Ransomware jest tak małe jak ziarnko piasku, jest wszędzie. I mogą zaszyfrować więcej, niż myślisz. Zniszczenie plików osobistych to duża strata, ale gdy oprogramowanie Ransomware atakuje Twoje kopie, ból ten wzrasta jeszcze bardziej.
Istnieje kilka odmian oprogramowania ransomware, które atakuje nie tylko dyski twarde, ale także inne dyski systemowe, a dyski w chmurze również nie są poza ich zasięgiem. Nadszedł więc czas, abyś dokładnie sprawdził, czym są kopie zapasowe plików i gdzie są przechowywane.
Ransomware atakuje wszędzie
Wiemy, że atak ransomware może być niszczycielski. Ransomware stanowi szczególną przeszkodę, ponieważ jego plikami docelowymi są zdjęcia, muzyka, filmy i wszelkiego rodzaju dokumenty. Na Twoim dysku twardym przechowywane są pliki osobiste, służbowe i biznesowe, które są głównymi celami szyfrowania. Po zaszyfrowaniu zobaczysz wiadomość z żądaniem okupu żądającą zapłaty – zwykle w trudnych do namierzenia Bitcoinach – w zamian za bezpieczne udostępnienie Twoich plików.
Nawet wtedy nie ma gwarancji, że otrzymasz hasło do szyfrowania lub narzędzie do odszyfrowywania.
KryptoLocker
CryptoLocker to odmiana oprogramowania ransomware szyfrującego, które może szyfrować wiele dysków twardych. Po raz pierwszy pojawił się w 2013 roku i rozprzestrzeniał się poprzez zainfekowane załączniki do wiadomości e-mail. Kiedy CryptoLocker jest zainstalowany na komputerze, może przeskanować dysk twardy w poszukiwaniu określonej listy rozszerzeń plików. Ponadto skanuje wszystkie dyski podłączone do komputera, czy to USB, czy sieciowe.
Dysk sieciowy z dostępem do odczytu/zapisu będzie szyfrowany tak samo jak dysk twardy. Jest to wyzwanie dla firm, w których pracownicy uzyskują dostęp do udostępnionych folderów sieciowych.
Na szczęście badacze bezpieczeństwa opublikowali kopię bazy danych ofiar CryptoLocker i dopasowali każde szyfrowanie. Stworzyli portal Decrypt CryptoLocker, aby pomóc ofiarom odszyfrować swoje pliki.
Ewolucja: CryptoFortress
Pojawił się CryptoLocker i twierdził, że ma 500 000 ofiar. Według Keitha Jarvisa z Dell SecureWorks firma CryptoLocker mogła otrzymać 30 milionów dolarów w ciągu pierwszych 100 dni od wymuszenia (kwota wzrosłaby do 150 milionów dolarów, gdyby każda ofiara zapłaciła okup w wysokości 300 dolarów). Jednak usunięcie CryptoLocker nie jest początkiem zapobiegania ransomware mapującemu sterowniki sieciowe.
CryptoFortress została odkryta w 2015 roku przez badacza bezpieczeństwa Kafeina. Ma wygląd i podejście TorrentLocker, ale jest jednym z kluczowych osiągnięć; może szyfrować niezamapowane sterowniki sieciowe.
Zazwyczaj ransomware pobiera listę zmapowanych dysków sieciowych, na przykład C:, D:, E: itd. Następnie skanuje dyski, porównuje rozszerzenia plików, a następnie je szyfruje.Zaszyfruj odpowiednie pliki. Dodatkowo CryptoFortress wylicza wszystkie otwarte udziały sieciowe Server Message Block (SMB) i szyfruje wszystkie znalezione.
Locky'ego
Locky to kolejny wariant oprogramowania ransomware, słynącego z zmiany poszczególnych plików na .locky, a także portfel.dat – portfel Bitcoina. Locky atakuje także pliki na komputerach lub pliki w niezamapowanych udziałach sieciowych, zmieniając przy tym pliki. Ten chaos utrudnia proces zdrowienia.
Ponadto Locky nie ma dekodera.
Ransomware w chmurze
Ransomware omija pamięć fizyczną sieci i komputera, a także przekracza dane w chmurze. To jest ważna kwestia. Przechowywanie w chmurze jest często reklamowane jako jedna z najbezpieczniejszych opcji tworzenia kopii zapasowych, umożliwiająca przechowywanie kopii zapasowych danych z dala od wewnętrznych udziałów sieciowych, co zapewnia izolację od otaczających zagrożeń. Niestety, warianty oprogramowania ransomware ominęły to zabezpieczenie.
Według raportu RightScale State of the Cloud 82% firm korzysta ze strategii wielu chmur. Z kolejnego badania (ebook Slideshare) przeprowadzonego przez Intuit wynika, że do 2020 r. 78% małych firm będzie korzystać z funkcji chmury. Ta radykalna zmiana dokonana przez duże i małe firmy sprawia, że usługi w chmurze są głównym celem dostawców oprogramowania ransomware.
Ransom_Cerber.cad
Dostawcy złośliwego oprogramowania znajdą sposób na obejście tego problemu. Kluczowymi narzędziami są inżynieria społeczna i phishing za pośrednictwem poczty e-mail, które można wykorzystać do obejścia solidnych mechanizmów kontroli bezpieczeństwa. Badacze bezpieczeństwa firmy Trend Micro znaleźli specjalny wariant oprogramowania ransomware o nazwie RANSOM_CERBER.CAD. Jest przeznaczony dla użytkowników domowych i biznesowych korzystających z platformy Microsoft 365, przetwarzania w chmurze i platform zwiększających produktywność.
Wariant Cerbera może szyfrować 442 typy plików przy użyciu kombinacji AES-265 i RSA, modyfikować ustawienia strefy Internet Explorer na komputerze, usuwać kopie w tle, wyłączać naprawę podczas uruchamiania systemu Windows i kończyć programy Outlook, The bat!, Thunderbird i Microsoft Word.
Co więcej, a jest to zachowanie charakterystyczne dla innych wariantów oprogramowania ransomware, Cerber pyta o położenie geograficzne systemu, którego dotyczy problem. Jeśli system hosta należy do Wspólnoty Niepodległych Państw (kraje byłego Związku Radzieckiego, takie jak Rosja, Mołdawia i Białoruś), oprogramowanie ransomware zakończy się automatycznie.
Chmura jako narzędzie skażenia
Ransomware Petya pojawiło się po raz pierwszy w 2016 r. Po pierwsze, Petya może zaszyfrować cały główny rekord rozruchowy (MBR) komputera osobistego, powodując awarię systemu.zielony obraz. To sprawia, że cały system jest bezużyteczny. Następnie, po ponownym uruchomieniu, zamiast tego wyświetliła się notatka z żądaniem okupu Petya ze zdjęciem czaszki i prośbą o płatność w Bitcoinach.
Po drugie, Petya rozprzestrzenił się na kilka systemów poprzez zainfekowany plik przechowywany w Dropbox, udając podsumowanie. Link jest maskowany jako szczegóły aplikacji, podczas gdy w rzeczywistości prowadzi do samorozpakowującego się pliku wykonywalnego umożliwiającego instalację oprogramowania ransomware.
Na szczęście anonimowy programista znalazł sposób na złamanie szyfrowania Petyi. Ta metoda umożliwia wykrycie klucza szyfrowania potrzebnego do odblokowania rekordu MBR i uwolnienia przechwyconych plików.
Korzystanie z usług w chmurze do rozprzestrzeniania oprogramowania ransomware jest zrozumiałe. Użytkownicy są zachęcani do korzystania z rozwiązań do przechowywania w chmurze w celu tworzenia kopii zapasowych danych, ponieważ zapewnia to dodatkową warstwę bezpieczeństwa. Bezpieczeństwo jest kluczem do sukcesu usług chmurowych. Jednak zaufanie użytkowników do bezpieczeństwa chmury można wykorzystać do złych celów.
W skrócie
Pamięć masowa w chmurze, zmapowane lub niezmapowane sterowniki sieciowe oraz pliki systemowe pozostają podatne na ataki oprogramowania ransomware. To już nie jest żadna nowość. Jednak dystrybutorzy złośliwego oprogramowania aktywnie atakują pliki kopii zapasowych, zwiększając poziom niepokoju użytkowników. Wręcz przeciwnie, należy podjąć dodatkowe środki ostrożności .
Użytkownicy domowi i biznesowi powinni tworzyć kopie zapasowe ważnych plików na wymiennych dyskach twardych. Podjęcie działań teraz to działanie, które pomoże Ci odzyskać system po niechcianej infekcji ransomware z niezaufanego źródła.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
