Ransomware Î & R

Istoria ransomware

1989: Primul ransomware cunoscut, troianul SIDA din 1989 (cunoscut și sub denumirea de "PC Cyborg"), este scris de Joseph Popp
2005: În luna mai apare ransomware-ul de extorcare
2006: La mijlocul anului 2006, viermii, cum ar fi Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip și MayArchive, încep să utilizeze scheme de criptare RSA mai sofisticate, cu dimensiuni cheie tot mai mari
2011: Apare un vierme de tip ransomware care imită nota de activare a produsului Windows
2013: Un vierme ransomware care are la bază kitul de exploatare Stamp.EK și un vierme de ransomware specific Mac OS X ajung pe scena digitală. CryptoLocker a câștigat în jur de 5 milioane de dolari în ultimele patru luni ale anului
2015: Variante multiple pe mai multe platforme cauzează daune majore

Tipuri de ransomware

  • Encryption Ransomware

Se criptează fișierele și folderele personale (documente, foi de calcul, imagini și videoclipuri).

Fișierele afectate sunt șterse odată ce au fost criptate și utilizatorii întâlnesc în general un fișier text cu instrucțiuni de plată în același director ca și fișierele inaccesibile.

S-ar putea să descoperiți problema numai atunci când încercați să deschideți unul dintre aceste fișiere.

Unele, dar nu toate tipurile de programe de criptare arată un "ecran de blocare":

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Lock Screen Ransomware — WinLocker

Se blochează ecranul computerului și se solicită plata.

Acesta prezintă o imagine pe ecran complet care blochează toate celelalte ferestre.

Nu sunt criptate fișierele personale.

Polyransom2

  • Master Boot Record (MBR) Ransomware

Master Boot Record (MBR) este partea din hard disk-ul computerului care permite sistemului de operare să pornească.

MBR ransomware modifică MBR-ul calculatorului, astfel încât procesul normal de încărcare să fie întrerupt.

În schimb, pe ecran este afișată o cerere de răscumpărare.

Master-Boot.jpg

  • Ransomware de criptare a serverelor web

Acesta vizează serverele web și criptează un număr de fișiere de pe el.

Vulnerabilitățile cunoscute în sistemele de gestionare a conținutului sunt adesea folosite pentru a implementa ransomware pe serviciile web.

Ransomware encrypting web servers

  • Mobile device ransomware (Android)

Dispozitivele mobile (mai ales Android) pot fi infectate prin "descărcări prin intermediul dispozitivului".

De asemenea, aceștia se pot infecta prin aplicații false care se mulează ca servicii populare, cum ar fi Adobe Flash sau un produs antivirus.

Mobile Ransomware

Dacă aș fi atacat, ar trebui să plătesc răscumpărarea?

Plata răscumpărării nu este niciodată recomandată, în principal pentru că nu garantează o rezolvare a problemei. Există, de asemenea, o serie de probleme care pot merge prost din greșeală. De exemplu, ar putea exista erori în malware-ul care face ca datele criptate să nu poată fi recuperate chiar și cu cheia corectă.

În plus, în cazul în care răscumpărarea este plătită, se dovedește pentru infractorii cibernetici faptul că ransomware-ul este eficient. În consecință, infractorii cibernetici își vor continua activitatea și vor căuta noi modalități de a exploata sistemele care au ca rezultat mai multe infecții și mai mulți bani în conturile lor.

Cum funcționează un atac de tip ransomware?

Un atac ransomware este de obicei livrat printr-un atașament de e-mail care ar putea fi un fișier executabil, o arhivă sau o imagine. Odată ce atașamentul este deschis, malware-ul este lansat în sistemul utilizatorului. Cybercriminalii pot, de asemenea, să instaleze malware-ul pe site-uri web. Când un utilizator vizitează site-ul fără să știe, malware-ul este lansat în sistem.

La început, infecția nu este vizibilă pentru utilizator. Malware-ul funcționează silențios în fundal până când se instalează mecanismul de blocare a sistemului sau a datelor. Apoi apare o casetă de dialog care spune utilizatorului că datele au fost blocate și cere o răscumpărare pentru a o debloca din nou. Până atunci, este prea târziu să salvați datele prin orice măsuri de securitate.

Pentru mai multe informații, vizualizați videoclipul de mai jos:

Cine sunt victimele ransomware?

Orice consumator și orice afacere poate fi o victimă a ransomware. Criminalii cibernetici nu sunt selectivi și încearcă adesea să lovească cât mai mulți utilizatori pentru a obține cel mai mare profit.

Sunt atacurile de tip ransomware împotriva companiilor în creștere?

Da, deoarece infractorii cibernetici știu că organizațiile sunt mai predispuși să plătească, dat fiind faptul că datele deținute sunt de obicei sensibile și vitale pentru continuitatea afacerii. În plus, uneori poate fi mai costisitor să restabilească copii de siguranță decât să plătească o răscumpărare.

De ce este atât de greu să găsești o soluție împotriva ransomware?

Ransomware este în creștere - acum există mai mult de 50 de familii ale acestui malware în circulație - și se dezvoltă repede. Cu fiecare varianta noua vine o criptare mai buna si noi caracteristici. Acesta nu este ceva ce puteți ignora!

Unul dintre motivele pentru care este atât de dificil să găsești o singură soluție se datorează faptului că criptarea în sine nu este periculoasă. Este de fapt o dezvoltare bună și multe programe benigne o folosesc.

Primul cripto-malware a folosit un algoritm simetric-cheie, cu aceeași cheie pentru criptare și decriptare. Informațiile corupte ar putea fi descifrate cu succes, cu ajutorul companiilor de securitate. De-a lungul timpului, infractorii cibernetici au început să implementeze algoritmi de criptografie asimetrică care utilizează două chei separate - una publică pentru criptarea fișierelor și una privată, care este necesară pentru decriptare.

Troianul CryptoLocker este una dintre cele mai faimoase piese de răscumpărare. De asemenea, utilizează un algoritm cu cheie publică. Pe măsură ce fiecare computer este infectat, se conectează la serverul de comandă și control pentru a descărca cheia publică. Cheia privată este accesibilă numai infractorilor care au scris software-ul CryptoLocker. De obicei, victima nu are mai mult de 72 de ore să plătească răscumpărarea înainte de ștergerea definitivă a cheii private și este imposibil de decriptat orice fișiere fără această cheie.

Deci, mai întâi trebuie să te gândești la prevenire. Majoritatea software-urilor antivirus includ deja o componentă care ajută la identificarea unei amenințări de răscumpărare în stadiile incipiente ale infecției, fără a surveni pierderea oricăror date sensibile. Este important ca utilizatorii să se asigure că această funcționalitate este activată în soluția lor antivirus.

Care sunt șansele să puteți ajuta victimele ransomware să preia accesul la fișierele lor?

Proiectul "No More Ransom" tocmai a început, dar colaborăm în mod continuu cu alte companii de securitate și cu agențiile de aplicare a legii pentru a identifica cât mai multe chei, pentru cât mai multe variante posibil. Dacă aveți anumite informații despre care credeți că vă pot ajuta, vă rugăm să le partajați.

Ce este Crypto Sheriff și cum îl folosesc?

Crypto Sheriff este un instrument care este proiectat pentru a ne ajuta să definim tipul de ransomware care afectează dispozitivul. Acest lucru ne va permite să verificăm dacă există o soluție de decriptare disponibilă. Consultați videoclipul de mai jos pentru a vedea cum funcționează:

Instrumentul de decriptare nu funcționează, chiar dacă sunt sigur că folosesc instrumentul potrivit - de ce?

Este posibil. Uneori obținem doar un subset de chei, deci vă rugăm să continuați să verificați site-ul.

Când este posibil să decriptați fișierele criptate cu ransomware?

Este posibil în următoarele cazuri:

  • Autorii malware au făcut o greșeală de implementare, făcând posibilă ruperea criptării. Acesta a fost cazul cu Petya ransomware și cu ransomware-ul CryptXXX
  • Autorilor malware le pare rău despre acțiunile lor și publică cheile sau cheia master, ca în cazul TeslaCrypt.
  • Agențiile de aplicare a legii profită de un server cu chei pe ea și le împărtășesc. Un astfel de exemplu este CoinVault.


Uneori plătirea răscumpărării, de asemenea, funcționează, dar nu există nici o garanție că plata va duce de fapt la ca fișierele dvs. să fie decriptate. În plus, susțineți modelul de afaceri al infractorului și astfel sunteți în parte responsabili pentru tot mai mulți oameni care se infectează cu ransomware

De ce ați decis să începeți inițiativa No More Ransom?

Nu este un secret faptul că ransomware-ul, care criptează datele despre sistemele utilizatorilor și apoi cere o răscumpărare, a devenit o problemă enormă pentru securitatea cibernetică în ultimii ani. A devenit atât de răspândită încât poate fi ușor numită o epidemie. Numărul de utilizatori atacați cu ransomware crește, cu 718.000 de utilizatori afectați între aprilie 2015 și martie 2016: o creștere de 5,5 ori față de aceeași perioadă din 2014-2015.

Poliția nu poate lupta împotriva criminalității cibernetice, în special a răscumpărării, singură. Și cercetătorii în domeniul securității nu pot face acest lucru fără sprijinul agențiilor de aplicare a legii. Responsabilitatea pentru lupta împotriva ransomware-ului este împărțită între poliție, departamentul de justiție, Europol și companiile de securitate IT și necesită un efort comun. Împreună vom face tot ce ne stă în putință pentru a perturba schemele de bani ale criminalilor și pentru a returna dosarele proprietarilor lor de drept, fără ca aceștia din urmă să plătească o sumă de bani.

Există inițiative similare în țara mea?

No More Ransom este o inițiativă internațională care demonstrează valoarea cooperării public-privat atunci când iau măsuri serioase de actiune cibernetică. Această colaborare depășește granițele geografice. Scopul principal al proiectului este de a împărtăși cunoștințele și de a educa utilizatorii din întreaga lume cu privire la modul de prevenire a atacurilor ransomware. Credem că în cele din urmă va conduce la sprijinirea reparării daunelor cauzate victimelor din întreaga lume. Prin restabilirea accesului la sistemele lor, îi împuternicim pe utilizatori, arătându-le că pot lua măsuri și nu pot recompensa criminali printr-o plată de răscumpărare.

În stadiul inițial, portalul conține patru instrumente de decriptare pentru diferite tipuri de programe malware. Toate instrumentele disponibile pe site sunt gratuite și vor funcționa pentru orice utilizator infectat cu amenințarea menționată pe site - indiferent unde se află în lume.