Skelbimas

„Ransomware“ yra įprastas nepatogumas. Dėl išpirkos programos užkrėtimo jūsų kompiuteris tampa įkaitu ir reikalauja sumokėti už išleidimą. Kai kuriais atvejais mokėjimas neapsaugo jūsų failų. Asmeninės nuotraukos, muzika, filmai, darbas ir kita sunaikinama. Užkrėtimo išpirkos programomis lygis toliau auga - deja, mes vis dar nepasiekėme piko „Ransomware-as-a-Service“ visiems atneš chaosą„Ransomware“ nuo savo šaknų, kaip nusikaltėlių ir nusikaltėlių įrankis, juda į nerimą keliančią paslaugų industriją, kurioje bet kas gali užsiprenumeruoti išpirkos programinę įrangą ir nukreipti vartotojus, tokius kaip jūs ir aš. Skaityti daugiau - ir jos sudėtingumas didėja.

Buvo keletas reikšmingų šios taisyklės išimčių. Kai kuriais atvejais - saugumas tyrėjai nulaužė išpirkos programos šifravimą Nugalėk sukčius su šiais „Ransomware“ iššifravimo įrankiaisJei buvote užkrėsti išpirkos programomis, šie nemokami iššifravimo įrankiai padės atrakinti ir atkurti prarastus failus. Nelaukite dar minutės! Skaityti daugiau

instagram viewer
, leidžiant jiems sukurti trokštamą iššifravimo įrankį 5 svetainės ir programos, skirtos įveikti „Ransomware“ ir apsisaugotiAr iki šiol susidūrėte su išpirkos programos išpuoliu, kai kai kurie jūsų failai nebegalimi? Čia yra keletas įrankių, kuriuos galite naudoti, kad išvengtumėte ar išspręstumėte šias problemas. Skaityti daugiau . Šie įvykiai yra reti, dažniausiai būna, kai pašalinamas kenksmingas robotas. Tačiau ne visos išpirkos programos yra tokios sudėtingos, kaip mes manome.

Puolimo anatomija

Skirtingai nuo kai kurių įprastų kenkėjiškų programų variantų, išpirkos programos stengiasi kuo ilgiau būti paslėptos. Tai reiškia, kad reikia laiko užšifruoti asmeninius failus. „Ransomware“ skirta išlaikyti maksimalų sistemos išteklių kiekį, prieinamą vartotojui, o ne kelti aliarmą. Todėl daugeliui vartotojų pirmasis ransomware infekcijos požymis yra pranešimas po šifravimo, paaiškinantis, kas nutiko.

Palyginti su kitomis kenkėjiškomis programomis Virusai, šnipinėjimo programos, kenkėjiškos programos ir kt. Paaiškinta: internetinių grėsmių supratimasKai pradedi galvoti apie visus dalykus, kurie gali suklysti naršant internete, žiniatinklis pradeda atrodyti kaip gana bauginanti vieta. Skaityti daugiau , „ransomware“ užkrėtimo procesas yra gana nuspėjamas. Vartotojas atsiųs užkrėstą failą: jame yra „ransomware“ naudingoji apkrova. Vykdant užkrėstą failą, nieko nedelsiant įvyks (atsižvelgiant į užkrėtimo tipą). Vartotojas nežino, kad išpirkos programa pradeda šifruoti savo asmeninius failus.

Be to, išpirkos programos išpuolis turi keletą kitų aiškių elgesio modelių:

  • Išskirtinis išpirkos programos užrašas.
  • Pagrindinių duomenų perdavimas tarp pagrindinio ir valdymo serverių.
  • Keičiasi failų entropija.

Failo entropija

Failų entropija gali būti naudojama norint atpažinti failus, užšifruotus naudojant ransomware. Rašymas interneto audrų centrui, Rob VandenBrink trumpai apžvelgiu failų entropija ir išpirkos programinė įranga:

IT pramonėje failo entropija reiškia konkretų atsitiktinumo matą, vadinamą „Shannon Entropy“, pavadintą Claude'ui Shannonui. Ši reikšmė iš esmės yra konkretaus failo simbolio nuspėjamumo matas, pagrįstas ankstesniais simboliais (išsamią informaciją ir matematiką rasite čia). Kitaip tariant, tai yra failo duomenų „atsitiktinumas“ - matuojamas nuo 1 iki 8, kur tipinių tekstinių failų vertė bus maža, o užšifruotų ar suspaustų failų - didelė išmatuoti.

Siūlyčiau perskaityti originalų straipsnį, nes jis labai įdomus.

Negalite išspręsti išpirkos programų naudodami išgalvotą entropijos algoritmą, kurį rasite „Google“ ;-) Problema yra šiek tiek sudėtingesnė.

- Macho monstras (@osxreverser) 2016 m. Balandžio 20 d

Ar ji skiriasi nuo „įprastos“ kenkėjiškos programos?

„Ransomware“ ir kenkėjiškų programų tikslas yra bendras: likti užmaršiems. Vartotojas išlaiko galimybę kovoti su infekcija, jei ji ilgai pastebima. Magiškasis žodis yra „šifravimas“. „Ransomware“ užima vietą šlykštame pasaulyje dėl to, kad naudoja šifravimą, tuo tarpu šifravimas buvo naudojamas kenkėjiškose programose labai ilgą laiką.

Šifravimas padeda kenkėjiškoms programoms patekti pagal antivirusinių programų radarą, supainiodamas parašo aptikimą. Užuot matę atpažįstamą simbolių eilutę, kuri įspėtų apie gynybos barjerą, infekcija nepastebimai paslysta. Nors antivirusiniai rinkiniai tampa vis tinkamesni pastebėti šias eilutes - paprastai žinomas kaip maišos - daugeliui kenkėjiškų programų kūrėjų yra sudėtinga apeiti.

Įprasti užtemimo metodai

Čia pateikiami keli įprasti užtemimo būdai:

  • Aptikimas - Daugelis kenkėjiškų programų variantų gali nustatyti, ar jie naudojami virtualizuotoje aplinkoje. Tai leidžia kenkėjiška programai išvengti saugumo tyrinėtojų dėmesio tiesiog atsisakius vykdyti arba išpakuoti. Savo ruožtu tai sustabdo naujausio saugumo parašo kūrimą.
  • Laikas - Geriausi antivirusiniai rinkiniai yra nuolat budrūs, tikrinami, ar nėra naujos grėsmės. Deja, bendrosios antivirusinės programos negali bet kada apsaugoti visus jūsų sistemos aspektus. Pavyzdžiui, kai kurios kenkėjiškos programos bus diegiamos tik paleidus sistemą iš naujo, išvengiant (ir, tikėtina, proceso metu išjungus) antivirusines operacijas.
  • Bendravimas - Kenkėjiška programa paskambins į savo valdymo ir valdymo (C&C) serverį, kad gautų instrukcijas. Tai negalioja visoms kenkėjiškoms programoms. Tačiau kai jie tai daro, antivirusinė programa gali pastebėti konkrečius IP adresus, žinomus kaip C&C serverių prieglobą, ir bandyti užkirsti kelią ryšiui. Tokiu atveju kenkėjiškų programų kūrėjai tiesiog suka C&C serverio adresą, išvengdami aptikimo.
  • Neteisinga operacija - Protingai sukurta padirbta programa yra galbūt vienas iš labiausiai paplitusių pranešimų apie kenkėjiškų programų infekciją. Nesąmoningi vartotojai mano, kad tai yra įprasta jų operacinės sistemos (dažniausiai „Windows“) dalis, ir visiškai laikosi instrukcijų ekrane. Tai ypač pavojinga nekvalifikuotiems kompiuterių vartotojams ir, veikdami draugiškai, gali leisti daugybei kenkėjiškų subjektų prisijungti prie sistemos.

Šis sąrašas nėra baigtinis. Tačiau tai apima kai kuriuos dažniausiai pasitaikančius kenkėjiškų programų metodus, kad jūsų kompiuteris liktų užtemdytas.

Ar „Ransomware“ paprasta?

Paprastas yra galbūt neteisingas žodis. „Ransomware“ yra skirtingi. „Ransomware“ variantas naudoja šifravimą plačiau nei jo kolegos, taip pat kitokiu būdu. veiksmai infekcija iš ransomware yra tai, kas ją daro pastebimą, taip pat sukuria aurą: ransomware yra kažkas, ko bijoti.

Kada # transomware bus mastelis ir paspauskite #IoT ir #Bitcoin, bus per vėlu suskaidyti VISUS savo IT duomenis. Prašau tai padaryti dabar. # Hack

- Maxime Kozminski (@MaxKozminski) 2017 m. Vasario 20 d

„Ransomware“ naudoja šiek tiek naujų funkcijų, tokių kaip:

  • Šifruojamas didelis failų kiekis.
  • Ištrinti šešėlines kopijas, kurios paprastai leistų vartotojams atkurti jas iš atsarginių kopijų.
  • Šifravimo raktų kūrimas ir saugojimas nuotoliniuose C&C serveriuose.
  • Reikalauja išpirkos, dažniausiai neatsiejamame „Bitcoin“.

Tradicinė kenkėjiška programa „tik“ vagia jūsų vartotojo kredencialus ir slaptažodžius, o išpirkos programa daro tiesioginę įtaką jums ir trikdo jūsų tiesioginę kompiuterio aplinką. Be to, jos padariniai yra labai vizualūs.

„Ransomware“ taktika: pagrindinė failų lentelė

„Ransomware“ „Oho!“ Šis veiksnys neabejotinai kyla iš šifravimo naudojimo. Bet ar viskas atrodo rafinuotumas? Enginas Kirda, „Lastline Labs“ įkūrėjas ir vyriausiasis architektas, nemano. Jis ir jo komanda (pasinaudojant Amin Kharraz atliktais tyrimais, vienas iš „Kirda“ doktorantų) baigė didžiulį išpirkos programų tyrimą, išanalizavęs 1359 pavyzdžius iš 15 išpirkos programų šeimų. Jų analizė tyrė ištrynimo mechanizmus ir rado įdomių rezultatų.

Kokie yra trynimo mechanizmai? Apie 36 procentai iš penkių duomenų rinkinyje dažniausiai naudojamų išpirkos programų šeimų ištrino failus. Jei nesumokėjote, failai iš tikrųjų buvo ištrinti. Išbraukimas iš tikrųjų buvo gana nesudėtingas.

Kaip profesionalus žmogus tai padarytų? Jie iš tikrųjų norėtų nuvalyti diską, kad būtų sunku atkurti duomenis. Jūs rašytumėte per diską, nuvalytumėte tą failą nuo disko. Bet dauguma jų, be abejo, buvo tingūs ir jie tiesiogiai dirbo prie pagrindinės failų lentelės įrašų ir žymėjo dalykus kaip ištrintus, tačiau duomenys vis tiek liko diske.

Vėliau tuos ištrintus duomenis buvo galima atkurti ir daugeliu atvejų visiškai atkurti.

Tyrime naudojamų „Ransomware“ tipai

„Ransomware“ taktika: darbalaukio aplinka

Kitas klasikinis „ransomware“ elgesys yra darbalaukio užrakinimas. Šio tipo išpuoliai yra labiau pagrindiniuose variantuose. Užuot faktiškai pradėjęs šifruoti ir naikinti failus, „ransomware“ užrakina darbalaukį, versdamas vartotoją nuo kompiuterio. Dauguma vartotojų mano, kad jų failų nebėra (užšifruoti arba visiškai ištrinti) ir jų tiesiog neįmanoma atkurti.

„Ransomware“ taktika: Priverstinės žinutės

„Ransomware“ infekcijos garsiai rodo savo išpirkos užrašą. Paprastai vartotojas reikalauja sumokėti už saugų failų grąžinimą. Be to, išpirkos programinės įrangos kūrėjai siunčia vartotojus į konkrečius tinklalapius ir išjungia tam tikras sistemos funkcijas - taigi jie negali atsikratyti puslapio / vaizdo. Tai panašu į užrakinto darbalaukio aplinką. Tai automatiškai nereiškia, kad vartotojo failai buvo užšifruoti ar ištrinti.

Pagalvokite prieš mokėdami

Išpirkos programinė įranga gali būti pražūtinga. Tai neabejotina. Tačiau tai, kad nukentėjote nuo išpirkos programinės įrangos, automatiškai nereiškia, kad jūsų duomenys nebebus amžinai. „Ransomware“ kūrėjai nėra visi nuostabūs programuotojai. Jei yra lengvas kelias gauti tiesioginę finansinę naudą, jis bus pasirinktas. Tai, žinant saugiai, kad kai kurie vartotojai susimokės 5 priežastys, kodėl neturėtumėte mokėti „Ransomware“ sukčiai„Ransomware“ yra baisu ir nenorite, kad jis nukentėtų - bet net jei ir darote, yra įtikinamų priežasčių, kodėl neturėtumėte mokėti minėtos išpirkos! Skaityti daugiau dėl tiesioginės ir tiesioginės grėsmės. Tai visiškai suprantama.

Išlieka geriausi programinės įrangos išpirkos programinės įrangos mažinimo metodai: reguliariai sukurkite atsargines failų atsargines kopijas į ne tinklo įrenginį, laikykite antivirusinę atnaujintas programų rinkinys ir interneto naršyklės, saugokitės sukčiavimo el. laiškų ir protingai atsisiųskite failus iš internetas.

Vaizdo kreditas: andras_csontos per Shutterstock.com

Gavinas yra MUO vyresnysis rašytojas. Jis taip pat yra „MakeUseOf“ šifravimo seserų svetainės „Blocks Decoded“ redaktorius ir SEO vadovas. Jis turi šiuolaikinio rašymo bakalaurą („Hons“) su skaitmeninio meno praktika, pagrobtu nuo Devono kalvų, taip pat turi daugiau nei dešimtmetį trukusio profesionalaus rašymo patirtį. Jis mėgaujasi daugybe arbatos.