Securitate

Ransomware este într-adevăr atât de terifiant, după cum credeți?

Ransomware este într-adevăr atât de terifiant, după cum credeți? / Securitate

Ransomware este o problemă obișnuită. O infecție de răscumpărare ia computerul ostatic și cere plata pentru eliberare. În unele cazuri, o plată nu vă asigură fișierele. Fotografiile personale, muzica, filmele, munca și multe altele sunt distruse. Rata de infectare răsunătoare continuă să crească - din păcate, încă nu am ajuns la vârf Ransomware-as-a-Service va aduce haos pentru toată lumea Ransomware-as-a-Service va aduce haos pentru toată lumea Ransomware se mișcă din rădăcinile sale instrument de infractori și răufăcători într-o industrie de servicii îngrijorătoare, în care oricine poate să se aboneze la un serviciu de răscumpărare și să vizeze utilizatori ca tine și cu mine. Citiți mai mult - și complexitatea sa este în creștere.

Au existat excepții notabile la această regulă. În unele cazuri, cercetătorii în domeniul securității au spart criptarea ransomware. Beat Scammers cu aceste instrumente de decriptare Ransomware Împușcă-i pe escrocii cu aceste instrumente de decriptare Ransomware Dacă ai fost infectat cu ransomware, aceste instrumente gratuite de decriptare vă vor ajuta să deblocați și să recuperați fișierele pierdute. Nu așteptați încă un minut! Citiți mai multe, permițându-le să creeze un instrument de decriptare râvnit 5 Site-uri și Apps pentru a bate Ransomware și Protejați-vă 5 site-uri și aplicații pentru a bate Ransomware și Protejați-vă Ați confruntat cu un atac de răscumpărare până acum, unde unele dintre fișierele dvs. nu mai sunt accesibile? Iată câteva dintre instrumentele pe care le puteți utiliza pentru a preveni sau rezolva aceste probleme. Citeste mai mult . Aceste evenimente sunt rare, de obicei, sosind atunci când un botnet rău este eliminat. Cu toate acestea, nu toate ransomware-ul este la fel de complex ca noi credem.

Anatomia unui atac

Spre deosebire de câteva variante obișnuite de malware, ransomware-ul încearcă să rămână ascuns cât mai mult posibil. Acest lucru este de a permite timp pentru a cripta fișierele personale. Ransomware este proiectat pentru a păstra cantitatea maximă de resurse de sistem disponibile pentru utilizator, pentru a nu ridica alarma. În consecință, pentru mulți utilizatori, prima indicație a unei infecții de răscumpărare este un mesaj post-criptare care explică ce sa întâmplat.

În comparație cu alte virusuri malware, spyware, malware, etc. Explicați: Înțelegerea virușilor online, a programelor spyware, a malware-ului etc. Explicat: Înțelegerea amenințărilor online Când începeți să vă gândiți la toate lucrurile care ar putea merge prost la navigarea pe Internet, începe să pară un loc destul de înfricoșător. Citiți mai mult, procesul de infectare al ransomware-ului este destul de previzibil. Utilizatorul va descărca un fișier infectat: acesta conține încărcătura utilă ransomware. Când se execută fișierul infectat, nimic nu va apărea imediat (în funcție de tipul de infecție). Utilizatorul nu știe că ransomware-ul începe să cripteze fișierele personale.

Pe lângă aceasta, un atac de răscumpărare are mai multe alte modele distincte de comportament:

  • O notă distinctă de răscumpărare.
  • Transmisia de date de fond între serverele gazdă și cele de control.
  • Entropia fișierelor se schimbă.

File Entropy

Entropia fișierelor poate fi utilizată pentru a identifica fișierele criptate cu ransomware. Scriind pentru Internet Storm Center, Rob VandenBrink descrie pe scurt entropia fișierelor și ransomware-ului:

În industria IT, entropia unui fișier se referă la o anumită măsură a alegerii numită “Shannon Entropia,” numit pentru Claude Shannon. Această valoare este în esență o măsură a predictibilității oricărui caracter specific din fișier, pe baza caracterelor precedente (detalii complete și matematică aici). Cu alte cuvinte, este o măsură a lui “randomizare” a datelor într-un fișier - măsurată într-o scară de la 1 la 8, unde fișierele text tipice vor avea o valoare scăzută, iar fișierele criptate sau comprimate vor avea o mare măsură.

Aș sugera să citiți articolul original, deoarece este foarte interesant.

Nu puteți rezolva răscumpărarea cu un algoritm de entropie fantezie găsit în Google ;-) Problema este un pic mai complexă decât aceea.

- Monsterul mach (@osxreverser) 20 aprilie 2016

Este diferit de la “Comun” malware?

Ransomware și programele malware au un scop comun: rămânem ascunse. Utilizatorul menține o șansă de a lupta împotriva infecției dacă este văzută înainte de mult timp. Cuvântul magic este “criptare.” Ransomware își ia locul în infamie pentru utilizarea criptării, în timp ce criptarea a fost folosită în programele malware pentru o perioadă foarte lungă.

Criptarea ajută malware-ul să treacă sub radarul programelor antivirus, confundând detectarea semnelor. În loc să vadă un șir de caractere recunoscute care să alerteze o barieră de apărare, infecția se scurge, neobservată. Deși suitele antivirus devin din ce în ce mai pricepuți la observarea acestor șiruri de caractere - cunoscute sub numele de hashes - este banal pentru mulți dezvoltatori de programe malware să lucreze în jurul lor.

Metode comune de obfuscare

Iată câteva metode mai obișnuite de obfuscare:

  • Detectare - Multe variante de programe malware pot detecta dacă sunt utilizate într-un mediu virtualizat. Acest lucru permite malware-ului să evite atenția cercetătorilor de securitate prin refuzul de a executa sau despacheta. La rândul său, aceasta oprește crearea unei semnături de securitate actualizate.
  • Sincronizare - Cele mai bune suite antivirus sunt mereu în alertă, verificând o nouă amenințare. Din păcate, programele antivirus generale nu pot proteja toate aspectele sistemului în orice moment. De exemplu, unele programe malware se vor desfășura numai după o repornire de sistem, de evacuare (și probabil dezactivarea în proces) a operațiilor antivirus.
  • Comunicare - Malware-ul va suna acasă la serverul de comandă și control (C & C) pentru instrucțiuni. Acest lucru nu este valabil pentru toate programele malware. Cu toate acestea, atunci când o fac, un program antivirus poate detecta anumite adrese IP cunoscute pentru a găzdui serverele C & C și încearcă să împiedice comunicarea. În acest caz, dezvoltatorii de programe malware se rotesc pur și simplu pe adresa serverului C & C, evitând detectarea.
  • Operație falsă - Un program fals inteligent este probabil una dintre cele mai comune notificări ale unei infecții malware. Utilizatorii necondiționați presupun că aceasta este o parte obișnuită a sistemului lor de operare (de obicei, Windows) și urmează cu blithely instrucțiunile de pe ecran. Acestea sunt periculoase pentru utilizatorii de PC necalificați și, în timp ce acționează ca un front-end prietenos, pot permite accesul unui număr mare de entități rău intenționate la un sistem.

Această listă nu este exhaustivă. Cu toate acestea, acesta acoperă unele dintre cele mai comune metode utilizate de malware pentru a rămâne ascunse pe PC.

Este Ransomware Simplu?

Simplu este probabil cuvântul greșit. Ransomware este diferit. O variantă de răscumpărare folosește mai mult criptarea decât omologii săi, precum și într-o manieră diferită. acţiuni a unei infecții de răscumpărare sunt ceea ce o face notabilă, precum și crearea unei aure: ransomware este ceva de frică.

Când #ransomware va scala și va lovi #IoT și #Bitcoin, va fi prea târziu pentru a fragmenta TOATE datele IT. Te rog acum. #Hack

- Maxime Kozminski (@MaxKozminski) 20 februarie 2017

Ransomware folosește o serie de caracteristici noi, cum ar fi:

  • Criptarea unor cantități mari de fișiere.
  • Ștergerea copiilor umbră care ar permite în mod normal utilizatorilor să se restabilească din copia de rezervă.
  • Crearea și stocarea cheilor de criptare pe serverele C & C de la distanță.
  • Solicitarea unei răscumpărări, de obicei în Bitcoin netratificabil.

În timp ce malware tradiționale “pur și simplu” fură acreditările dvs. de utilizator și parolele, ransomware vă afectează direct, deranjând mediul dvs. de calcul imediat. De asemenea, consecințele sale sunt foarte vizuale.

Tactica Ransomware: Tabelul Master File

lui Ransomware “Wow!” factorul provine de la folosirea criptării. Dar este sofisticarea tot ce pare? Engin Kirda, co-fondator și arhitect șef la Laboratoarele Lastline, nu crede. El și echipa sa (folosind cercetarea efectuată de Amin Kharraz, unul dintre doctoranzii lui Kirda) au finalizat un studiu enorm de răscumpărare, analizând 1359 de eșantioane din 15 familii de rromi. Analiza lor a explorat mecanismele de ștergere și a găsit câteva rezultate interesante.

Care sunt mecanismele de ștergere? Aproximativ 36% din cele cinci familii cele mai comune de ransomware din setul de date au fost șterse fișierele. Dacă nu ați plătit, fișierele au fost efectiv șterse. Cea mai mare parte a ștergerii, de fapt, a fost destul de simplă.

Cum ar face o persoană profesională acest lucru? Ei ar avea drept scop să ștergeți discul astfel încât să fie dificil să recuperați datele. Ai scrie pe disc, ai șterge acel fișier de pe disc. Dar cei mai mulți dintre ei erau, desigur, leneși și lucrau direct la intrările Master File Table și marcând lucrurile ca fiind șterse, dar datele rămân încă pe disc.

Ulterior, datele șterse ar putea fi recuperate și, în multe cazuri, vor fi recuperate integral.

Tactica Ransomware: mediul de lucru

Un alt comportament clasic de răscumpărare este blocarea desktopului. Acest tip de atac este prezent în mai multe variante de bază. În loc să se întâmple cu criptarea și ștergerea fișierelor, ransomware-ul blochează desktop-ul, forțând-o pe utilizator din mașină. Majoritatea utilizatorilor consideră că acestea au dispărut (fie criptate, fie complet șterse) și pur și simplu nu pot fi recuperate.

Tactica Ransomware: Mesaje forțate

Ransomware infecții notoriu afișează nota lor de răscumpărare. De obicei, solicită plata de la utilizator pentru returnarea sigură a fișierelor. În plus, dezvoltatorii de ransomware trimit utilizatori către anumite pagini web în timp ce dezactivează anumite caracteristici ale sistemului - astfel încât nu pot scăpa de pagină / imagine. Acest lucru este similar cu un mediu de birou blocat. Nu înseamnă automat că fișierele utilizatorului au fost criptate sau șterse.

Gândiți-vă înainte de a plăti

O infecție cu rinichi poate fi devastatoare. Acest lucru este indiscutabil. Totuși, a fi lovit cu ransomware nu înseamnă automat că datele dvs. au dispărut pentru totdeauna. Dezvoltatorii Ransomware nu sunt toți programatori uimitori. Dacă există un traseu ușor spre câștigul financiar imediat, acesta va fi luat. Acest lucru, în cunoștința sigur că unii utilizatori vor plăti până 5 motive pentru care nu ar trebui să plătească Ramsomware escrocii 5 motive pentru care nu ar trebui să plătiți Ramsomware escrocii Ransomware este înfricoșător și nu doriți să obțineți lovit de ea - dacă o faceți, există motive imperioase pentru care NU ar trebui să plătiți răscumpărarea menționată! Citiți mai multe din cauza amenințării imediate și directe. Este complet de înțeles.

Cele mai bune metode de reducere a riscului de răscumpărare rămân: copiați fișierele în mod regulat la o unitate fără rețea, păstrați actualizările antivirus și browserele dvs. de internet, urmăriți e-mailurile de phishing și fii conștient de descărcarea fișierelor de pe internet.

Credit de imagine: andras_csontos prin Shutterstock.com

Explorați mai multe despre: Computer Security, Online Security, Ransomware.