Ransomware is zo klein als een zandkorrel, het is overal. En ze kunnen meer versleutelen dan je denkt. Het vernietigen van uw persoonlijke bestanden is een groot verlies, maar wanneer Ransomware uw kopieën aanvalt, wordt deze pijn nog groter.
Er zijn verschillende varianten van ransomware die niet alleen harde schijven aanvallen, maar ook andere systeemschijven, en clouddrives zijn ook niet uit hun zicht verdwenen. Het is dus tijd dat u precies bekijkt wat bestandsback-ups zijn en waar de kopieën worden bewaard.
Ransomware-aanvallen overal
We weten dat een ransomware-aanval verwoestende gevolgen kan hebben. Ransomware vormt een bijzonder obstakel omdat de doelbestanden afbeeldingen, muziek, films en allerlei soorten documenten zijn. Uw harde schijf bevat persoonlijke, werk- en zakelijke bestanden die een belangrijk doelwit zijn voor codering. Eenmaal versleuteld, ziet u een bericht met het verzoek om losgeld te betalen (meestal in moeilijk te traceren Bitcoin) voor de veilige vrijgave van uw bestanden.
En zelfs dan is er geen garantie dat u het coderingswachtwoord of de decoderingstool ontvangt.
CryptoLocker
CryptoLocker is een variant van encryptie-ransomware die meerdere van uw harde schijven kan coderen. De ziekte verscheen voor het eerst in 2013 en verspreidde zich via geïnfecteerde e-mailbijlagen. Wanneer CryptoLocker op een computer is geïnstalleerd, kan het de harde schijf scannen op een specifieke lijst met bestandsextensies. Bovendien scant het alle schijven die op de machine zijn aangesloten, of het nu USB of netwerk is.
Een netwerkschijf met lees-/schrijftoegang wordt net als een harde schijf gecodeerd. Het is een uitdaging voor bedrijven waar werknemers toegang hebben tot gedeelde netwerkmappen.
Gelukkig hebben beveiligingsonderzoekers een kopie van de slachtoffersdatabase van CryptoLocker vrijgegeven en elke versleuteling gematcht. Ze creëerden het Decrypt CryptoLocker-portaal om slachtoffers te helpen hun bestanden te decoderen.
Evolutie: CryptoFortress
CryptoLocker verscheen en beweerde 500.000 slachtoffers te hebben. Volgens Keith Jarvis van Dell SecureWorks heeft CryptoLocker in de eerste 100 dagen na de afpersingsoperatie mogelijk 30 miljoen dollar ontvangen (het zou oplopen tot 150 miljoen dollar als elk slachtoffer 300 dollar losgeld zou betalen). Het verwijderen van CryptoLocker is echter niet het begin van het voorkomen van ransomware voor het in kaart brengen van netwerkstuurprogramma's.
CryptoFortress werd in 2015 ontdekt door beveiligingsonderzoeker Kafein. Het heeft het uiterlijk en de aanpak van TorrentLocker, maar een van de belangrijkste verbeteringen; het kan niet-toegewezen netwerkstuurprogramma's coderen.
Doorgaans haalt ransomware een lijst met toegewezen netwerkstations op, bijvoorbeeld C:, D:, E:, enz. Vervolgens scant het de stations, vergelijkt de bestandsextensies en codeert ze vervolgens. Bovendien somt CryptoFortress alle open Server Message Block (SMB)-netwerkshares op en codeert alle gevonden bestanden.
Locky
Locky is een andere variant van ransomware, bekend om het veranderen van individuele bestanden naar .locky, evenals wallet.dat - de portemonnee van Bitcoin. Locky richt zich ook op bestanden op computers of bestanden op niet-toegewezen netwerkshares, waarbij bestanden worden gewijzigd. Deze chaos maakt het herstelproces moeilijker.
Verder beschikt Locky niet over een decoder.
Ransomware in de cloud
Ransomware omzeilt het fysieke netwerk- en computergeheugen en overstijgt ook cloudgegevens. Dit is een belangrijke kwestie. Cloudopslag wordt vaak aangeprezen als een van de veiligste back-upopties, waardoor er geen back-up van uw gegevens wordt gemaakt op interne netwerkshares, waardoor isolatie van omringende gevaren wordt gecreëerd. Maar helaas hebben ransomwarevarianten deze beveiliging omzeild.
Volgens het State of the Cloud-rapport van RightScale gebruikt 82% van de bedrijven een multi-cloudstrategie. En uit een ander onderzoek (Slideshare ebook) van Intuit blijkt dat in 2020 78% van de kleine bedrijven cloudfuncties zal gebruiken. Deze radicale verschuiving bij grote en kleine bedrijven maakt clouddiensten tot een belangrijk doelwit voor ransomwareleveranciers.
Ransom_Cerber.cad
Malwareleveranciers zullen een manier vinden om dit probleem te omzeilen. Social engineering en e-mailphishing zijn belangrijke hulpmiddelen en kunnen worden gebruikt om robuuste beveiligingscontroles te omzeilen. Beveiligingsonderzoekers van Trend Micro hebben een speciale ransomwarevariant gevonden, genaamd RANSOM_CERBER.CAD. Het is bedoeld voor thuis- en zakelijke gebruikers van Microsoft 365, cloud computing en productiviteitsplatforms.
De Cerber-variant kan 442 bestandstypen coderen met behulp van een combinatie van AES-265 en RSA, de zone-instellingen van Internet Explorer op de computer wijzigen, schaduwkopieën verwijderen, Windows Opstartherstel uitschakelen en Outlook-programma's, The bat!, Thunderbird en Microsoft Word beëindigen.
Bovendien, en dit is gedrag dat ook door andere ransomwarevarianten wordt vertoond, vraagt Cerber naar de geografische locatie van het getroffen systeem. Als het hostsysteem lid is van het Gemenebest van Onafhankelijke Staten (voormalige landen van de Sovjet-Unie, zoals Rusland, Moldavië en Wit-Rusland), wordt de ransomware automatisch beëindigd.
De cloud als besmettingsinstrument
Ransomware Petya verscheen voor het eerst in 2016. Een paar opmerkelijke dingen aan deze variant zijn ten eerste: Petya kan de volledige Master Boot Record (MBR) van een pc versleutelen, waardoor het systeem crasht. Dit maakt het hele systeem onbruikbaar. Vervolgens werd bij het opnieuw opstarten het Petya-losgeldbriefje weergegeven, met een afbeelding van een schedel en een verzoek om betaling in Bitcoin.
Ten tweede verspreidde Petya zich naar verschillende systemen via een geïnfecteerd bestand dat was opgeslagen in Dropbox, dat zich voordeed als een samenvatting. De link is vermomd als applicatiedetails, terwijl deze feitelijk verwijst naar een zelfuitpakkend uitvoerbaar bestand om de ransomware te installeren.
Gelukkig heeft een anonieme programmeur een manier gevonden om de codering van Petya te kraken. Deze methode kan de coderingssleutel detecteren die nodig is om de MBR te ontgrendelen en vastgelegde bestanden vrij te geven.
Het gebruik van clouddiensten om ransomware te verspreiden is begrijpelijk. Gebruikers zijn aangemoedigd om cloudopslagoplossingen te gebruiken om een back-up van gegevens te maken, omdat dit een extra beveiligingslaag biedt. Veiligheid is de sleutel tot het succes van clouddiensten. Toch kan het vertrouwen van gebruikers in cloudbeveiliging voor slechte doeleinden worden misbruikt.
In het kort
Cloudopslag, toegewezen of niet-toegewezen netwerkstuurprogramma's en systeembestanden blijven kwetsbaar voor ransomware. Dit is niet langer iets nieuws. Malwaredistributeurs richten zich echter actief op back-upbestanden, waardoor de angst bij gebruikers toeneemt. Integendeel, er moeten aanvullende voorzorgsmaatregelen worden genomen.
Thuis- en zakelijke gebruikers moeten een back-up maken van belangrijke bestanden op verwisselbare harde schijven. Nu actie ondernemen is de actie die u zal helpen uw systeem te herstellen na een ongewenste ransomware-infectie van een onbetrouwbare bron.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
