Mi Ransomware az?
Ha elég szerencsés, hogy nem Ransomware találkozott, tudja, hogy ez egy olyan típusú rosszindulatú program, amely titkosítja a fájlokat, és lényegében túszul ejti őket azáltal, hogy fizetést követel a dekódolásukért. Titkosítja az összes személyes fájlt, amelyek ezután bonthatatlanná válnak, kivéve, ha egy speciális dekódoló programon keresztül futnak. Azonban az egyetlen ember, aki dekódolóval rendelkezik, gyakran a számítógépes bűnözők, akik a Ransomware . Ha a felhasználók megtagadják a váltságdíj kifizetését, nem ritka, hogy a fájlok örökre elvesznek. Kivéve persze, ha az áldozatoknak van tartalékuk. 
Az elmúlt öt évben Ransomware nemcsak az egyes felhasználók, hanem a vállalkozások és szervezetek számára is az egyik legnagyobb kiberbiztonsági fenyegetéssé vált. Minden évben Ransomware több milliárd dolláros kárt okoz, és az összeg jelentősen növekszik. Csak 2020-ban Ransomware 20 milliárd dollárnyi kárt okozott. Mindössze két év alatt megduplázódott a károk Ransomware száma.
Az évek során a célok az egyéni felhasználókról a kisvállalkozásokra és a vállalatokra, valamint a kormányzati létesítményekre helyeződtek át. Még az egészségügyi ágazatot is célba veszik. Az egyes felhasználókkal ellentétben a nagyobb célpontok több százezer dollárt fizethetnek váltságdíjként, ezért olyan kedvelt célpontok a számítógépes bűnözők, Ransomware különösen a bandák számára.
Ha meg akarja ismerkedni Ransomware , hogyan terjed, hogyan működik, és hogyan védje meg magát, folytassa az olvasást, amint részletesebben elmagyarázzuk.
Hogyan Ransomware működik
- Fertőzés
A támadás első lépése Ransomware a célrendszerbe való bejutás. Az egyes felhasználók esetében általában akkor jut be, amikor a Ransomware felhasználók rosszindulatú fájlokat nyitnak meg, amelyeket a malspam e-mailekből, torrent oldalakból stb. szereznek be. A rosszindulatú fájl megnyitása után Ransomware a rendszer megkezdi a titkosítási folyamatot.
A nagyobb célpontok, például a vállalatok és a kormányzati szervek megfertőzése érdekében a számítógépes bűnözők különböző taktikákat használnak, például visszaélnek a távoli asztali protokollal, amely lényegében lehetővé teszi számukra, hogy bejussanak a célrendszerbe, és maguk kezdeményezzék az Ransomware on it-t.
- Fájltitkosítás
Amikor a felhasználók elindítják a Ransomware , akkor elkezdi a fájlok titkosítását. Mindegyik Ransomware főként személyes fájlokat céloz meg, beleértve a fényképeket, dokumentumokat és videókat. A célzott fájltípusok listája általában nagyon kiterjedt, de attól függ, Ransomware hogy pontosan mely fájlokat célozza meg. De összességében a személyes fájlok többsége titkosítva lesz.
A fájlok a titkosítást kapva bonthatatlanná válnak. Az áldozatok meg tudják határozni, hogy mely fájlokat titkosították a titkosított fájlokhoz hozzáadott kiterjesztéssel. A Ransomware különböző bővítmények általában így határozzák meg, hogy melyikkel foglalkoznak, ha a név nem szerepel a váltságdíj-megjegyzésben.
- A váltságdíj
Miután a fájlok titkosításra kerülnek, a Ransomware váltságdíj-megjegyzést eldobja. Általában Ransomware a családok ugyanazokat a bankjegyeket használják újra és újra, ugyanazt az összeget követelve. Például a hírhedt Djvu Ransomware család mindig ugyanazt a váltságdíjat használja minden alkalommal. A jegyzetek általában elmagyarázzák, hogy a fájlokat titkosították, és árért kínálnak dekódoló. A váltságdíj összege eltérő, attól függően, hogy melyik Ransomware a felelős.
Az egyes felhasználók esetében a váltságdíj összege általában 100 és 2000 dollár között mozog. Azonban a vállalkozások és szervezetek, a követelt összeg lehet a több százezer tartományban, vagy akár több millió dollárt.
A váltságdíj kifizetésével kapcsolatban az a helyzet, hogy nem mindig garantálja a fájlok visszafejtésére. Míg a számítógépes bűnözők azt ígérik, hogy működő dekódoló, nem mindig teszik be ezeket az ígéreteket, ehelyett inkább csak a pénzt veszik el, és nem küldenek semmit cserébe. Még a bűnüldöző szervek is arra ösztönzik az áldozatokat, hogy ne fizessék ki a váltságdíjat. Végül azonban az, hogy a felhasználók fizetik-e a váltságdíjat, minden áldozat döntése.
- zsarolás
Ez egy viszonylag új gyakorlat, és általában nagyobb célok, például vállalatok vagy szervezetek ellen alkalmazzák. Sok vállalat, amely támadások áldozatává Ransomware válik, biztonsági mentéssel rendelkezik, és elég gyorsan visszaállítaná az adatokat és a rendszeres műveleteket, ami azt jelenti, hogy nem kell fizetnie a váltságdíjat. Azonban, hogy megpróbálják kényszeríteni a célpontokat a váltságdíj kifizetésére, a számítógépes bűnözők lényegében zsarolni kezdték őket azzal, hogy azzal fenyegették őket, hogy nyilvánosan nyilvánosságra hozzák az ellopott adatokat. Hogy mennyire hatékony ez az új taktika, azt nehéz megmondani, mert nem minden áldozat jelenti a támadásokat. És a legtöbben, akik ezt teszik, nem fizetik ki a váltságdíjat.
Ransomware a bandák azonban beváltják ígéretüket az adatok kiadására. Ilyen például a Ransomware CD Projekt elleni támadás, amely a Witcher 3 és a Cyberpunk 2077 népszerű videojátékok fejlesztője. A céget egy banda vette Ransomware célba, akik ellopták az említett játékok forráskódjait. A kért váltságdíjat nem hozták nyilvánosságra, de a CD Projekt nem volt hajlandó kifizetni. Később több biztonsági elemző is arról számolt be, hogy a forráskódot 1 millió dollárért árverezték el a sötét weben. A kódot később megosztották a közösségi médiában, és a CD Projekt elkezdte használni a DMCA eltávolítási értesítéseket annak eltávolítására.
A leggyakoribb Ransomware elosztási módszerek
- E-mail mellékletek
A Malspam kampányok nagyon hatékonyak, amikor a felhasználók, különösen az egyes felhasználók megfertőzésében vannak. A rosszindulatú szereplők több ezer e-mail címet vásárolnak a hacker fórumokról, és rosszindulatú spam kampányokat indítanak velük. Nem ritka, hogy a rosszindulatú e-mailek úgy néznek ki, mintha valamilyen vállalat vagy kormányzati ügynökség hivatalos levelezései lennének. Az e-mailek általában egy kis mennyiségű szöveget mondván, hogy megnyitása a csatolt fájl nagyon fontos. Ha a felhasználók megnyitják a csatolt fájlokat, lényegében lehetővé teszik Ransomware a kezdeményezést.
- Torrentek és más kalózplatformok
A fórumok és a torrent webhelyek gyakran rosszul szabályozottak, ami lehetővé teszi a rosszindulatú szereplők számára, hogy sok nehézség nélkül rosszindulatú tartalmat töltsenek fel. Ez különösen gyakori a torrent oldalakon és fórumokon, amelyek szoftver repedések. A felhasználók véletlenül letöltenék Ransomware és más rosszindulatú programokat, azt gondolva, hogy a torrent filmet, TV-műsort, videojátékot vagy szoftvert tartalmaz.
- Kihasználó készletek
Elég gyakori, hogy a Ransomware bandák kihasználó készleteket használnak a felhasználók rendszereibe való belépéshez. Az exploit készletek olyan eszközök, amelyek lényegében olyan biztonsági réseket keresnek egy rendszeren, amelyet exploit és letöltés és más rosszindulatú programok szállítására Ransomware használhatnak. Exploit készletek találkozhatnak a rosszindulatú reklám (malvertising) és a veszélyeztetett / rosszindulatú weboldalakon. Ennek módja az, hogy a felhasználókat becsapják egy rosszindulatú vagy veszélyeztetett webhely meglátogatására, amely exploit készlettel rendelkezik, amely ezután ellenőrzi az eszközön telepített szoftverek biztonsági réseit. Ezután kihasználja ezt a biztonsági rést, hogy eldobjon egy rosszindulatú hasznos terhet, más néven rosszindulatú programot.
- Távoli asztali protokoll (RDP)
Az RDP (Remote Desktop Protocol) egy olyan eszköz, amely lehetővé teszi a felhasználók számára, hogy hálózati kapcsolaton keresztül csatlakozzanak egy másik számítógéphez/kiszolgálóhoz. A működése miatt lehetőséget teremtett a számítógépes bűnözők számára, hogy használják a Ransomware . Ez lett az egyik leggyakrabban használt malware beszivárgási módszer, különösen a nagyvállalatok és szervezetek megcélzása során. A Dharma Ransomware család egy példa egy rosszindulatú programcsaládra, amely ezt a módszert használja.
Ha egy RDP-port nyitva áll az interneten, bárki megpróbálhat csatlakozni hozzá. És a számítógépes bűnözőknek vannak eszközeik, amelyek ezeket a nyitott portokat keresik. Ha találnak egyet, megpróbálnak csatlakozni hozzá vagy lopott bejelentkezési hitelesítő adatokkal, vagy kitalálva őket. Ha a jelszó gyenge, hihetetlenül könnyű kitalálni. Miután a támadó sikeresen bejelentkezett, hozzáférhet a kiszolgálóhoz/számítógéphez, és bármit megtehet rajta, beleértve a kezdeményezést Ransomware is.
Az adatvesztéssel szembeni védelem módjai Ransomware
Fontos fájlok rendszeres biztonsági másolatot
A fertőzés súlyos következményeinek megelőzésének legjobb módja Ransomware a fájlok rendszeres biztonsági másolatot állapotának elkészítése, legalábbis azokat, amelyeket nem akar elveszíteni. A fájlok biztonsági mentésének különböző módjai vannak, és minden felhasználó megtalálhatja a számukra legkényelmesebb módszert.
Vírusirtó szoftver telepítése
Nem meglepő, hogy a megbízható vírusirtó szoftver Ransomware védelemmel az első védelmi vonal, amikor a rosszindulatú programokról van szó. Ahhoz, hogy alkalmazkodni a növekvő fenyegetés Ransomware , sok anti-vírus programok most kínálnak valamilyen védelmet Ransomware . Ha vírusirtó szoftver van telepítve, ellenőrizze, hogy rendelkezik-e ilyen funkcióval. Ha nincs biztonsági programja, de azt tervezi, hogy kap egyet, vizsgálja meg azokat, amelyek a legjobb védelmet nyújtják Ransomware .
Frissítések rendszeres telepítése
Már említettük, hogy a rosszindulatú programok biztonsági réseket használhatnak az eszközön, hogy bejussanak. Amikor biztonsági réseket állapítanak meg, különösen, ha azok súlyosak, egy frissítést adnak ki a javításhoz. Ha nem telepíti ezeket a frissítéseket, a rendszer sebezhetővé teszi. Az automatikus frissítések engedélyezése ajánlott.
A WannaCry Ransomware nagyszerű példa arra, hogy mennyire fontos a frissítések rendszeres telepítése. A Ransomware kihasznált egy ismert EternalBlue biztonsági rést, amelyet a Microsoft 2 hónappal a támadás előtt javított számos frissítésben az összes Windows verzióhoz, amelyet akkoriban támogattak, a Windows Vista-tól kezdve. Több mint 300 000 számítógép, amely vagy nem telepítette a javítást, vagy a Windows nem támogatott verzióit futtatta (pl. Windows XP) a világ minden tájáról. A WannaCry Ransomware 300-600 dolláros váltságdíjat követelt, hogy Bitcoinban fizessenek. Az áldozatok többsége olyan vállalat és szervezet volt, amely nem rendelkezett megfelelő biztonsági gyakorlattal.
A jó böngészési szokások kialakítása
A rendszeres felhasználók számára az elkerülés Ransomware gyakran jobb böngészési szokások kialakítását jelenti. Ez elsősorban azt jelenti, hogy nem nyitunk meg kéretlen e-mail mellékleteket, nem kattintunk a hirdetésekre a magas kockázatú webhelyek böngészése során, és elkerüljük a kalózkodást (különösen torrenteken keresztül).
- E-mail mellékletek
Minden e-mail mellékletet vírusirtó szoftverrel vagy megnyitás előtt be kell VirusTotal szkennelni. A VirusTotallal folytatott szkennelés még jobb is lehet, mivel azt mutatja, hogy a vele partneri antivírus programok észlelik-e a fájlt potenciálisan rosszindulatúnak. Általában kerülnie kell az ismeretlen feladóktól származó e-mail mellékletek megnyitását.
A rosszindulatú programokat hordozó rosszindulatú e-mailek általában meglehetősen általánosak, ami azt jelenti, hogy képesnek kell lennie azonosítani őket, amíg tudja, mit kell keresnie. A feladó e-mail címe gyakran nagy ajándék, például. Ha a feladónak véletlenszerű e-mail címe van, amely véletlenszerű betűkből és számokból áll, vagy csak általában nem tűnik professzionálisnak, akkor nagyon óvatosnak kell lennie az e-mail melléklet megnyitásával kapcsolatban.
Egy másik könnyen észrevehető jele egy potenciálisan rosszindulatú e-mail azok módon, ahogy megszólították az e-mailben. Ha például egy olyan vállalat, amelynek szolgáltatásait használja, e-mailt küld Önnek (különösen, ha általános), akkor a neve szólítja meg. Például, ha a bankja hivatalos levelezést küldött Önnek, mindig valamilyen formában szólítják meg Önt, általában a vezetéknevével. A név beszúrása automatikusan megtörténik, így nincs esély arra, hogy valami olyan általános dolog foglalkozzon Önvel, mint az “Ügyfél”, “Tag”, “Felhasználó”, stb. Tehát, ha valaha is kap egy e-mailt, amely azt állítja, hogy sürgősen meg kell nyitnia a mellékletet, de általános kifejezésekkel foglalkozik, tegyen további óvintézkedéseket, ha úgy dönt, hogy megnyitja a csatolt fájlt.
A rosszindulatú e-mailek egyéb jelei közé tartoznak a nyelvtani és helyesírási hibák, valamint a kínos megfogalmazások, amelyek csak kiesnek.
- Kalózkodás
Ha valaki, aki inkább kap fizetett tartalmat ingyen keresztül pirating, akkor a megnövekedett pályán felvette a Ransomware fertőzést. Nem számít, az erkölcsi kérdések lényegében ellopják valaki kemény munka, pirating nagyon elriasztja, mert milyen könnyű találkozni malware. Ez különösen igaz a torrentekre. Sok torrent platform nagyon rosszul szabályozott, amelyek közül a számítógépes bűnözők teljes mértékben kihasználják a torrentnek álcázott rosszindulatú programok feltöltését. A rosszindulatú programok különösen gyakoriak a népszerű filmek, TV-sorozatok, videojátékok és szoftverek torrentjeiben. Amikor olyan népszerű műsorok kerülnek adásba, mint a Trónok harca, az epizód torrentek többsége (különösen az új epizódok) rosszindulatú programokat tartalmaz.