Ransomware è davvero terrificante come pensi?
Il ransomware è un fastidio normale. Un'infezione ransomware richiede l'ostaggio del computer e richiede il pagamento per il rilascio. In alcuni casi, un pagamento non protegge i tuoi file. Le foto personali, la musica, i film, il lavoro e altro vengono distrutti. Il tasso di infezione dei ransomware continua ad aumentare - sfortunatamente, non abbiamo ancora raggiunto il picco Ransomware-as-a-service porterà il caos a tutti Ransomware-as-a-service porterà il caos a tutti Ransomware si sta muovendo dalle sue radici come strumento di criminali e malfattori in un'industria dei servizi preoccupante, in cui chiunque può abbonarsi a un servizio di ransomware e prendere di mira utenti come te e me. Leggi di più - e la sua complessità sta aumentando.
Ci sono state notevoli eccezioni a questa regola. In alcuni casi, i ricercatori di sicurezza hanno violato la crittografia ransomware Beat Scammers con questi strumenti di decrittografia Ransomware sconfiggi gli scammer con questi strumenti di decrittografia ransomware Se sei stato infettato da ransomware, questi strumenti di decrittografia gratuiti ti aiuteranno a sbloccare e recuperare i file persi. Non aspettare un altro minuto! Ulteriori informazioni, consentendo loro di creare un ambito strumento di decrittografia 5 Siti e app per battere il ransomware e proteggersi 5 siti e app per battere il ransomware e proteggersi Hai mai affrontato un attacco ransomware finora, in cui alcuni dei tuoi file non sono più accessibili? Ecco alcuni degli strumenti che puoi utilizzare per prevenire o risolvere questi problemi. Leggi di più . Questi eventi sono rari, di solito arrivano quando una botnet dannosa viene rimossa. Tuttavia, non tutto il ransomware è così complesso come pensiamo.
L'anatomia di un attacco
A differenza di alcune varianti di malware comuni, ransomware tenta di rimanere nascosto il più a lungo possibile. Questo per consentire il tempo di crittografare i tuoi file personali. Ransomware è progettato per mantenere la quantità massima di risorse di sistema disponibili per l'utente, in quanto non per generare l'allarme. Di conseguenza, per molti utenti, la prima indicazione di un'infezione da ransomware è un messaggio di post-crittografia che spiega cosa è successo.
Rispetto ad altri malware Virus, spyware, malware, ecc. Spiegato: Comprendere le minacce online Virus, spyware, malware, ecc. Spiegato: Comprendere le minacce online Quando si inizia a pensare a tutte le cose che potrebbero andare storte quando si naviga in Internet, il Web inizia a sembrare un posto piuttosto spaventoso. Per saperne di più, il processo di infezione di ransomware è abbastanza prevedibile. L'utente scaricherà un file infetto: questo contiene il payload ransomware. Quando viene eseguito il file infetto, non sembra che accada immediatamente (a seconda del tipo di infezione). L'utente non sa che il ransomware inizia a crittografare i propri file personali.
Oltre a ciò, un attacco di ransomware ha diversi altri modelli comportamentali distinti:
- Nota ransomware distinta.
- Trasmissione di dati in background tra host e server di controllo.
- L'entropia dei file cambia.
File Entropy
L'entropia dei file può essere utilizzata per identificare i file crittografati con ransomware. Scrivendo per Internet Storm Center, Rob VandenBrink descrive brevemente entropia di file e ransomware:
Nel settore IT, l'entropia di un file si riferisce a una misura specifica di casualità chiamata “Entropia di Shannon,” chiamato per Claude Shannon. Questo valore è essenzialmente una misura della prevedibilità di qualsiasi carattere specifico nel file, in base ai caratteri precedenti (dettagli completi e matematica qui). In altre parole, è una misura del “casualità” dei dati in un file - misurati in una scala da 1 a 8, dove i file di testo tipici avranno un valore basso e i file crittografati o compressi avranno una misura elevata.
Suggerirei di leggere l'articolo originale in quanto è molto interessante.
Non puoi risolvere il ransomware con un algoritmo di entropia elaborato in Google ;-) Il problema è un po 'più complesso di quello.
- Il mostro mach (@osxreverser), 20 aprile 2016
È diverso da “Ordinario” Malware?
Ransomware e malware condividono un obiettivo comune: rimanere oscurati. L'utente mantiene la possibilità di combattere l'infezione se viene individuata in poco tempo. La parola magica è “crittografia.” Il ransomware prende il posto dell'infamia per il suo uso della crittografia, mentre la crittografia è stata usata nel malware per un tempo molto lungo.
La crittografia aiuta il malware a passare sotto il radar dei programmi antivirus confondendo il rilevamento delle firme. Invece di vedere una stringa riconoscibile di personaggi che allerterebbe una barriera difensiva, l'infezione scivola, inosservata. Sebbene le suite antivirus stiano diventando più abili nel notare queste stringhe, comunemente conosciute come hash - è banale che molti sviluppatori di malware lavorino.
Metodi comuni di offuscamento
Ecco alcuni metodi più comuni di offuscamento:
- rivelazione - Molte varianti di malware possono rilevare se vengono utilizzate in un ambiente virtualizzato. Ciò consente al malware di eludere l'attenzione dei ricercatori di sicurezza semplicemente rifiutando di eseguire o disfare i bagagli. A sua volta, ciò interrompe la creazione di una firma di sicurezza aggiornata.
- sincronizzazione - Le migliori suite antivirus sono costantemente all'erta, controllando la presenza di una nuova minaccia. Sfortunatamente, i programmi antivirus generali non possono proteggere ogni aspetto del tuo sistema in ogni momento. Ad esempio, alcuni malware verranno distribuiti solo dopo un riavvio del sistema, operazioni di escape (e probabilmente disabilitazione nel processo) antivirus.
- Comunicazione - Il malware risponderà telefonicamente al server di comando e controllo (C & C) per le istruzioni. Questo non è vero per tutti i malware. Tuttavia, quando lo fanno, un programma antivirus può individuare specifici indirizzi IP noti per ospitare i server C & C e tentare di impedire la comunicazione. In questo caso, gli sviluppatori di malware ruotano semplicemente l'indirizzo del server C & C, eludendo il rilevamento.
- False operazione - Un programma falso abilmente creato è forse una delle notifiche più comuni di un'infezione da malware. Gli utenti che non si assumono presumono che questa sia una parte regolare del loro sistema operativo (di solito Windows) e seguano allegramente le istruzioni sullo schermo. Questi sono particolarmente pericolosi per gli utenti di PC non specializzati e, pur agendo come un front-end amichevole, possono consentire a un host di entità malevoli di accedere a un sistema.
Questo elenco non è esaustivo. Tuttavia, copre alcuni dei metodi più comuni utilizzati dal malware per rimanere oscurati sul PC.
È semplice Ransomware?
Semplice è forse la parola sbagliata. Il ransomware è diverso. Una variante ransomware utilizza la crittografia in modo più esteso rispetto alle sue controparti, nonché in modo diverso. Il Azioni di un'infezione da ransomware sono ciò che lo rende notevole, oltre a creare un'aura: il ransomware è qualcosa da temere.
Quando #ransomware si ridimensionerà e colpirà #IoT e #Bitcoin, sarà troppo tardi per frammentare TUTTI i tuoi dati IT. Per favore fallo adesso. #Hack
- Maxime Kozminski (@MaxKozminski) 20 febbraio 2017
Ransomware utilizza funzionalità in qualche modo nuove, come ad esempio:
- Crittografia di grandi quantità di file.
- Eliminazione di copie shadow che ordinariamente consentirebbero agli utenti di eseguire il ripristino dal backup.
- Creazione e memorizzazione delle chiavi di crittografia sui server C & C remoti.
- Richiedere un riscatto, di solito in Bitcoin irrintracciabile.
Considerando il malware tradizionale “semplicemente” ruba le credenziali dell'utente e le password, il ransomware influisce direttamente su di te, disturbando il tuo ambiente informatico immediato. Inoltre, le sue conseguenze sono molto visive.
Tattiche Ransomware: Tabella file master
ransomware di “Wow!” il fattore deriva certamente dal suo uso della crittografia. Ma la sofisticazione è tutto ciò che sembra? Engin Kirda, co-fondatore e Chief Architect di Lastline Labs, pensa di no. Lui e il suo team (usando la ricerca intrapresa da Amin Kharraz, uno dei dottorandi di Kirda) hanno completato un enorme studio sui ransomware, analizzando 1359 campioni di 15 famiglie di ransomware. La loro analisi ha esplorato i meccanismi di cancellazione e ha trovato alcuni risultati interessanti.
Quali sono i meccanismi di cancellazione? Circa il 36% delle cinque famiglie di ransomware più comuni nel set di dati stavano eliminando i file. Se non hai pagato, i file venivano effettivamente cancellati. La maggior parte della cancellazione, infatti, era abbastanza semplice.
Come farebbe una persona professionale? In realtà punterebbero a cancellare il disco in modo che sia difficile recuperare i dati. Scriveresti sul disco, cancelleresti quel file dal disco. Ma la maggior parte di loro erano, ovviamente, pigri e stavano lavorando direttamente alle voci della Tabella file master e contrassegnavano le cose come cancellate, ma i dati rimanevano ancora sul disco.
Successivamente, i dati eliminati potrebbero essere recuperati e in molti casi completamente ripristinati.
Tattiche Ransomware: Ambiente desktop
Un altro classico comportamento dei ransomware sta bloccando il desktop. Questo tipo di attacco è presente in più varianti di base. Invece di andare avanti con la crittografia e l'eliminazione dei file, il ransomware blocca il desktop, forzando l'utente dalla macchina. La maggior parte degli utenti prende questo significato nel senso che i loro file sono andati (crittografati o completamente cancellati) e semplicemente non possono essere recuperati.
Tattiche Ransomware: messaggi forzati
Le infezioni ransomware notoriamente visualizzano la loro nota di riscatto. Di solito richiede il pagamento da parte dell'utente per la restituzione sicura dei propri file. Inoltre, gli sviluppatori di ransomware inviano utenti a pagine Web specifiche disabilitando alcune funzionalità di sistema, in modo che non possano sbarazzarsi della pagina / immagine. Questo è simile a un ambiente desktop bloccato. Non significa automaticamente che i file dell'utente siano stati crittografati o cancellati.
Pensa prima di pagare
Un'infezione da ransomware può essere devastante. Questo è indubbio. Tuttavia, essere colpiti da ransomware non significa automaticamente che i tuoi dati siano spariti per sempre. Gli sviluppatori di Ransomware non sono tutti fantastici programmatori. Se c'è una via facile per un guadagno finanziario immediato, sarà presa. Questo, con la certezza che alcuni utenti pagheranno 5 motivi per cui non dovresti pagare i truffatori di Ransomware 5 motivi per cui non dovresti pagare i truffatori di Ransomware Il ransomware è spaventoso e non vuoi essere colpito da esso - ma anche se lo fai, ci sono validi motivi per cui NON dovresti pagare detto riscatto! Leggi di più a causa della minaccia immediata e diretta. È completamente comprensibile.
I migliori metodi di attenuazione dei ransomware rimangono: backup dei file regolarmente su un'unità non in rete, aggiornamento della suite antivirus e dei browser Internet, attenzione alle e-mail di phishing e sensibilità nel download di file da Internet.
Credito immagine: andras_csontos tramite Shutterstock.com
Scopri di più su: sicurezza informatica, sicurezza online, ransomware.