Дали Ransomware наистина е толкова ужасяващ, колкото си мислите?

реклама

Ransomware е редовно неудобство. Инфекция, използвана от компютър, взема вашия компютър като заложник и изисква плащане за освобождаване. В някои случаи плащането не защитава вашите файлове. Лични снимки, музика, филми, работа и други са унищожени. Процентът на заразяване с рансъмуер продължава да нараства - за съжаление, все още не сме достигнали върха Ransomware-as-a-Service ще донесе хаос на всичкиRansomware се движи от корените си като инструмент на престъпници и злоупотреби в тревожна индустрия, в която всеки може да се абонира за услуга за откупуване и да насочи потребители като вас и мен. Прочетете още - и сложността му се увеличава.

Имаше забележителни изключения от това правило. В някои случаи сигурността изследователите пробиха криптиращия софтуер Победете измамници с тези инструменти за декриптиране на RansomwareАко сте били заразени от софтуер за откупуване, тези безплатни дешифриращи инструменти ще ви помогнат да отключите и възстановите загубените си файлове. Не чакайте още минута! Прочетете още

, което им позволява да създайте заветно средство за декриптиране 5 сайта и приложения, за да победите Ransomware и да се защититеДосега сте се сблъсквали с атака за откупи, която някои от вашите файлове вече не са достъпни? Ето някои от инструментите, които можете да използвате за предотвратяване или решаване на тези проблеми. Прочетете още . Тези събития са редки, обикновено пристигат при сваляне на злонамерен ботнет. Въпреки това, не всички откъм софтуер са толкова сложни, колкото си мислим.

Анатомията на атаката

За разлика от някои често срещани варианти на зловреден софтуер, откупният софтуер се опитва да остане скрит колкото е възможно по-дълго. Това е, за да се даде време за криптиране на вашите лични файлове. Ransomware е създаден да поддържа максималния размер на системните ресурси, достъпни за потребителя, за да не повиши алармата. Следователно, за много потребители, първата индикация за злонамерена програма е съобщение след криптиране, обясняващо какво се е случило.

В сравнение с други зловредни програми Вируси, шпионски софтуер, злонамерен софтуер и т.н. Обяснено: Разбиране на онлайн заплахитеКогато започнете да мислите за всички неща, които биха могли да се объркат, когато сърфирате в Интернет, мрежата започва да изглежда като доста страшно място. Прочетете още , процесът на заразяване на ransomware е доста предвидим. Потребителят ще изтегли инфектиран файл: той съдържа полезния товар на ransomware. Когато се изпълни заразеният файл, нищо няма да се случи веднага (в зависимост от вида на инфекцията). Потребителят остава не наясно, че ransomware започва да криптира личните си файлове.

Освен това, атака за откупи има няколко различни модели на поведение:

• Отлична бележка за откуп
• Предаване на фонови данни между хост и контролни сървъри.
• Ентропията на файловете се променя.

Ентропия на файла

Ентропията на файла може да се използва за идентифициране на файлове, криптирани с ransomware. Пише за Интернет Storm Center, Rob VandenBrink накратко очертава ентропия на файла и откуп на софтуер:

В ИТ индустрията ентропията на файла се отнася до конкретна мярка за случайност, наречена „Ентропия на Шенън“, наречена за Клод Шенън. Тази стойност по същество е мярка за предсказуемостта на всеки специфичен символ във файла, базирана на предходни символи (пълни подробности и математика тук). С други думи, това е мярка за „случайността“ на данните във файл - измерена в скала от 1 до 8, където типичните текстови файлове ще имат ниска стойност, а криптираните или компресираните файлове ще имат високо измерване.

Бих предложил да прочетете оригиналната статия, тъй като е много интересна.

Не можете да решите извличане на софтуер с фантастичен ентропиен алгоритъм, открит в Google ;-) Проблемът е малко по-сложен от този.

- Чудовищното чудовище (@osxreverser) 20 април 2016 г.

Различава ли се от „обикновения” злонамерен софтуер?

Ransomware и зловреден софтуер споделят обща цел: остават неразкрити. Потребителят поддържа шанс за борба с инфекцията, ако бъде забелязан преди дълго. Магическата дума е „криптиране“. Ransomware заема своето място в позор заради използването на криптиране, докато криптирането се използва в злонамерен софтуер от много дълго време.

Шифроването помага на зловредния софтуер да премине под радара на антивирусните програми, като обърка откриването на подпис. Вместо да видите разпознаваем низ от символи, които да сигнализират за защитна бариера, инфекцията се пропуска, незабелязано. Въпреки че антивирусните пакети стават все по-умели да забелязват тези низове - общоизвестни като хешове - тривиално е за много разработчици на зловреден софтуер да работят.

Общи методи на обфуксация

Ето още няколко често срещани метода на обфуксация:

• Откриване - Много варианти на зловреден софтуер могат да открият дали се използват във виртуализирана среда. Това позволява на зловредния софтуер да избегне вниманието на изследователите по сигурността, като просто откаже да изпълни или разопакова. От своя страна това спира създаването на актуален защитен подпис.
• синхронизиране - Най-добрите антивирусни пакети непрекъснато сигнализират, проверяват за нова заплаха. За съжаление, общите антивирусни програми не могат да защитят всеки аспект на вашата система по всяко време. Например, някои злонамерен софтуер ще се разгърне само след рестартиране на системата, избягвайки (и вероятно деактивирайки в процеса) антивирусни операции.
• общуване - Зловредният софтуер ще се свърже към дома със своя сървър за управление и управление (C&C) за инструкции. Това не е вярно за всички зловредни програми. Въпреки това, когато го направят, антивирусна програма може да забележи специфични IP адреси, известни на хост C&C сървъри, и да се опита да предотврати комуникацията. В този случай разработчиците на зловреден софтуер просто завъртат адреса на C&C сървъра, избягвайки откриването.
• Фалшива операция - Една умело изработена фалшива програма е може би едно от най-често срещаните известия за зараза с зловреден софтуер. Потребителите неочаквано приемат, че това е редовна част от тяхната операционна система (обикновено Windows) и почти следват инструкциите на екрана. Те са особено опасни за неквалифицирани потребители на персонални компютри и, макар да действат като приятелски интерфейс, могат да позволят на множество злонамерени лица достъп до система.

Този списък не е изчерпателен. Въпреки това, той обхваща някои от най-разпространените методи, които злонамерен софтуер използва, за да остане неясен на вашия компютър.

Ransomware прост ли е?

Обикновено е може би грешната дума. Ransomware е различно. Вариантът за извличане на софтуер използва криптирането по-широко от неговите колеги, както и по различен начин. Най- мерки на ransomware инфекция са това, което го прави забележим, както и създаването на аура: ransomware е нещо, от което се страхувате.

Кога #ransomware ще се мащабира и удари #IoT и #Bitcoin, ще бъде късно да фрагментирате ВСИЧКИ ваши ИТ данни. Моля, направете го сега. #Hack

- Максим Козмински (@MaxKozminski) 20 февруари 2017г

Ransomware използва донякъде нови функции, като например:

• Шифроване на големи количества файлове.
• Изтриване на сенки копия, които обикновено позволяват на потребителите да се възстановят от архивиране.
• Създаване и съхраняване на кодове за криптиране на отдалечени C&C сървъри.
• Изисква откуп, обикновено в непроследим биткойн.

Докато традиционният злонамерен софтуер „просто“ открадва вашите потребителски идентификационни данни и пароли, ransomware директно ви засяга, нарушавайки непосредствената ви компютърна среда. Освен това последствията от него са много визуални.

Ransomware Tactics: Главна таблица с файлове

„Уау!“ На Ransomware фактор със сигурност идва от използването на криптиране. Но изтънчеността ли е всичко, което изглежда? Енгин Кирда, съосновател и главен архитект в Lastline Labs, не смята. Той и неговият екип (използвайки изследвания, проведени от Амин Хараз, един от докторантите на Кирда) завърши огромно проучване за извличане на информация, анализирайки 1359 проби от 15 семейства от компютърни програми. Техният анализ изследва механизмите за изтриване и открива някои интересни резултати.

Какви са механизмите за изтриване? Около 36 процента от петте най-често срещани семейства от софтуер за извличане на данни са изтривали файлове. Ако не сте платили, файловете всъщност се изтриват. По-голямата част от изтриването всъщност беше доста пряма.

Как професионален човек би направил това? Те всъщност ще имат за цел да изтрият диска, така че да е трудно да се възстановят данните. Бихте писали през диска, ще изтриете този файл от диска. Но повечето от тях, разбира се, бяха мързеливи и директно работеха върху записите в таблицата на главните файлове и маркираха нещата като изтрити, но данните все още оставаха на диска.

Впоследствие тези изтрити данни могат да бъдат извлечени и в много случаи напълно възстановени.

Ransomware Tactics: Desktop Environment

Друго класическо поведение за извличане на софтуер е заключване на работния плот. Този тип атака присъства в по-основни варианти. Вместо всъщност да се захванете с криптирането и изтриването на файлове, ransomware заключва работния плот, принуждавайки потребителя от машината. По-голямата част от потребителите приемат това като означава, че техните файлове са изчезнали (криптирани или напълно изтрити) и просто не могат да бъдат възстановени.

Ransomware Tactics: Forced Messages

Инфекциите с Ransomware известни показват бележката си за откуп. Обикновено изисква плащане от потребителя за безопасното връщане на техните файлове. В допълнение към това, разработчиците на ransomware изпращат потребители до конкретни уеб страници, докато деактивират определени системни функции - така че те не могат да се отърват от страницата / изображението. Това е подобно на заключена среда на работния плот. Това не означава автоматично, че файловете на потребителя са били криптирани или изтрити.

Помислете преди да платите

Инфекция с откуп може да бъде пагубна. Това е безспорно. Това обаче, че бъдете ударени с ransomware, не означава автоматично, че данните ви са изчезнали завинаги. Разработчиците на Ransomware не са всички невероятни програмисти. Ако има лесен път към непосредствена финансова печалба, той ще бъде предприет. Това, в сигурно знание, че някои потребители ще плащат 5 причини, поради които не трябва да плащате измамници с RansomwareИзкуплението е страшно и не искате да се удряте от него - но дори и да го направите, има убедителни причини, поради които НЕ трябва да плащате казания откуп! Прочетете още поради непосредствената и пряка заплаха. Това е напълно разбираемо.

Остават най-добрите методи за смекчаване на рансъмуер: редовно архивирайте файловете си на не-мрежово устройство, пазете антивируса си актуализиран пакет и интернет браузъри, внимавайте за фишинг имейли и бъдете разумни за изтеглянето на файлове от интернет.

Кредитна снимка: andras_csontos чрез Shutterstock.com