acest lucru este indubitabil. Cu toate acestea, lovirea cu ransomware-ul nu înseamnă automat că datele dvs. au dispărut pentru totdeauna. Dezvoltatorii Ransomware nu sunt toți programatorii uimitori. Dacă există un traseu ușor către câștig financiar imediat, acesta va fi luat. Aceasta, în cunoștința sigură că unii utilizatori vor plăti 5 motive pentru care nu ar trebui să plătiți escroci RansomwareRansomware-ul este înfricoșător și nu vrei să fii lovit de el - dar chiar dacă o faci, există motive convingătoare pentru care NU ar trebui să plătești răspunderea! Citeste mai mult din cauza amenințării imediate și directe. Este complet de înțeles.

Cele mai bune metode de atenuare a ransomware-ului rămân: faceți backup fișierelor în mod regulat pe o unitate fără rețea, păstrați-vă antivirusul browserele de suită și de internet actualizate, aveți grijă la e-mailurile de tip phishing și să aveți cunoștință cu privire la descărcarea fișierelor din Internet.

Credit imagine: andras_csontos prin Shutterstock.com