Är Ransomware verkligen lika skrämmande som du tror?
Ransomware är en vanlig olägenhet. En ransomware-infektion tar din dator i gisslan och kräver betalning för utgivning. I vissa fall säkerställer inte en betalning dina filer. Personliga bilder, musik, filmer, arbete och mer förstörs. Ransomware-infektionshastigheten fortsätter att stiga - tyvärr har vi fortfarande inte nått toppen Ransomware-as-a-Service kommer att ge kaos till alla Ransomware-as-a-Service kommer att ge kaos till alla Ransomware flyttar från sina rötter som verktyg för brottslingar och manfaktorer till en oroväckande serviceindustri, där någon kan prenumerera på en ransomware-tjänst och målanvändare som du och jag. Läs mer - och dess komplexitet ökar.
Det har noterats undantag från denna regel. I vissa fall har säkerhetsforskare knäckt ransomware kryptering Beat Scammers Med dessa Ransomware Decryption Tools Slå Scammers med dessa Ransomware Decryption Tools Om du har smittats av ransomware, kommer dessa gratis dekrypteringsverktyg hjälpa dig att låsa upp och återställa dina borttappade filer. Vänta inte en minut! Läs mer, så att de kan skapa ett eftertraktat dekrypteringsverktyg 5 webbplatser och appar till Beat Ransomware och skydda dig själv 5 webbplatser och appar för att slå Ransomware och skydda dig Har du mött en ransomware-attack hittills, där några av dina filer inte längre är tillgängliga? Här är några av de verktyg du kan använda för att förhindra eller lösa dessa problem. Läs mer . Dessa händelser är sällsynta, vanligtvis när en skadlig botnet tas ner. Men inte allt ransomware är lika komplicerat som vi tror.
Anatomi av en attack
Till skillnad från vissa vanliga malwarevarianter försöker ransomware att förbli dolda så länge som möjligt. Detta är att tillåta tid att kryptera dina personliga filer. Ransomware är utformat för att hålla maximalt antal systemresurser tillgängliga för användaren, för att inte höja larmet. Följaktligen är för många användare den första indikationen på en ransomware-infektion ett postkrypteringsmeddelande som förklarar vad som hänt.
Jämfört med andra skadliga virus, virus, spionprogram, skadlig kod, etc. Förklarade: Förstå virus, spionprogram, skadlig kod, etc. Förklarade: Förstå onlinehot När du börjar tänka på alla saker som kan gå fel när du surfar på Internet börjar se ut som en ganska skrämmande plats. Läs mer, ransomware infektion är ganska förutsägbart. Användaren laddar ner en smittad fil: den innehåller ransomware nyttolast. När den infekterade filen exekveras kommer ingenting att hända omedelbart (beroende på typ av infektion). Användaren är fortfarande omedveten om att ransomware börjar kryptera sina personliga filer.
Förutom detta har en ransomware-attack flera andra tydliga beteendemönster:
- Distinkt ransomware-anteckning.
- Bakgrundsdataöverföring mellan värd- och kontrollservrar.
- Entropin av filer ändras.
Fil Entropy
Fil entropi kan användas för att identifiera filer som krypteras med ransomware. Skrivning för Internet Storm Center beskriver Rob VandenBrink kort fil entropi och ransomware:
I IT-industrin hänvisar filens entropi till en specifik åtgärd av slumpmässighet som kallas “Shannon Entropy,” namngiven för Claude Shannon. Detta värde är i huvudsak ett mått på förutsägbarheten för en viss karaktär i filen, baserat på föregående tecken (fullständiga detaljer och matematik här). Det är med andra ord ett mått på “slumpmässighet” av data i en fil - mätt i en skala från 1 till 8, där typiska textfiler kommer att ha ett lågt värde och krypterade eller komprimerade filer kommer att ha ett högt mått.
Jag föreslår att du läser originalartikeln eftersom det är väldigt intressant.
Du kan inte lösa ransomware med en fancy entropyalgoritm som finns i Google ;-) Problemet är lite mer komplext än det.
- Maskmonsteret (@osxreverser) 20 april 2016
Är det annorlunda från “Vanlig” malware?
Ransomware och skadlig kod delar ett gemensamt mål: återstående obskur. Användaren upprätthåller en chans att bekämpa infektionen om den är spotted för länge. Det magiska ordet är “kryptering.” Ransomware tar sin plats i infamy för dess användning av kryptering, medan kryptering har använts i skadlig kod under mycket lång tid.
Kryptering hjälper skadlig kod att passera under radaren av antivirusprogram genom att förvirra signaturdetektering. I stället för att se en igenkännlig sträng av tecken som skulle varna ett försvarsskydd, smittar infektionen av, obemärkt. Även om antivirus sviter blir mer skickliga på att märka dessa strängar - allmänt känd som hashes - Det är trivialt för många malwareutvecklare att arbeta runt.
Vanliga obfuscationsmetoder
Här är några mer vanliga metoder för obfuscation:
- Upptäckt - Många malwarevarianter kan upptäcka om de används i en virtualiserad miljö. Detta gör att malware kan undvika säkerhetsforskares uppmärksamhet genom att helt enkelt vägra att utföra eller packa upp. Detta stannar i sin tur skapandet av en aktuell säkerhetssignatur.
- timing - De bästa antiviruspaketen är ständigt varna och söker efter ett nytt hot. Tyvärr kan generella antivirusprogram inte hela tiden skydda alla aspekter av ditt system. Till exempel kommer vissa skadliga program bara att distribueras efter en systemåterstart, att flyga (och sannolikt inaktivera i processen) antivirusoperationer.
- Kommunikation - Malware kommer att ringa hem till sin kommando och kontroll (C & C) -server för instruktioner. Det här gäller inte alla skadliga program. Men när de gör det kan ett antivirusprogram upptäcka specifika IP-adresser som är kända för att vara värd för C & C-servrar och försöka förhindra kommunikation. I detta fall roterar malwareutvecklare helt enkelt C & C-serverns adress, undviker detektering.
- Falsk operation - Ett smart utformat falskt program är kanske en av de vanligaste anmälningarna av en malwareinfektion. Observera att användarna antar att det här är en vanlig del av operativsystemet (vanligtvis Windows) och följa instruktionerna på skärmen. Dessa är särskilt farliga för oskaddade PC-användare och kan, medan de fungerar som ett vänligt front-end, låta en mängd onda enheter komma åt ett system.
Denna lista är inte uttömmande. Det täcker emellertid några av de vanligaste metoderna för att använda skadlig programvara för att förbli oskärpa på din dator.
Är Ransomware Simple?
Enkelt är kanske fel ord. Ransomware är annorlunda. En ransomware-variant använder kryptering i större utsträckning så att dess motsvarigheter, liksom på ett annat sätt. De åtgärder av en ransomware-infektion är det som gör det anmärkningsvärt, liksom att skapa en aura: ransomware är något att frukta.
När #ransomware ska skala och träffa #IoT och #Bitcoin kommer det att vara för sent att fragmentera ALLA dina IT-data. Snälla gör det nu. #Hacka
- Maxime Kozminski (@MaxKozminski) 20 februari 2017
Ransomware använder några nya funktioner, till exempel:
- Kryptera stora mängder filer.
- Radera skuggkopior som normalt tillåter användare att återställa från säkerhetskopiering.
- Skapa och lagra krypteringsnycklar på fjärr C & C-servrar.
- Kräver ett lösenum, vanligtvis i otraceable Bitcoin.
Medan den traditionella malware “endast” stjäl dina användaruppgifter och lösenord, ransomware påverkar dig direkt, stör din omedelbara datoromgivning. Dess efterföljning är också mycket visuell.
Ransomware Tactics: Master File Table
Ransomware s “Wow!” faktor kommer säkert från dess användning av kryptering. Men är sofistiken allt det verkar? Engin Kirda, grundare och chefarkitekt på Lastline Labs, tror inte. Han och hans team (med hjälp av forskning som gjordes av Amin Kharraz, en av Kirdas doktorander) avslutade en enorm ransomware-studie och analyserade 1359 prover från 15 ransomwarefamiljer. Deras analys undersökte borttagningsmekanismer och hittade några intressanta resultat.
Vad är borttagningsmekanismerna? Ungefär 36 procent av de fem vanligaste ransomware-familjerna i datasetet tog bort filer. Om du inte betalade, tog filerna faktiskt bort. Det mesta av raderingen var faktiskt ganska enkelt.
Hur skulle en professionell person göra det här? De skulle faktiskt sträva efter att torka disken så att det är svårt att återställa data. Du skulle skriva över disken, du skulle torka den filen från disken. Men de flesta var självklart lata och de arbetade direkt med inmatningen av Master File Table och markerade saker som raderade, men data kvarstod fortfarande på disken.
Därefter kan den borttagna data hämtas och i många fall återhämtas fullständigt.
Ransomware Tactics: Skrivbordsmiljö
Ett annat klassiskt ransomwarebeteende låser skrivbordet. Denna typ av attack finns i mer grundläggande varianter. I stället för att verkligen fortsätta kryptering och radering av filer låses ransomware skrivbordet och tvingar användaren från maskinen. Flertalet användare tar det som att deras filer är borta (antingen krypterade eller helt raderade) och kan helt enkelt inte återställas.
Ransomware Tactics: Tvångsmeddelanden
Ransomware infektioner visar notoriskt sina lösenbelopp. Det kräver vanligtvis betalning från användaren för säker återföring av sina filer. Utöver detta skickar ransomware-utvecklare användare till specifika webbsidor medan de inaktiverar vissa systemfunktioner - så att de inte kan bli av med sidan / bilden. Detta liknar en låst skrivbordsmiljö. Det betyder inte automatiskt att användarens filer har krypterats eller tagits bort.
Tänk innan du betalar
En ransomwareinfektion kan vara förödande. Detta är otvivelaktigt. Att bli slagen med ransomware betyder emellertid inte automatiskt att din data är borta för alltid. Ransomware utvecklare är inte alla fantastiska programmerare. Om det finns en enkel väg till omedelbar ekonomisk vinning kommer den att tas. Det här är säkert att vissa användare kommer att betala 5 skäl till att du inte borde betala Ransomware Scammers 5 Skäl till att du inte ska betala Ransomware-scammers Ransomware är skrämmande och du vill inte bli slagen av det - men även om du gör det finns det tvingande skäl till varför du inte borde betala sällskapet! Läs mer på grund av det omedelbara och direkta hotet. Det är helt förståeligt.
De bästa metoderna för att minska riskerna för ransomware kvarstår: säkerhetskopiera dina filer regelbundet till en icke-nätverksdriven enhet, behåll ditt antivirusprogram och webbläsare uppdaterade, se upp för phishing-e-postmeddelanden och vara förnuftiga när du hämtar filer från internet.
Bildkrediter: andras_csontos via Shutterstock.com
Utforska mer om: Datorsäkerhet, Online-säkerhet, Ransomware.