Je Ransomware skutočne tak desivý, ako si myslíte?

Reklama

Ransomware je pravidelná nepríjemnosť. Infekcia ransomware vezme váš počítač ako rukojemníka a vyžaduje zaplatenie za prepustenie. V niektorých prípadoch platba nezabezpečuje vaše súbory. Osobné fotografie, hudba, filmy, práce a ďalšie sú zničené. Miera infekcie ransomware naďalej rastie - nanešťastie, stále sme nedosiahli vrchol Služba Ransomware-as-a-Service prinesie chaos každémuRansomware prechádza zo svojich koreňov ako nástroj zločincov a zločincov do znepokojujúceho odvetvia služieb, v ktorom sa ktokoľvek môže prihlásiť na odber služby ransomware a zacieliť na používateľov, ako ste vy a ja. Čítaj viac - a jeho zložitosť sa zvyšuje.

Z tohto pravidla boli významné výnimky. V niektorých prípadoch bezpečnosť vedci popraskali šifrovanie ransomware Beat podvodníci s týmito dešifrovacími nástrojmi RansomwareAk vás napadlo ransomware, tieto bezplatné dešifrovacie nástroje vám pomôžu odomknúť a obnoviť stratené súbory. Nečakajte ďalšiu minútu! Čítaj viac , čo im umožňuje vytvorte vyhľadávaný dešifrovací nástroj

5 stránok a aplikácií, ktoré vám pomôžu poraziť Ransomware a chrániť saUž ste čelili útoku na ransomware, kde niektoré vaše súbory už nie sú prístupné? Tu je niekoľko nástrojov, ktoré môžete použiť na prevenciu alebo riešenie týchto problémov. Čítaj viac . Tieto udalosti sú zriedkavé a prichádzajú zvyčajne, keď dôjde k odstráneniu škodlivého botnetu. Avšak nie všetky ransomware sú také zložité, ako si myslíme.

Anatómia útoku

Na rozdiel od niektorých bežných variantov škodlivého softvéru sa ransomware pokúša zostať skrytý tak dlho, ako je to možné. Je to čas na zašifrovanie vašich osobných súborov. Ransomware je navrhnutý tak, aby udržal maximálne množstvo systémových prostriedkov, ktoré má užívateľ k dispozícii, aby nezvýšil alarm. V dôsledku toho je pre mnohých používateľov prvou indikáciou infekcie ransomware post-šifrovacia správa vysvetľujúca, čo sa stalo.

V porovnaní s iným škodlivým softvérom Vírusy, spyware, malvér atď. Vysvetlené: Pochopenie hrozieb onlineKeď začnete premýšľať o všetkých veciach, ktoré by sa pri prehľadávaní Internetu mohli pokaziť, web začne vyzerať ako dosť desivé miesto. Čítaj viac , proces infekcie ransomware je celkom predvídateľný. Užívateľ stiahne infikovaný súbor: obsahuje užitočné zaťaženie ransomware. Po spustení infikovaného súboru sa nič nestane okamžite (v závislosti od typu infekcie). Užívateľ si stále neuvedomuje, že ransomware začína šifrovať svoje osobné súbory.

Okrem toho má útok ransomware niekoľko ďalších odlišných vzorcov správania:

• Rozlišovacia poznámka o ransomware.
• Prenos údajov na pozadí medzi hostiteľskými a riadiacimi servermi.
• Entropia súborov sa zmení.

Entropia súboru

Entropiu súborov je možné použiť na identifikáciu súborov šifrovaných pomocou ransomware. Rob VandenBrink, autor písajúci pre Internet Storm Center stručne načrtnem entropia súboru a ransomware:

V IT priemysle sa entropia súboru týka špecifickej miery náhodnosti zvanej „Shannon Entropy“, pomenovanej Claude Shannon. Táto hodnota je v podstate mierou predvídateľnosti akéhokoľvek špecifického znaku v súbore na základe predchádzajúcich znakov (všetky podrobnosti a matematiku tu). Inými slovami, ide o mieru „náhodnosti“ údajov v súbore - merané v stupnici od 1 do 8, kde typické textové súbory budú mať nízku hodnotu a šifrované alebo komprimované súbory budú mať vysokú hodnotu merať.

Navrhujem prečítať si pôvodný článok, pretože je veľmi zaujímavý.

Nemôžete vyriešiť ransomware pomocou efektívneho algoritmu entropie nájdeného v Google ;-) Problém je o niečo zložitejší.

- Mach monštrum (@osxreverser) 20. apríla 2016

Líši sa to od „bežného“ malwaru?

Ransomware a malware majú spoločný cieľ: zostávajú skryté. Užívateľ má naďalej šancu na boj proti infekcii, ak sa objaví už dlho. Čarovné slovo je „šifrovanie“. Ransomware má svoje miesto v neslávne známom použití šifrovania, zatiaľ čo šifrovanie sa v škodlivom softvéri používa už veľmi dlho.

Šifrovanie pomáha pri prenose škodlivého softvéru pod radar antivírusových programov zmätením detekcie podpisov. Namiesto toho, aby videl rozpoznateľný reťazec znakov, ktorý by upozornil na ochrannú bariéru, infekcia skĺzne bez povšimnutia. Aj keď antivírusové balíky si stále viac uvedomujú tieto reťazce - bežne známe ako hashes - Mnoho vývojárov škodlivého softvéru je obísť.

Bežné metódy zahmlievania

Uvádzame niekoľko ďalších bežných metód zatemnenia:

• odhalenie - Mnoho variantov škodlivého softvéru dokáže zistiť, či sa používajú vo virtualizovanom prostredí. To umožňuje škodlivému softvéru vyhnúť sa pozornosti výskumných pracovníkov v oblasti bezpečnosti jednoducho odmietnutím vykonania alebo rozbalenia. Tým sa zastaví vytváranie aktuálneho bezpečnostného podpisu.
• načasovanie - Najlepšie antivírusové balíčky sú neustále v strehu a zisťujú nové hrozby. Všeobecné antivírusové programy bohužiaľ nemôžu chrániť všetky aspekty vášho systému za všetkých okolností. Napríklad, niektorý malware sa zavedie až po reštarte systému, úniku (a pravdepodobne počas procesu) antivírusových operácií.
• komunikácia - Malware zavolá domov na svoj príkazový a riadiaci server (C&C), kde získa pokyny. Toto neplatí pre všetok malware. Keď to však urobí, antivírusový program môže zistiť konkrétne IP adresy, ktoré sú známe hostiteľom serverov C&C, a pokúsiť sa zabrániť komunikácii. V tomto prípade vývojári škodlivého softvéru jednoducho otočia adresu servera C&C a vyhnú sa detekcii.
• Falošná prevádzka - Dômyselne vytvorený falošný program je pravdepodobne jedným z najbežnejších oznámení o napadnutí škodlivým softvérom. Unwitting užívatelia predpokladajú, že je to bežná súčasť ich operačného systému (zvyčajne Windows) a postupujte podľa pokynov na obrazovke. Sú to zvlášť nebezpečné pre nekvalifikovaných používateľov PC a hoci pôsobia ako priateľský front-end, môžu dovoliť množstvu škodlivých subjektov prístup do systému.

Tento zoznam nie je vyčerpávajúci. Zahŕňa však niektoré z najbežnejších metód, ktoré malware používa na to, aby v počítači zostal skrytý.

Je Ransomware jednoduchý?

Jednoduché je možno nesprávne slovo. Ransomware je rozdielny. Ransomware variant používa šifrovanie vo väčšej miere ako jeho náprotivky, ale aj iným spôsobom. akcie infekcie ransomware sú to, čo ju robí pozoruhodnou, ako aj vytvorenie aury: ransomware je niečo, čoho sa obávať.

Kedy #ransomware bude mierka a zasiahne #IoT a #Bitcoin, bude príliš neskoro na fragmentáciu VŠETKÝCH IT údajov. Prosím, urob to teraz. #Hack

- Maxime Kozminski (@ Maxaxozminski) 20. februára 2017

Ransomware používa trochu nové funkcie, ako napríklad:

• Šifrovanie veľkého množstva súborov.
• Odstránenie tieňových kópií, ktoré by bežne umožňovali používateľom obnoviť sa zo zálohy.
• Vytváranie a ukladanie šifrovacích kľúčov na vzdialené servery C&C.
• Náročné výkupné, zvyčajne v neobjaviteľnom bitcoíne.

Zatiaľ čo tradičný malware „iba“ ukradne vaše používateľské poverenia a heslá, ransomware vás priamo ovplyvňuje a narúša vaše bezprostredné počítačové prostredie. Jeho následky sú tiež veľmi vizuálne.

Taktika Ransomware: Tabuľka hlavných súborov

„Wow!“ Od spoločnosti Ransomware faktor určite pochádza z jeho použitia šifrovania. Zdá sa však sofistikovanosť všetko? Engin Kirda, spoluzakladateľ a hlavný architekt spoločnosti Lastline Labs, si to nemyslí. On a jeho tím (pomocou výskumu, ktorý uskutočnil Amin Kharraz, jeden z doktorandov spoločnosti Kirda, ukončil obrovskú štúdiu ransomware, v ktorej analyzoval 1359 vzoriek z 15 rodín ransomware. Ich analýza preskúmala mechanizmy odstránenia a zistila niektoré zaujímavé výsledky.

Aké sú mechanizmy vymazania? Približne 36 percent z piatich najbežnejších rodín ransomwaru v množine údajov odstraňovalo súbory. Ak ste nezaplatili, súbory sa skutočne odstránili. Väčšina vypustení bola v skutočnosti celkom jednoduchá.

Ako by to urobil profesionálny človek? Skutočne by sa zamerali na vymazanie disku, takže je ťažké údaje obnoviť. Zapisovali by ste na disk, tento súbor by ste z disku vymazali. Ale väčšina z nich bola, samozrejme, leniví a priamo pracovali na záznamoch tabuľky hlavných súborov a označovali veci ako odstránené, ale údaje zostali na disku.

Následne bolo možné tieto vymazané údaje získať av mnohých prípadoch úplne obnoviť.

Ransomware Tactics: Desktop Environment

Ďalším klasickým správaním ransomware je uzamykanie pracovnej plochy. Tento typ útoku je prítomný v základných variantoch. Namiesto toho, aby šifrovanie a mazanie súborov pokračovalo, ransomware uzamkne pracovnú plochu a núti používateľa zo zariadenia. Väčšina používateľov to chápe tak, že ich súbory sú preč (šifrované alebo úplne vymazané) a jednoducho ich nemožno obnoviť.

Taktika Ransomware: Nútené správy

Infekcie Ransomware notoricky zobrazujú svoje výkupné. Zvyčajne vyžaduje platbu od používateľa za bezpečné vrátenie jeho súborov. Vývojári ransomware okrem toho posielajú používateľov na konkrétne webové stránky a zároveň deaktivujú určité funkcie systému - takže sa nemôžu zbaviť stránky / obrázka. Je to podobné ako v uzamknutom prostredí pracovnej plochy. Neznamená to automaticky, že súbory používateľa boli zašifrované alebo odstránené.

Zamyslite sa pred platením

Infekcia ransomware môže byť zničujúca. To je nepochybné. Ak však narazíte na ransomware, automaticky to neznamená, že vaše údaje sú navždy preč. Vývojári spoločnosti Ransomware nie sú všetci úžasní programátori. Ak existuje ľahká cesta k okamžitému finančnému zisku, bude prijatá. To, podľa bezpečného vedomia, že niektorí používatelia budú platiť 5 dôvodov, prečo by ste nemali platiť podvodníci spoločnosti RansomwareRansomware je strašidelný a vy ho nechcete zasiahnuť - aj keď tak urobíte, existujú presvedčivé dôvody, prečo by ste NEMALI platiť uvedené výkupné! Čítaj viac kvôli bezprostrednej a priamej hrozbe. Je to úplne pochopiteľné.

Najlepšie metódy na zmiernenie ransomware zostávajú: pravidelne zálohujte svoje súbory na jednotku, ktorá nie je zapojená do siete, a udržujte antivírusový program Suite a internetové prehliadače aktualizované, dajte si pozor na phishing e-maily a buďte rozumní pri sťahovaní súborov z internetu internet.

Image Credit: andras_csontos prostredníctvom Shutterstock.com