É ransomware realmente tão terrível quanto você pensa?
Ransomware é um incômodo regular. Uma infecção ransomware leva o computador como refém, e exige o pagamento para a liberação. Em alguns casos, o pagamento não proteger seus arquivos. fotos pessoais, música, filmes, trabalho e mais são destruídos. A taxa de infecção ransomware continua a subir - infelizmente, nós ainda não atingiram o pico
Conteúdo
- A anatomia de um ataque
- Video: demonstração ransomware malware devastador [pt/br]
- Video: chico de 22 años salva al mundo del malware ransomware 2017
- É diferente de malware “ordinary”?
- Ransomware é simples?
- Ransomware tactics: master file table
- Ransomware tactics: ambiente de trabalho
- Ransomware tactics: mensagens forçados
- Pense antes de pagar
Houve notáveis exceções a esta regra. Em alguns casos, a segurança pesquisadores ter rachado a criptografia ransomware, permitindo-lhes criar uma ferramenta de decodificação cobiçado. Estes eventos são raros, chega geralmente quando um botnet malicioso é levado para baixo. No entanto, nem todos ransomware é tão complexo como nós pensamos.
A Anatomia de um Ataque
Ao contrário de algumas variantes de malware comuns, ransomware tenta permanecer escondido durante tanto tempo quanto possível. Isso é para dar tempo para encriptar seus arquivos pessoais. Ransomware é projetado para manter a quantidade máxima de recursos de sistema disponíveis para o usuário, para não dar o alarme. Consequentemente, para muitos usuários, a primeira indicação de uma infecção ransomware é uma mensagem de pós-criptografia explicando o que aconteceu.
Comparado com outros tipos de malware, processo de infecção do ransomware é bastante previsível. O usuário irá baixar um arquivo infectado: este contém a carga ransomware. Quando o arquivo infectado é executado, não aparece nada aconteça imediatamente (dependendo do tipo de infecção). O usuário continua sem saber que ransomware começa a criptografar seus arquivos pessoais.Vírus, spyware, malware, etc. explicou: Compreensão de Ameaças OnlineVírus, spyware, malware, etc. explicou: Compreensão de Ameaças OnlineQuando você começar a pensar em todas as coisas que podem dar errado quando navega na Internet, a web começa a parecer um lugar muito assustador.consulte Mais informação
Assim como esta, um ataque ransomware tem vários outros padrões comportamentais distintos:
- nota ransomware distinta.
- transmissão de dados de fundo entre servidores host e controle.
- A entropia de arquivos mudanças.
Entropia arquivo
entropia arquivo pode ser usado para identificar arquivos criptografados com ransomware. Escrevendo para a Internet Storm Center, Rob VandenBrink descreve brevemente entropia arquivo e ransomware:
Video: Demonstração Ransomware malware devastador [PT/BR]
Na indústria de TI, a entropia de um arquivo refere-se a uma medida específica de aleatoriedade chamado de “Entropia de Shannon,” nomeado para Claude Shannon. Este valor é essencialmente uma medida da previsibilidade de qualquer carácter específico no arquivo, com base no precedente caracteres (detalhes e matemática aqui). Em outras palavras, é uma medida da “aleatoriedade” dos dados em um arquivo - medido em uma escala de 1 a 8, em que arquivos de texto típico terá um valor baixo, e arquivos criptografados ou compactados terá uma medida alta.
Video: Chico de 22 años salva al mundo del malware ransomware 2017
Eu sugiro a leitura do artigo original, pois é muito interessante.
É diferente de Malware “Ordinary”?
Ransomware e share de malware de um objetivo comum: permanecendo obscurecida. O usuário mantém a chance de lutar contra a infecção, caso seja descoberto antes do tempo. A palavra mágica é “criptografia.” Ransomware toma o seu lugar na infâmia por seu uso de criptografia, enquanto a criptografia tem sido usada em malwares para um tempo muito longo.
A criptografia ajuda a passagem de malware sob o radar de antivirus programas de confundir a detecção de assinaturas. Em vez de ver uma seqüência reconhecível de caracteres que iria alertar uma barreira de defesa, a infecção desliza por, despercebido. Embora suites de antivírus estão se tornando mais hábeis em perceber essas cordas - vulgarmente conhecido como hashes - é trivial para muitos desenvolvedores de malware para contornar.
Métodos ofuscação comuns
Aqui estão alguns métodos mais comuns de ofuscação:
- Detecção - Muitas variantes de malware pode detectar se eles estão sendo usados em um ambiente virtualizado. Isso permite que o malware para escapar a atenção de pesquisadores de segurança simplesmente recusar-se a executar ou descompactar. Por sua vez, este pára a criação de uma assinatura de segurança up-to-date.
- Cronometragem - Os melhores suites de antivírus estão constantemente alerta, a verificação de uma nova ameaça. Infelizmente, os programas antivírus gerais não podem proteger todos os aspectos de seu sistema em todos os momentos. Por exemplo, algum malware só vai implantar após uma reinicialização do sistema, fugindo (e provavelmente a desativação no processo) operações de antivírus.
- Comunicação - Malware vai telefonar para casa para o seu comando e controle (C&C) servidor para obter instruções. Isso não é verdade de todo o malware. No entanto, quando o fazem, um programa antivírus pode detectar endereços IP específicos conhecidos por hospedarem C&servidores C e tentativa de impedir a comunicação. Neste caso, os desenvolvedores de malware basta girar o C&endereço do servidor C, fugindo de detecção.
- Operação falsa - Um falso programa habilmente trabalhada é talvez uma das notificações mais comuns de uma infecção por malware. usuários involuntários supor que esta é uma parte regular de seu sistema operacional (geralmente Windows) e alegremente siga as instruções na tela. Estes são particularmente perigosos para usuários de PC não qualificados e, enquanto age como um front-end amigável, pode permitir que uma série de entidades maliciosas acesso a um sistema.
Esta lista não é exaustiva. No entanto, ele cobre alguma do malware métodos mais comuns usa para ficar obscurecida em seu PC.
Ransomware é simples?
Simples é talvez a palavra errada. ransomware é diferente. Uma variante ransomware utiliza criptografia mais extensivamente que os seus homólogos, bem como de uma maneira diferente. o ações de uma infecção ransomware são o que tornam notáveis, bem como a criação de uma aura: ransomware é algo a temer.
Ransomware utiliza um tanto novas características, tais como:
- Criptografar grandes quantidades de arquivos.
- Exclusão de cópias de sombra que normalmente permitem aos usuários restaurar a partir de backup.
- Criar e armazenar chaves de criptografia no controle remoto C&servidores C.
- Exigindo um resgate, geralmente em Bitcoin indetectável.
Considerando o malware tradicional “meramente” rouba suas credenciais de usuário e senhas, o afecta ransomware diretamente, perturbando seu entorno computação imediatos. Além disso, seu resultado é muito visual.
Ransomware Tactics: Master File Table
“Uau!” Fator de ransomware certamente vem de seu uso de criptografia. Mas é a sofisticação tudo o que parece? Engin Kirda, Co-Fundador e Chief Architect em lastline Labs, acha que não. Ele e sua equipe (usando a pesquisa realizada por Amin Kharraz, um dos estudantes de doutoramento do Kirda) concluiu um estudo ransomware enorme, analisando 1359 amostras de 15 famílias ransomware. Sua análise explorou mecanismos de exclusão, e encontrou alguns resultados interessantes.
Quais são os mecanismos de exclusão? Cerca de 36 por cento das cinco famílias ransomware mais comuns no conjunto de dados foram a exclusão de arquivos. Se você não pagar, os arquivos estavam realmente sendo excluído. A maior parte da eliminação, na verdade, era bastante simples.
Como um profissional faria isso? Eles realmente pretendem limpar o disco de modo que é difícil recuperar os dados. Você iria escrever sobre o disco, você iria acabar esse arquivo fora do disco. Mas a maioria deles eram, naturalmente, preguiçoso, e eles estavam trabalhando diretamente sobre as entradas de tabela de arquivos mestre e marcação coisas como excluídos, mas os dados ainda restava no disco.
Subsequentemente, que os dados apagados podem ser recuperados, e, em muitos casos, totalmente recuperado.
Ransomware Tactics: Ambiente de Trabalho
Outro comportamento ransomware clássico está bloqueando o ambiente de trabalho. Este tipo de ataque está presente em mais variantes básicas. Em vez de realmente ficando com a criptografia e exclusão de arquivos, o ransomware bloqueia o desktop, forçando o usuário da máquina. A maioria dos usuários de tomar isso como significando seus arquivos são ido (seja criptografada ou completamente excluído) e simplesmente não pode ser recuperado.
Ransomware Tactics: Mensagens forçados
infecções ransomware notoriamente exibir sua nota de resgate. Ela geralmente exige o pagamento do usuário para o retorno seguro de seus arquivos. Além disso, os desenvolvedores de ransomware enviar os usuários para páginas da Web específicas ao desativar determinados recursos do sistema - para que eles não podem se livrar da página / imagem. Isso é semelhante a um ambiente de desktop bloqueado. Isso não significa automaticamente que os arquivos do usuário foram criptografados ou excluído.
Pense antes de pagar
Uma infecção ransomware pode ser devastador. Isto é inquestionável. No entanto, ser atingido com ransomware não significa automaticamente seus dados é ido para sempre. desenvolvedores ransomware não são todos os programadores surpreendentes. Se houver uma rota fácil para o ganho financeiro imediato, ele será levado. Este, no conhecimento seguro de que alguns usuários vão pagar-se por causa da ameaça imediata e direta. É completamente compreensível.5 razões pelas quais você não deve pagar Scammers ransomware5 razões pelas quais você não deve pagar Scammers ransomwareRansomware é assustador e você não quer ser atingido por ela - mas mesmo se você fizer isso, há razões por que você não deve pagar disse Ransom!consulte Mais informação
Os melhores métodos de mitigação ransomware permanecem: backup de seus arquivos regularmente para uma unidade sem rede, manter o seu antivirus privada e internet navegadores atualizados, atente para phishing e-mails, e ser sensato sobre como baixar arquivos da internet.