reklama

Ransomware je pravidelná nepříjemnost. Infekce ransomware vezme váš počítač jako rukojmí a vyžaduje vydání za vydání. V některých případech platba vaše soubory nezabezpečí. Osobní fotografie, hudba, filmy, práce a další jsou zničeny. Míra infekce ransomwaru stále roste - bohužel stále jsme nedosáhli vrcholu Služba Ransomware-as-a-Service přinese chaos každémuRansomware přechází ze svých kořenů jako nástroj zločinců a zločinců do znepokojivého odvětví služeb, ve kterém se kdokoli může přihlásit k odběru služby ransomware a zacílit na uživatele, jako jste vy a já. Přečtěte si více - a jeho složitost roste.

Z tohoto pravidla došlo k významným výjimkám. V některých případech zabezpečení vědci popraskali šifrování ransomware Porazte podvodníky pomocí těchto nástrojů pro dekódování RansomwarePokud jste byli infikováni ransomwarem, tyto bezplatné dešifrovací nástroje vám pomohou odemknout a obnovit ztracené soubory. Nečekejte další minutu! Přečtěte si více , což jim umožní vytvořit vyhledávaný dešifrovací nástroj

instagram viewer
5 webů a aplikací, abyste porazili Ransomware a chránili seUž jste čelili útoku na ransomware, kde některé soubory již nejsou přístupné? Zde jsou některé z nástrojů, které můžete použít k prevenci nebo řešení těchto problémů. Přečtěte si více . Tyto události jsou vzácné a obvykle přicházejí, když je zlikvidován škodlivý botnet. Ne všechny ransomware však nejsou tak složité, jak si myslíme.

Anatomie útoku

Na rozdíl od některých běžných variant malwaru se ransomware pokouší zůstat co nejdéle skrytý. Toto je poskytnout čas na zašifrování vašich osobních souborů. Ransomware je navržen tak, aby udržoval maximální množství systémových prostředků, které má uživatel k dispozici, aby nezvýšil alarm. V důsledku toho je pro mnoho uživatelů první známkou infekce ransomware post-šifrovací zpráva vysvětlující, co se stalo.

Ve srovnání s jiným malwarem Viry, spyware, malware atd. Vysvětleno: Porozumění online hrozbámKdyž začnete přemýšlet o všech věcech, které by se mohly při procházení Internetu pokazit, web začne vypadat jako docela děsivé místo. Přečtěte si více , proces infekce ransomware je docela předvídatelný. Uživatel stáhne infikovaný soubor: obsahuje užitečné zatížení ransomware. Po spuštění infikovaného souboru se nic nestane okamžitě (v závislosti na typu infekce). Uživatel si stále neuvědomuje, že ransomware začíná šifrovat své osobní soubory.

Kromě toho má útok ransomware několik dalších odlišných vzorců chování:

  • Výrazná poznámka o ransomwaru.
  • Přenos dat na pozadí mezi hostitelským a řídicím serverem.
  • Entropie souborů se mění.

Entropie souboru

Entropii souboru lze použít k identifikaci souborů zašifrovaných pomocí ransomware. Psaní pro Internet Storm Center, Rob VandenBrink stručně nastíní entropie souborů a ransomware:

V IT průmyslu entropie souboru označuje konkrétní míru náhodnosti zvanou „Shannon Entropy“, pojmenovanou pro Claude Shannona. Tato hodnota je v podstatě měřítkem předvídatelnosti jakéhokoli specifického znaku v souboru na základě předchozích znaků (všechny podrobnosti a matematiku zde). Jinými slovy, jedná se o míru „náhodnosti“ dat v souboru - měřeno v měřítku 1 až 8, kde typické textové soubory budou mít nízkou hodnotu a šifrované nebo komprimované soubory budou mít vysokou hodnotu opatření.

Navrhl bych si přečíst původní článek, protože je velmi zajímavý.

Nemůžete vyřešit ransomware pomocí efektivního algoritmu entropie nalezeného v Googlu ;-) Problém je o něco složitější.

- Mach monstrum (@osxreverser) 20. dubna 2016

Liší se od „běžného“ malwaru?

Ransomware a malware sdílejí společný cíl: zůstat skryté. Uživatel má šanci bojovat s infekcí, pokud je spatřen již dlouho. Kouzelné slovo je „šifrování“. Ransomware zaujímá své místo v šílenství za použití šifrování, zatímco šifrování se v malwaru používá velmi dlouhou dobu.

Šifrování pomáhá předávat malware pod radarem antivirových programů zaměňováním detekce podpisů. Namísto toho, aby viděla rozpoznatelný řetězec postav, který by varoval obrannou bariéru, infekce sklouzne bez povšimnutí. Přestože antivirové sady si stále více uvědomují tyto řetězce - běžně známé jako hashe - Mnoho vývojářů malwaru je obejít.

Běžné metody zmatení

Zde je několik běžnějších způsobů zmatení:

  • Detekce - Mnoho variant malwaru dokáže zjistit, zda jsou používány ve virtualizovaném prostředí. To umožňuje malwaru, aby se vyhnul pozornosti výzkumných pracovníků v oblasti bezpečnosti tím, že jednoduše odmítl provést nebo rozbalit. To zase zastaví vytváření aktuálního bezpečnostního podpisu.
  • Načasování - Nejlepší antivirové sady jsou neustále v pohotovosti a kontrolují novou hrozbu. Obecné antivirové programy bohužel nemohou chránit každý aspekt vašeho systému za všech okolností. Například některý malware bude nasazen až po restartování systému, úniku (a pravděpodobně v průběhu procesu) antivirových operací.
  • Sdělení - Malware zavolá domovský server na svůj příkazový a řídicí server (C&C), kde obdrží pokyny. To neplatí pro veškerý malware. Pokud však ano, antivirový program může zjistit konkrétní IP adresy známé hostitelům serverů C&C a pokusit se zabránit komunikaci. V tomto případě vývojáři malwaru jednoduše otočí adresu serveru C&C a vyhýbají se detekci.
  • Falešná operace - Chytře vytvořený falešný program je možná jedním z nejčastějších oznámení o napadení malwarem. Unwitting uživatelé předpokládají, že se jedná o běžnou součást jejich operačního systému (obvykle Windows) a bezstarostně postupujte podle pokynů na obrazovce. Jsou to obzvláště nebezpeční pro nekvalifikované uživatele PC a, zatímco fungují jako přátelský front-end, mohou umožnit hostiteli škodlivých entit přístup do systému.

Tento seznam není vyčerpávající. Pokrývá však některé z nejčastějších metod, které malware používá k tomu, aby zůstal na vašem PC skrytý.

Je Ransomware jednoduchý?

Jednoduché je možná špatné slovo. Ransomware je odlišný. Varianta ransomware používá šifrování ve větší míře než jeho protějšky, ale i jiným způsobem. akce infekce ransomware jsou to, co ji činí pozoruhodnou, a také vytvoření aury: ransomware je něco, čeho se obávat.

Když #ransomware bude měřítko a zasáhne #IoT a #Bitcoin, bude příliš pozdě na fragmentaci VŠECH vašich IT dat. Prosím, udělej to hned teď. #Zaseknout

- Maxime Kozminski (@ Maxaxozminski) 20. února 2017

Ransomware používá poněkud nové funkce, jako například:

  • Šifrování velkého množství souborů.
  • Odstranění stínových kopií, které by běžně umožňovaly uživatelům obnovení ze zálohy.
  • Vytváření a ukládání šifrovacích klíčů na vzdálených serverech C&C.
  • Náročné výkupné, obvykle v nevysledovatelném bitcoinu.

Zatímco tradiční malware „pouze“ krade vaše přihlašovací údaje a hesla, ransomware vás přímo ovlivňuje a narušuje vaše bezprostřední počítačové prostředí. Jeho následky jsou také velmi vizuální.

Taktika Ransomware: Tabulka hlavních souborů

Ransomware je „Wow!“ faktor jistě pochází z jeho použití šifrování. Ale je to všechno sofistikovanost? Engin Kirda, spoluzakladatel a hlavní architekt společnosti Lastline Labs, si to nemyslí. On a jeho tým (pomocí výzkumu prováděného Aminem Kharrazem, jeden ze studentů PhD Kirdy) dokončil obrovskou studii ransomwaru, která analyzovala 1359 vzorků z 15 rodin ransomwaru. Jejich analýza prozkoumala deleční mechanismy a našla některé zajímavé výsledky.

Jaké jsou mechanismy mazání? Asi 36 procent z pěti nejběžnějších rodin ransomwaru v sadě dat mazalo soubory. Pokud jste nezaplatili, soubory byly skutečně smazány. Většina vymazání byla ve skutečnosti docela přímá.

Jak by to udělal profesionální člověk? Měli by vlastně za cíl vymazat disk, takže je obtížné data obnovit. Zapisovali byste přes disk, vymazali byste tento soubor z disku. Ale většina z nich byla samozřejmě líná a přímo pracovali na záznamech tabulky hlavních souborů a označovali věci jako smazané, ale data zůstala na disku.

Následně mohla být odstraněná data načtena a v mnoha případech plně obnovena.

Typy Ransomwaru používaného ve studii

Ransomware Tactics: Desktop Environment

Dalším klasickým chováním ransomwaru je zamykání plochy. Tento typ útoku je přítomen ve více základních variantách. Místo skutečného pokračování v šifrování a mazání souborů, ransomware uzamkne plochu a nutí uživatele ze stroje. Většina uživatelů to chápe tak, že jejich soubory jsou pryč (šifrované nebo úplně vymazané) a jednoduše je nelze obnovit.

Taktika Ransomware: Nucené zprávy

Infekce Ransomware notoricky zobrazují své výkupné. Obvykle vyžaduje platbu od uživatele za bezpečné vrácení jejich souborů. Kromě toho vývojáři ransomware odesílají uživatele na konkrétní webové stránky a zároveň deaktivují určité funkce systému - nemohou se tedy stránky / obrazu zbavit. Je to podobné jako u uzamčeného desktopového prostředí. Neznamená to automaticky, že soubory uživatele byly zašifrovány nebo odstraněny.

Zamyslete se před placením

Infekce ransomware může být zničující. To je nepochybné. Pokud však narazíte na ransomware, automaticky to neznamená, že vaše data jsou navždy pryč. Vývojáři Ransomware nejsou všichni úžasní programátoři. Pokud existuje snadná cesta k okamžitému finančnímu zisku, bude přijata. To je v bezpečí, že někteří uživatelé zaplatí 5 důvodů, proč byste neměli platit podvodníky RansomwareRansomware je děsivý a nechceš ho zasáhnout - i když tak učiníte, existují přesvědčivé důvody, proč byste NEMěli platit výkupné! Přečtěte si více kvůli okamžité a přímé hrozbě. Je to zcela pochopitelné.

Nejlepší metody zmírnění ransomwaru zůstávají: pravidelně zálohujte soubory na jednotku bez připojení k síti, udržujte antivirový program Suite a internetové prohlížeče aktualizovány, dávejte si pozor na phishing e-maily, a být rozumný o stahování souborů z internetu Internet.

Image Credit: andras_csontos prostřednictvím Shutterstock.com

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřené sesterské stránky, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako více než deset let profesionálního psaní. Užívá si hojného množství čaje.