Sikkerhet

Er Ransomware virkelig så skremmende som du tror?

Er Ransomware virkelig så skremmende som du tror? / Sikkerhet

Ransomware er en vanlig gener. En ransomware-infeksjon tar datamaskinen i gissel, og krever betaling for utgivelse. I noen tilfeller sikrer en betaling ikke filene dine. Personlige bilder, musikk, filmer, arbeid og mer blir ødelagt. Ransomware-infeksjonsraten fortsetter å stige - dessverre har vi fortsatt ikke nådd toppen. Ransomware-as-a-Service vil bringe kaos til alle. Ransomware-as-a-Service vil bringe kaos til alle Ransomware beveger seg fra sine røtter som verktøy for kriminelle og mannfaktorer i en bekymringsløs tjenesteindustri, hvor alle kan abonnere på en ransomware-tjeneste og målrette brukere som deg og meg. Les mer - og dens kompleksitet øker.

Det har vært bemerkelsesverdige unntak fra denne regelen. Sikkerhetsforskere har i noen tilfeller sprakk ransomware-kryptering. Beat Scammers Med disse Ransomware-dekrypteringsverktøyene, slår du svindel med disse Ransomware-dekrypteringsverktøyene. Hvis du har blitt smittet av ransomware, vil disse gratis dekrypteringsverktøyene hjelpe deg med å låse opp og gjenopprette dine tapte filer. Ikke vent et øyeblikk! Les mer, slik at de kan lage et ettertraktet dekrypteringsverktøy 5 Nettsteder og Apps for å slå Ransomware og beskytte deg selv 5 nettsteder og apper for å slå Ransomware og beskytte deg selv Har du møtt et ransomware-angrep så langt, hvor noen av filene dine ikke lenger er tilgjengelige? Her er noen av verktøyene du kan bruke for å forhindre eller løse disse problemene. Les mer . Disse hendelsene er sjeldne, vanligvis som kommer når et skadelig botnet blir tatt ned. Imidlertid er ikke alle ransomware like komplekse som vi tror.

Anatomien til et angrep

I motsetning til noen vanlige malwarevarianter forsøker ransomware å forbli skjult så lenge som mulig. Dette er å tillate tid til å kryptere dine personlige filer. Ransomware er designet for å holde maksimalt antall systemressurser tilgjengelig for brukeren, for ikke å heve alarmen. Følgelig er for mange brukere den første indikasjonen på en ransomware-infeksjon en postkrypteringsmelding som forklarer hva som har skjedd.

Sammenlignet med andre malware-virus, spionprogramvare, skadelig programvare, etc. Forklart: Forståelse av virus på Internett, spionprogramvare, skadelig programvare, osv. Forklart: Forstå Internett-trusler Når du begynner å tenke på alle de tingene som kan gå galt når du surfer på nettet begynner å se ut som et ganske skummelt sted. Les mer, ransomware's infeksjonsprosess er ganske forutsigbar. Brukeren laster ned en infisert fil: dette inneholder ransomware nyttelast. Når den infiserte filen blir utført, vises ingenting som skjer umiddelbart (avhengig av type infeksjon). Brukeren er fortsatt uvitende om at ransomware begynner å kryptere sine personlige filer.

I tillegg til dette har et ransomware-angrep flere andre forskjellige adferdsmønstre:

  • Distinkt ransomware notat.
  • Bakgrunnsdataoverføring mellom verts- og kontrollservere.
  • Entropien av filer endres.

Fil Entropy

Fil entropi kan brukes til å identifisere filer kryptert med ransomware. Skriver til Internett Storm Center, beskriver Rob VandenBrink kort fil entropi og ransomware:

I IT-bransjen refererer en fils entropi til et bestemt mål for tilfeldighet kalt “Shannon Entropy,” oppkalt etter Claude Shannon. Denne verdien er i hovedsak et mål for forutsigbarheten av et bestemt tegn i filen, basert på forrige tegn (fulle detaljer og matte her). Det er med andre ord et mål på “tilfeldig” av dataene i en fil - målt i en skala fra 1 til 8, der typiske tekstfiler vil ha en lav verdi, og krypterte eller komprimerte filer vil ha et høyt mål.

Jeg vil foreslå å lese den opprinnelige artikkelen som det er veldig interessant.

Du kan ikke løse ransomware med en fancy entropi algoritme funnet i Google ;-) Problemet er litt mer komplekst enn det.

- Maskmonsteret (@osxreverser) 20. april 2016

Er det forskjellig fra “Vanlig” malware?

Ransomware og malware deler et felles mål: gjenværende skjult. Brukeren opprettholder en sjanse til å bekjempe infeksjonen hvis den er oppdaget før lenge. Det magiske ordet er “kryptering.” Ransomware tar sin plass i infamy for bruk av kryptering, mens kryptering har blitt brukt i malware i svært lang tid.

Kryptering hjelper malware passere under radaren av antivirusprogrammer ved å forvirre signaturdeteksjonen. I stedet for å se en gjenkjennelig streng av tegn som vil varsle en forsvarsbarriere, slår infeksjonen ut av ubemerket. Selv om antivirus-suiter blir mer dygtige til å merke disse strengene - kjent som hashes - Det er trivielt for mange malware-utviklere å jobbe rundt.

Vanlige obfuscationmetoder

Her er noen få vanlige metoder for obfuscation:

  • Gjenkjenning - Mange malwarevarianter kan oppdage om de brukes i et virtualisert miljø. Dette lar malware å unngå oppmerksomheten til sikkerhetsforskere ved å bare nekte å utføre eller pakke ut. I sin tur stopper dette etableringen av en oppdatert sikkerhetssignatur.
  • timing - De beste antiviruspakker er stadig våken, og ser etter en ny trussel. Dessverre kan generelle antivirusprogrammer ikke alltid beskytte alle aspekter av systemet ditt. For eksempel vil noen skadelig programvare bare distribuere etter en systemstart, rømme (og sannsynligvis deaktivere i prosessen) antivirusoperasjoner.
  • Kommunikasjon - Malware vil ringe hjem til sin kommando og kontroll (C & C) server for instruksjoner. Dette gjelder ikke for all malware. Men når de gjør det, kan et antivirusprogram oppdage bestemte IP-adresser som er kjent for å være vert for C & C-servere, og forsøke å hindre kommunikasjon. I dette tilfellet roterer malware-utviklere rett og slett C & C-serveradressen, unngår deteksjon.
  • Falsk drift - Et smart utformet falskt program er kanskje en av de vanligste varslene om en malwareinfeksjon. Unwitting brukere antar at dette er en vanlig del av operativsystemet (vanligvis Windows), og følger med på skjermen instruksjonene på skjermen. Disse er spesielt farlige for ufaglærte PC-brukere, og kan, mens de fungerer som en vennlig frontend, tillate en rekke ondsinnede enheter tilgang til et system.

Denne listen er ikke uttømmende. Det dekker imidlertid noen av de vanligste metodene som bruker malware, for å forbli skjult på PCen.

Er Ransomware Simple?

Enkel er kanskje feil ord. Ransomware er forskjellig. En ransomware-variant bruker kryptering i større grad at dens motstykker, så vel som på en annen måte. De handlinger av en ransomware infeksjon er det som gjør det bemerkelsesverdig, i tillegg til å skape en aura: ransomware er noe å frykte for.

Når #ransomware skal skalere og treffe #IoT og #Bitcoin, blir det for sent å fragmentere ALLE IT-dataene dine. Vennligst gjør det nå. #Hack

- Maxime Kozminski (@MaxKozminski) 20. februar 2017

Ransomware bruker noe nye funksjoner, for eksempel:

  • Kryptere store mengder filer.
  • Slette skyggekopier som vanligvis lar brukerne gjenopprette fra sikkerhetskopiering.
  • Opprette og lagre krypteringsnøkler på eksterne C & C-servere.
  • Krevende et løsepenger, vanligvis i uoppnåelig Bitcoin.

Mens den tradisjonelle malware “bare” stjeler brukeropplysningene og passordene dine, ransomware påvirker deg direkte, forstyrrer din umiddelbare databehandling. Dessuten er dens etterspørsel veldig visuell.

Ransomware Tactics: Master File Table

ransomware er “Wow!” faktor kommer sikkert fra bruken av kryptering. Men er sofistikert alt det virker? Engin Kirda, medstifter og sjefarkitekt ved Lastline Labs, tror ikke. Han og hans team (ved hjelp av forskning utført av Amin Kharraz, en av Kirdas doktorgradsstudenter) fullførte en enorm ransomware-studie, som analyserte 1359 prøver fra 15 ransomware-familier. Deres analyse utforsket slettingsmekanismer, og fant noen interessante resultater.

Hva er slettingsmekanismer? Om lag 36 prosent av de fem vanligste ransomware-familiene i datasettet var å slette filer. Hvis du ikke betalte opp, ble filene faktisk slettet. Det meste av slettingen var faktisk ganske grei.

Hvordan ville en profesjonell person gjøre dette? De ville faktisk ha som mål å tørke platen slik at det er vanskelig å gjenopprette dataene. Du ville skrive over disken, du ville tørke den filen av disken. Men de fleste var selvsagt lat og de jobbet direkte med Master File Table-oppføringene og markerte ting som slettet, men dataene var fortsatt på disken.

Deretter kunne de slettede dataene hentes, og i mange tilfeller helt gjenopprettes.

Ransomware Tactics: Desktop Environment

En annen klassisk ransomware-oppførsel låser skrivebordet. Denne typen angrep er tilstede i mer grunnleggende varianter. I stedet for å faktisk fortsette å kryptere og slette filer, låses ransomware på skrivebordet, og tvinger brukeren fra maskinen. Flertallet av brukerne tar dette som meningen at deres filer er borte (enten kryptert eller helt slettet) og rett og slett ikke kan gjenopprettes.

Ransomware Tactics: Tvunget Meldinger

Ransomware-infeksjoner viser notisielt deres løseprisnotat. Det krever vanligvis betaling fra brukeren for sikker retur av sine filer. I tillegg til dette sender ransomware-utviklere brukere til bestemte nettsider mens deaktiverer visse systemfunksjoner - slik at de ikke kan kvitte seg med siden / bildet. Dette ligner på et låst skrivebordsmiljø. Det betyr ikke automatisk at brukerens filer er kryptert eller slettet.

Tenk før du betaler

En ransomware infeksjon kan være ødeleggende. Dette er utvilsomt. Men å bli slått med ransomware betyr ikke automatisk at dataene dine er borte for alltid. Ransomware utviklere er ikke alle fantastiske programmører. Hvis det er en enkel rute til umiddelbar økonomisk gevinst, vil den bli tatt. Dette i sikker kunnskap om at noen brukere vil betale opp 5 grunner til at du ikke bør betale Ransomware svindlere 5 grunner til at du ikke bør betale Ransomware svindlere Ransomware er skummelt og du vil ikke bli rammet av det - hvis du gjør det, er det overbevisende grunner til at du ikke bør betale løsepenge! Les mer på grunn av den umiddelbare og direkte trusselen. Det er helt forståelig.

De beste metoder for ransomware-reduksjon gjenstår: Ta backup av filene dine regelmessig til en ikke-nettverksstasjon, hold antivirusprogrammet og nettleserne oppdatert, pass opp for phishing-e-post og vær fornuftig når du laster ned filer fra Internett.

Bildekreditt: andras_csontos via Shutterstock.com

Utforsk mer om: Datasikkerhet, Online Security, Ransomware.