Annons

Ransomware är en regelbunden olägenhet. En ransomware-infektion tar din dator i gisslan och kräver betalning för frisläppande. I vissa fall säkerställer en betalning inte dina filer. Personliga foton, musik, filmer, arbete och mer förstörs. Infektionshastigheten för ransomware fortsätter att öka - tyvärr vi har fortfarande inte nått toppen Ransomware-as-a-Service kommer att ge kaos till allaRansomware flyttar från sina rötter som kriminella och malefaktors verktyg till en oroande servicebransch, där vem som helst kan prenumerera på en ransomware-tjänst och rikta in sig på användare som du och jag. Läs mer - och dess komplexitet ökar.

Det har varit anmärkningsvärda undantag från denna regel. I vissa fall säkerhet forskare har knäckt ransomware-krypteringen Beat Scammers med dessa Ransomware dekrypteringsverktygOm du har smittats av ransomware hjälper dessa gratis dekrypteringsverktyg dig att låsa upp och återställa dina förlorade filer. Vänta inte ytterligare en minut! Läs mer , låter dem göra det

instagram viewer
skapa ett eftertraktat dekrypteringsverktyg 5 webbplatser och appar för att slå Ransomware och skydda dig självHar du mött en ransomware-attack hittills, där några av dina filer inte längre är tillgängliga? Här är några av de verktyg du kan använda för att förhindra eller lösa dessa problem. Läs mer . Dessa händelser är sällsynta, oftast anländer när ett skadligt botnet tas bort. Men inte alla ransomware är så komplicerade som vi tror.

Anatomi of an attack

Till skillnad från vissa vanliga malwarevarianter försöker ransomware att vara dold så länge som möjligt. Detta är att ge tid att kryptera dina personliga filer. Ransomware är utformat för att hålla den maximala mängden systemresurser tillgängliga för användaren för att inte höja larmet. För många användare är följaktligen den första indikationen på en ransomware-infektion ett meddelande efter kryptering som förklarar vad som har hänt.

Jämfört med andra skadliga program Virus, spionprogram, skadlig programvara etc. Förklarade: Förstå hot på nätetNär du börjar tänka på alla saker som kan gå fel när du surfar på internet börjar webben se ut som en ganska läskig plats. Läs mer , ransomwares infektionsprocess är ganska förutsägbar. Användaren kommer att ladda ner en infekterad fil: den innehåller nyttolasten för ransomware. När den infekterade filen körs verkar ingenting hända omedelbart (beroende på typ av infektion). Användaren är inte medveten om att ransomware börjar kryptera sina personliga filer.

Förutom detta har en ransomware-attack flera andra distinkta beteendemönster:

  • Tydlig ransomware-anmärkning.
  • Bakgrundsdataöverföring mellan värd- och kontrollserver.
  • Entropin för filer ändras.

File Entropy

Filantropi kan användas för att identifiera filer som är krypterade med ransomware. Skrivande för Internet Storm Center, Rob VandenBrink kort beskrivs fil entropi och ransomware:

Inom IT-branschen avser en fils entropi ett specifikt mått på slumpmässighet som kallas "Shannon Entropy", uppkallad efter Claude Shannon. Detta värde är i huvudsak ett mått på förutsägbarheten för något specifikt tecken i filen, baserat på föregående tecken (fullständig information och matematik här). Med andra ord, det är ett mått på "slumpmässigheten" av data i en fil - mätt i en skala från 1 till 8, där typiska textfiler har ett lågt värde och krypterade eller komprimerade filer har ett högt mäta.

Jag föreslår att du läser den ursprungliga artikeln, eftersom den är väldigt intressant.

Du kan inte lösa ransomware med en snygg entropyalgoritm som finns i Google ;-) Problemet är lite mer komplicerat än så.

- Mach-monsteret (@osxreverser) 20 april 2016

Är det annorlunda från "vanligt" skadligt program?

Ransomware och malware delar ett gemensamt mål: förblir dold. Användaren har en chans att bekämpa infektionen om den upptäcks för länge. Det magiska ordet är "kryptering." Ransomware tar sin plats i berömmelse för sin användning av kryptering, medan kryptering har använts i skadlig programvara under mycket lång tid.

Kryptering hjälper skadlig kod att passera under radarn för antivirusprogram genom att förvirra signaturdetekteringen. Istället för att se en igenkännbar sträng av tecken som skulle varna en försvarsbarriär, glider infektionen av, obemärkt Även om antivirussviter blir mer skickliga att märka dessa strängar - ofta känd som hashes - Det är trivialt för många skadliga programutvecklare att arbeta.

Vanliga dämpningsmetoder

Här är några vanligare metoder för dämpning:

  • Upptäckt - Många skadliga varianter kan upptäcka om de används i en virtualiserad miljö. Detta tillåter skadlig kod att undvika säkerhetsforskares uppmärksamhet genom att helt enkelt vägra att utföra eller packa upp. Detta stoppar i sin tur skapandet av en aktuell säkerhetssignatur.
  • timing - De bästa antivirussviterna är ständigt varna och ser efter ett nytt hot. Tyvärr kan allmänna antivirusprogram inte skydda alla aspekter av ditt system hela tiden. Exempelvis kommer en del skadlig programvara bara att distribueras efter en omstart av systemet, undgå (och sannolikt inaktivera i processen) antivirusoperationer.
  • Kommunikation - Malware kommer att ringa hem till sin kommando- och kontrollserver (C&C) -server för instruktioner. Detta är inte sant för all skadlig programvara. Men när de gör det kan ett antivirusprogram upptäcka specifika IP-adresser som är kända för C & C-servrar och försöka förhindra kommunikation. I detta fall roterar utvecklare av skadlig kod helt enkelt C & C-serveradressen och undviker detektion.
  • Falsk operation - Ett smart utformat falskt program är kanske en av de vanligaste aviseringarna om en infektion med skadlig kod. Oövervakade användare antar att detta är en regelbunden del av deras operativsystem (vanligtvis Windows) och följer tydligt instruktionerna på skärmen. Dessa är särskilt farliga för okvalificerade datoranvändare och kan fungera som en vänlig front-end, men kan ge en mängd skadliga enheter tillgång till ett system.

Den här listan är inte uttömmande. Men det täcker några av de vanligaste metoderna som skadlig program använder för att förbli dolda på din dator.

Är Ransomware enkelt?

Enkelt är kanske fel ord. Ransomware är annorlunda. En ransomware-variant använder kryptering mer omfattande än dess motsvarigheter, såväl som på ett annat sätt. De insatser av en ransomware-infektion är det som gör det anmärkningsvärt, liksom att skapa en aura: ransomware är något att frukta.

När #ransomware kommer att skala och slå #IoT och #Bitcoin, det kommer att vara för sent att fragmentera ALLA dina IT-data. Snälla gör det nu. #Hacka

- Maxime Kozminski (@MaxKozminski) 20 februari 2017

Ransomware använder något nya funktioner, till exempel:

  • Kryptera stora mängder filer.
  • Ta bort skuggkopior som vanligtvis skulle göra det möjligt för användare att återställa från säkerhetskopiering.
  • Skapa och lagra krypteringsnycklar på fjärr- och C-servrar.
  • Kräver en lösen, vanligtvis i ospårbar Bitcoin.

Medan den traditionella skadliga programvaran "bara" stjälar dina användaruppgifter och lösenord, påverkar ransomware direkt dig och stör din omedelbara datormiljö. Dessutom är efterdyningarna mycket visuella.

Ransomware Tactics: Master File Table

Ransomwares "Wow!" faktorn kommer säkert från dess användning av kryptering. Men är det sofistikerade allt det verkar? Engin Kirda, grundare och chefarkitekt på Lastline Labs, tror inte. Han och hans team (med användning av Amin Kharraz, en av Kirdas doktorander) slutförde en enorm ransomware-studie och analyserade 1359 prover från 15 ransomware-familjer. Deras analys undersökte borttagningsmekanismer och fann några intressanta resultat.

Vilka är borttagningsmekanismerna? Cirka 36 procent av de fem vanligaste ransomware-familjerna i datauppsättningen raderade filer. Om du inte betalade, raderades filerna faktiskt. Det mesta av raderingen var faktiskt ganska enkelt.

Hur skulle en professionell person göra detta? De syftar faktiskt till att torka av disken så att det är svårt att återställa data. Du skulle skriva över disken, du skulle torka den filen från disken. Men de flesta av dem var naturligtvis lata och de arbetade direkt med Master File Table-poster och markerade saker som raderade, men data kvarstod fortfarande på disken.

Därefter kunde de borttagna data hämtas och i många fall återhämtas fullt ut.

Typer av Ransomware som används i studien

Ransomware Tactics: Desktop Environment

Ett annat klassiskt ransomware-beteende är att låsa skrivbordet. Denna typ av attack finns i mer grundläggande varianter. I stället för att faktiskt gå vidare med att kryptera och ta bort filer låser ransomware skrivbordet och tvingar användaren från maskinen. Majoriteten av användarna anser att deras filer är borta (antingen krypterade eller helt raderade) och helt enkelt inte kan återställas.

Ransomware-taktik: Tvingade meddelanden

Ransomware-infektioner visar notoriskt sina lösenanmärkningar. Det kräver vanligtvis betalning från användaren för säker returnering av sina filer. Utöver detta skickar ransomware-utvecklare användare till specifika webbsidor medan de inaktiverar vissa systemfunktioner - så att de inte kan bli av med sidan / bilden. Detta liknar en låst skrivbordsmiljö. Det betyder inte automatiskt att användarens filer har krypterats eller raderats.

Tänk innan du betalar

En ransomware-infektion kan vara förödande. Detta är utan tvekan. Att träffas med ransomware betyder dock inte att dina data försvinner för alltid. Ransomware-utvecklare är inte alla fantastiska programmerare. Om det finns en enkel väg till omedelbar ekonomisk vinst kommer den att tas. Detta med säker kunskap om det vissa användare kommer att betala upp 5 skäl till varför du inte ska betala Ransomware-bedragareRansomware är skrämmande och du vill inte drabbas av det - men även om du gör det finns det tvingande skäl till varför du INTE ska betala det lösningsmedlet! Läs mer på grund av det omedelbara och direkta hotet. Det är helt förståeligt.

De bästa metoderna för att minska ransomware återstår: säkerhetskopiera dina filer regelbundet till en icke-nätverksenhet, håll ditt antivirusprogram svit och webbläsare uppdaterade, se upp för phishing-e-postmeddelanden och vara klok på att ladda ner filer från internet.

Bildkredit: andras_csontos via Shutterstock.com

Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.