Is Ransomware echt zo angstaanjagend als je denkt?

Is Ransomware echt zo angstaanjagend als je denkt? / Veiligheid

Ransomware is een regelrechte overlast. Een ransomware-infectie neemt je computer in gijzeling en vraagt ​​om betaling voor vrijgave. In sommige gevallen beveiligt een betaling uw bestanden niet. Persoonlijke foto's, muziek, films, werk en meer worden vernietigd. Het aantal besmettingen van ransomware blijft stijgen - helaas hebben we nog steeds de piek bereikt Ransomware-as-a-Service Brengt Chaos naar iedereen Ransomware-as-a-Service brengt chaos voor iedereen Ransomware evolueert van zijn oorsprong als de tool van criminelen en kwaadwillenden in een verontrustende service-industrie, waarin iedereen zich kan abonneren op een ransomware-service en gebruikers zoals jij en ik kan targeten. Lees meer - en de complexiteit neemt toe.

Er zijn opmerkelijke uitzonderingen op deze regel. In sommige gevallen hebben beveiligingsonderzoekers de ransomware-codering gekraakt. Beat Scammers met deze Ransomware decoderingshulpprogramma's Beat-oplichters met deze Ransomware-decryptiehulpmiddelen Als u bent geïnfecteerd door ransomware, helpen deze gratis decryptietools u om uw verloren bestanden te ontgrendelen en te herstellen. Wacht niet nog een minuut! Meer lezen, waardoor ze een fabelachtige decryptietool kunnen maken 5 Sites en apps om Ransomware te verslaan en jezelf te beschermen 5 Sites en apps om Ransomware te verslaan en jezelf te beschermen Heb je tot nu toe te maken gehad met een ransomware-aanval, waarbij sommige van je bestanden niet langer toegankelijk zijn? Hier zijn enkele hulpmiddelen die u kunt gebruiken om deze problemen te voorkomen of op te lossen. Lees verder . Deze gebeurtenissen zijn zeldzaam en komen meestal aan wanneer een kwaadaardig botnet wordt verwijderd. Niet alle ransomware is echter zo complex als we denken.

De anatomie van een aanval

In tegenstelling tot sommige veelgebruikte malwarevarianten, probeert ransomware zo lang mogelijk verborgen te blijven. Dit is om tijd toe te staan ​​om uw persoonlijke bestanden te versleutelen. Ransomware is ontworpen om de maximale hoeveelheid systeembronnen beschikbaar te houden voor de gebruiker, niet om het alarm te activeren. Bijgevolg is voor veel gebruikers de eerste indicatie van een ransomware-infectie een post-coderingsbericht waarin wordt uitgelegd wat er is gebeurd.

In vergelijking met andere malware Virussen, Spyware, Malware, enz. Explained: Understanding Online Threats Virussen, Spyware, Malware, enz. Explained: Inzicht in online dreigingen Wanneer u begint na te denken over alle dingen die mis kunnen gaan bij het surfen op internet, kan het web begint te lijken op een behoorlijk enge plek. Meer lezen, het infectieproces van ransomware is vrij voorspelbaar. De gebruiker zal een geïnfecteerd bestand downloaden: dit bevat de payload van ransomware. Wanneer het geïnfecteerde bestand wordt uitgevoerd, lijkt er niets onmiddellijk te gebeuren (afhankelijk van het type infectie). De gebruiker weet niet dat ransomware hun persoonlijke bestanden begint te versleutelen.

Daarnaast heeft een ransomware-aanval verschillende andere verschillende gedragspatronen:

  • Duidelijke ransomware opmerking.
  • Gegevensoverdracht op de achtergrond tussen host- en controleservers.
  • De entropie van bestanden verandert.

Bestand Entropie

Bestandentropie kan worden gebruikt om bestanden te identificeren die zijn gecodeerd met ransomware. Schrijven voor het Internet Storm Center, Rob VandenBrink schetst in het kort file entropy en ransomware:

In de IT-industrie verwijst de entropie van een bestand naar een specifieke maat voor willekeurigheid genoemd “Shannon Entropy,” genoemd naar Claude Shannon. Deze waarde is in wezen een maat voor de voorspelbaarheid van een specifiek teken in het bestand, op basis van voorgaande tekens (volledige details en wiskunde hier). Met andere woorden, het is een maat voor de “willekeurigheid” van de gegevens in een bestand - gemeten in een schaal van 1 tot 8, waarbij typische tekstbestanden een lage waarde hebben en gecodeerde of gecomprimeerde bestanden een hoge mate van nauwkeurigheid hebben.

Ik zou willen voorstellen het originele artikel te lezen omdat het erg interessant is.

Je kunt ransomware niet oplossen met een fancy entropie-algoritme gevonden in Google ;-) Het probleem is een beetje ingewikkelder dan dat.

- Het mach-monster (@osxreverser) 20 april 2016

Is het anders “gewoon” malware?

Ransomware en malware delen een gemeenschappelijk doel: onzichtbaar blijven. De gebruiker behoudt de kans om de infectie te bestrijden als deze al snel wordt opgemerkt. Het magische woord is “encryptie.” Ransomware neemt zijn plaats in schande in voor het gebruik van encryptie, terwijl encryptie al heel lang in malware wordt gebruikt.

Versleuteling helpt malware om onder de radar van antivirusprogramma's door te gaan door de kenmerkende detectie te verwarren. In plaats van een herkenbare reeks tekens te zien die een verdedigingsbarrière zou waarschuwen, glipt de infectie onopgemerkt voorbij. Hoewel antivirussuites steeds beter in staat zijn om deze snaren te herkennen - algemeen bekend als hashes - het is triviaal voor veel malware-ontwikkelaars om rond te werken.

Gemeenschappelijke Obfuscation-methoden

Hier zijn enkele meer algemene methoden van verduistering:

  • opsporing - Veel malwarevarianten kunnen detecteren of ze worden gebruikt in een gevirtualiseerde omgeving. Hierdoor kan de malware de aandacht van beveiligingsonderzoekers ontlopen door simpelweg te weigeren uit te voeren of uit te pakken. Dit voorkomt op zijn beurt het maken van een up-to-date beveiligingssignatuur.
  • timing - De beste antivirusprogramma's zijn voortdurend alert en controleren op een nieuwe dreiging. Helaas kunnen algemene antivirusprogramma's niet elk aspect van uw systeem te allen tijde beveiligen. Sommige malware zal bijvoorbeeld alleen worden ingezet na een herstart van het systeem, waarbij antivirusactiviteiten worden ontmanteld (en waarschijnlijk worden uitgeschakeld tijdens het proces).
  • Communicatie - Malware belt naar zijn opdracht- en controle (C & C) -server voor instructies. Dit geldt niet voor alle malware. Wanneer dit wel het geval is, kan een antivirusprogramma specifieke IP-adressen herkennen die bekend zijn om C & C-servers te hosten en communicatie proberen te voorkomen. In dit geval draaien ontwikkelaars van malware eenvoudigweg het C & C-serveradres en ontduiken ze detectie.
  • Valse operatie - Een slim samengesteld nepprogramma is misschien een van de meest voorkomende meldingen van een malware-infectie. Gebruikers negeren gaat ervan uit dat dit een vast onderdeel is van hun besturingssysteem (meestal Windows) en volgt de instructies op het scherm. Deze zijn met name gevaarlijk voor ongeschoolde pc-gebruikers en kunnen, terwijl ze als een vriendelijk front-end optreden, een groot aantal kwaadwillende entiteiten toegang tot een systeem bieden.

Deze lijst is niet uitputtend. Het bevat echter enkele van de meest voorkomende methoden die malware gebruikt om verduisterd te blijven op uw pc.

Is Ransomware eenvoudig?

Eenvoudig is misschien het verkeerde woord. Ransomware is verschillend. Een ransomwarevariant maakt op veel grotere schaal gebruik van versleuteling dan zijn tegenhangers, maar ook op een andere manier. De acties van een ransomware-infectie maken het opmerkelijk, evenals het creëren van een aura: ransomware is iets om bang voor te zijn.

Wanneer #ransomware #IoT en #Bitcoin zal schalen en raken, zal het te laat zijn om al uw IT-gegevens te fragmenteren. Doe het alsjeblieft nu. #Hack

- Maxime Kozminski (@MaxKozminski) 20 februari 2017

Ransomware gebruikt enigszins nieuwe functies, zoals:

  • Grote hoeveelheden bestanden coderen.
  • Schaduwkopieën verwijderen die normaal gesproken gebruikers in staat stellen te herstellen van een back-up.
  • Coderingssleutels maken en opslaan op externe C & C-servers.
  • Veeleisend voor losgeld, meestal bij niet-traceerbare Bitcoin.

Terwijl de traditionele malware “slechts” steelt uw gebruikersreferenties en wachtwoorden, ransomware heeft direct effect op u en verstoort uw directe computeromgeving. Ook is de nasleep ervan erg visueel.

Ransomwaretactiek: hoofddossiertabel

ransomware's “Wauw!” factor komt zeker van het gebruik van encryptie. Maar is de verfijning alles wat het lijkt? Engin Kirda, mede-oprichter en Chief Architect bij Lastline Labs, denkt van niet. Hij en zijn team (met behulp van onderzoek uitgevoerd door Amin Kharraz, een van de promovendi van Kirda) voltooiden een enorme ransomware-studie, waarbij 1359 stalen van 15 ransomwarefamilies werden geanalyseerd. Hun analyse onderzocht verwijderingsmechanismen en vond een aantal interessante resultaten.

Wat zijn de verwijderingsmechanismen? Ongeveer 36 procent van de vijf meest voorkomende ransomwarefamilies in de dataset waren het verwijderen van bestanden. Als je niet hebt betaald, werden de bestanden feitelijk verwijderd. Het grootste deel van de verwijdering was eigenlijk vrij eenvoudig.

Hoe kan een professionele persoon dit doen? Ze zouden er eigenlijk naar streven de schijf te wissen, zodat het moeilijk is om de gegevens te herstellen. U zou over de schijf heen schrijven, u zou dat bestand van de schijf wissen. Maar de meesten van hen waren natuurlijk lui en werkten direct aan de Master File Table-items en markeerden dingen als verwijderd, maar de gegevens bleven nog steeds op de schijf staan.

Vervolgens konden verwijderde gegevens worden teruggehaald en in veel gevallen volledig worden hersteld.

Ransomware Tactics: Desktop Environment

Een ander klassiek ransomwaregedrag is het vergrendelen van de desktop. Dit type aanval is aanwezig in meer basisvarianten. In plaats van echt door te gaan met het versleutelen en verwijderen van bestanden, vergrendelt de ransomware het bureaublad, waardoor de gebruiker van de machine wordt gedwongen. De meerderheid van de gebruikers beschouwt dit als: hun bestanden zijn weg (gecodeerd of volledig verwijderd) en kunnen gewoon niet worden hersteld.

Ransomware Tactics: gedwongen berichten

Ransomware-infecties tonen notoir hun losgeldbriefje. Het vereist meestal betaling van de gebruiker voor de veilige teruggave van hun bestanden. Daarnaast sturen ransomware-ontwikkelaars gebruikers naar specifieke webpagina's terwijl bepaalde systeemfuncties worden uitgeschakeld, zodat ze de pagina / afbeelding niet kunnen verwijderen. Dit lijkt op een vergrendelde bureaubladomgeving. Dit betekent niet automatisch dat de bestanden van de gebruiker zijn gecodeerd of verwijderd.

Denk na voordat je betaalt

Een ransomware-infectie kan verwoestend zijn. Dit is ongetwijfeld. Het raken van ransomware betekent echter niet automatisch dat uw gegevens voor altijd zijn verdwenen. Ransomware-ontwikkelaars zijn niet allemaal geweldige programmeurs. Als er een gemakkelijke route is naar direct financieel gewin, wordt deze genomen. Dit, in de veilige wetenschap dat sommige gebruikers zullen betalen 5 Redenen waarom je geen Ransomware moet betalen Oplichters 5 Redenen waarom je geen Ransomware moet betalen Oplichters Ransomware is eng en je wilt er niet door geraakt worden - maar zelfs als je dat doet, zijn er dwingende redenen waarom je het losgeld NIET moet betalen! Lees meer vanwege de directe en directe dreiging. Het is volkomen begrijpelijk.

De beste ransomware-beperkingsmethoden blijven: maak regelmatig een back-up van je bestanden naar een niet-genetwerkte schijf, houd je antivirussuite en internetbrowser bijgewerkt, kijk uit voor phishing-e-mails en wees verstandig over het downloaden van bestanden van internet.

Beeldcredits: andras_csontos via Shutterstock.com

Ontdek meer over: Computerbeveiliging, Online beveiliging, Ransomware.