Studiu - Tehnic
- LMS-SFC - Cyber
Security - Peisajul
amenințărilor
Studiu - Tehnic
- LMS-SFC - Cyber
Security - Peisajul
amenințărilor
Cyber Security
Ransomware-ul
Numărul de rapoarte privitoare la
atacurile ransomware crește amenințător de la un an la altul,
provocând daune semnificative atât la nivel de daună de cheltuieli
(pierderi de bani) cât și la nivel de daună de date (pierderi de
date).
Mai mult, ransomware-ul a ajuns să
fie prezent din ce în ce mai mult în știrile zilnice de securitate
cibernetică, de funcționalitate economică, de măsuri la nivel
organizațional și/ sau statal, de acțiuni și activități
guvernamentale, etc.
Ce este Ransomware-ul?
Ransomware-ul este orice
tip de malware de extorcare (care poate fi simplă, dublă sau
chiar triplă) care blochează funcționalitatea computerului (a
sistemului de operare și a software-ul existent) și solicită
plată de răscumpărare (ransom) în schimbul eliberării
funcționalității sistemelor dvs., de unde și numele acestui
malware.
Definiția ransomware-ului
poate fi rezumată la orice tip de atac cibernetic care
criptează fișierele victimelor sale blocând accesul la acestea
de către utilizator, odată ce atacatorii s-au infiltrat
într-un sistem și au criptat datele, urmând ca ei să solicite
o răscumpărare în schimbul returnării accesului la date
(funcționalității sistemului).
Ransomware-ul este un virus?
Răspunsul scurt este nu,
dar delimitarea clară dintre viruși și ransomware poate fi
dificilă.
Virușii de computer atacă
software-ul și se pot multiplica, dar ransomware-ul de
amestecă cu fișierele (prin proceduri de inserție și/ sau
amestecare), rareori multiplicându-se, având ca scop
criptarea datelor, făcându-le inutile și apoi solicită plata
pentru a le decripta.
Ambele pot fi șterse cu
software antivirus, dar dacă fișierele sunt criptate, nu le
veți putea recupera.
De aceea, în lumea
produselor de securitate cibernetică se face o diferențiere
clară între produsele antivirus și produsele anti-malware/
anti-ransomware.
Cum decurge atacul?
Din punct de vedere al
statisticilor realizate de firme reputate, peste 70% din căile de
intrare ale acestui ransomware se datorează utilizatorului, erorii
umane: spamuri, instalări de software ce conțin malware, etc.
Dar există și o cale independentă
de utilizator, cea reprezentată de vulnerabilitățile hardware
(probleme de router, de interfețe hardware, etc) și software
(probleme de sisteme de operare, ale diferitelor aplicații, etc).
Dar, până și aici, procentul de
"intervenție" al erorii umane este semnificativ, ridicând
procentul general de la 70% la peste 95% (afirmă statisticile).
Erori reprezentate de lipsa abordării corecte a minimum de măsuri
de securitate cibernetică cum ar fi lipsa instalării
actualizărilor, "igienă" cibernetică (parole, autentificare, etc).
Cert este că, odată intrat,
indiferent de "tehnica" de intrare, malware-ul va începe criptarea
tuturor datelor existente pe sistemul de calcul "infectat" după un
algoritm bine calculat (specific categoriei de atac), astfel încât
sistemul să pară funcțional până la finalizarea procesului de
criptare al datelor.
Și, de obicei (la peste 99% din
cazuri), malware-ul va deveni ransomware la prima restartare
(inclusiv inițierea din starea de "sleep") a mașinii de calcul
(computerului, etc) când va apare mesajul de ransomware cu
instrucțiunile de a realiza plata de răscumpărare (ransom) pentru
a se ajunge la obținera cheii de decriptare a datelor și posibila
lor reutilizare.
Am folosit termenul "posibila"
deoarece, se pare, din studiile cercetătorilor, că rata de
reutilizare a datelor este mult inferioară procentului de 50%.
Deci, deseori, taxele de răscumpărare/ recompensă, etc, cel mai
adesea vor fi plătite pentru o reutilizare a datelor "parțială",
dacă nu "degeaba".
Taxele de răscumpărare/
recompensă pot varia de la câteva sute la câteva mii de dolari
și, în unele cazuri rare, crescând în milioane, funcție de
ținta atacului ransomware, funcție de un fel de algoritm de
calcul inclus în malware pentru a putea deduce un fel de
răscumpărare maxim posibilă, etc. De reținut că, în ultimii
ani, răscumpărările către hackeri sunt adesea plătite în
criptomonedă.
În final, funcție de rata de
succes în ceea ce privește recuperarea datelor prin
decriptare, se procedează la recuperarea reală, maxim
posibilă, a datelor.
Atenție: finalizarea
procesului nu înseamnă că ați scăpat de griji! Odată ce
malware-ul ce a devenit ransomware a intrat odată în sistemul
Dvs. și a produs problemele care le-a produs, sunt șanse
maxime să "intre" iar și problemele să se repete.
Ransomware-ul (malware-ul)
atacă nediscriminatoriu și, astfel, va reataca oricând o fostă
victimă.
Deci, ați scăpat de probleme
abia după ce refaceți întregul sistem și eliminați, cel puțin,
calea de intrare identificată a infecției de malware/
ransomware de care ați "beneficiat". Și, asta, de pe toate
dispozitivele din rețeaua existentă deoarece evoluția
hacking-ului atestă că infectarea se produce în întregul
ansamblu al unei rețele, într-un proces automatizat, aproape
inteligent, persistent, bla, bla.
Tipuri de ransomware
Cele mai frecvente două
forme de ransomware sunt ransomware-ul locker și
cripto-ransomware-ul:
- Locker Ransomware-ul: Împiedică victima să acceseze sistemul de calcul infectat. Odată ce accesul este refuzat, victimei i se solicită să plătească răscumpărarea pentru a-și debloca dispozitivul.
- Crypto Ransomware-ul: Criptează datele utilizatorului și împiedică accesarea acestora. Criminalul cibernetic cere apoi bani pentru a decoda informațiile. Cryptoware-ul a devenit cel mai popular tip de ransomware în ultimii ani.
Alte tipuri de ransomware includ:
- Ecrane de blocare sau Ransomware fără criptare: Restricționează accesul la fișiere și date, dar nu le criptează.
- Master Boot Record (MBR) Ransomware-ul: Face imposibil ca PC-urile victimelor să pornească într-un mediu de operare live.
- Extortionware sau Leakware: Fură informații compromițătoare sau dăunătoare pe care atacatorii amenință apoi să le elibereze dacă răscumpărarea nu este plătită.
- Ransomware mobil: Infectează telefoanele mobile prin descărcări drive-by sau aplicații false.
- Locker Ransomware-ul: Împiedică victima să acceseze sistemul de calcul infectat. Odată ce accesul este refuzat, victimei i se solicită să plătească răscumpărarea pentru a-și debloca dispozitivul.
- Crypto Ransomware-ul: Criptează datele utilizatorului și împiedică accesarea acestora. Criminalul cibernetic cere apoi bani pentru a decoda informațiile. Cryptoware-ul a devenit cel mai popular tip de ransomware în ultimii ani.
Alte tipuri de ransomware includ:
- Ecrane de blocare sau Ransomware fără criptare: Restricționează accesul la fișiere și date, dar nu le criptează.
- Master Boot Record (MBR) Ransomware-ul: Face imposibil ca PC-urile victimelor să pornească într-un mediu de operare live.
- Extortionware sau Leakware: Fură informații compromițătoare sau dăunătoare pe care atacatorii amenință apoi să le elibereze dacă răscumpărarea nu este plătită.
- Ransomware mobil: Infectează telefoanele mobile prin descărcări drive-by sau aplicații false.
Exemple de atacuri ransomware
Atacurile ransomware au
avut succese de miliarde de dolari (din recompensele
obținute). Iată câteva exemple de atacuri ransomware recente:
- WannaCry: WannaCry a fost un focar ransomware care s-a răspândit în 150 de țări în 2017. A fost creat pentru a exploata un defect Windows și a infectat peste 100.000 de mașini până în mai 2017. Atacul a făcut ravagii asupra mai multor trusturi spitalicești din Marea Britanie, costând NHS 92 de milioane de lire sterline atunci când utilizatorii au fost blocați și a fost solicitată o răscumpărare Bitcoin. Hack-ul a dezvăluit pericolele de a se baza pe tehnologia depășită și a dus la daune financiare globale de aproximativ 4 miliarde de dolari.
- WannaCry: WannaCry a fost un focar ransomware care s-a răspândit în 150 de țări în 2017. A fost creat pentru a exploata un defect Windows și a infectat peste 100.000 de mașini până în mai 2017. Atacul a făcut ravagii asupra mai multor trusturi spitalicești din Marea Britanie, costând NHS 92 de milioane de lire sterline atunci când utilizatorii au fost blocați și a fost solicitată o răscumpărare Bitcoin. Hack-ul a dezvăluit pericolele de a se baza pe tehnologia depășită și a dus la daune financiare globale de aproximativ 4 miliarde de dolari.
- Ryuk: Ryuk s-a răspândit
la mijlocul anului 2018. Pe PC-uri, caracteristica "Restaurare
Sistem" a Windows a fost dezactivată de ransomware, ceea ce
înseamnă că utilizatorii nu au putut recupera fișierele
criptate fără o copie de rezervă. Victimele au plătit
răscumpărările, iar pierderea totală este considerată a fi de
640.000 de dolari.
- KeRanger: KeRanger este
considerat primul atac ransomware care vizează mașinile Mac
folosind sistemul de operare OS X. KeRanger a fost inclus
într-o instalare a Transmisiei, un client BitTorrent
open-source. După trei zile de inactivitate, a criptat 300 de
tipuri distincte de date. Apoi a descărcat un fișier care
conținea o notă de răscumpărare care cerea Bitcoin și
instrucțiuni pentru plata răscumpărării. Dosarele victimei au
fost decriptate atunci când răscumpărarea a fost plătită.
- Petya: Petya a provocat
tuturor o sperietură, dar a fost considerabil mai puțin
devastatoare decât WannaCry. Petya a lovit în cea mai mare
parte Ucraina cu peste 90% din agresiuni, dar victimele au
raportat, de asemenea, eforturi în alte părți ale lumii.
Cum funcționează
Ransomware?
Atacurile ransomware pot
perturba operațiunile de afaceri și pot lăsa companiile fără
datele de care au nevoie pentru a opera sau a furniza servicii
esențiale pentru misiune, ca să nu mai vorbim de deteriorarea
reputației unei companii după ce a suferit o încălcare a
securității. Ca tip suplimentar de extorcare, actorii rău
intenționați și-au modificat tehnicile de ransomware pentru a
include presarea victimelor pentru plată, amenințând că vor
expune datele furate în cazul în care refuză să plătească.
Valoarea monetară a cererilor de răscumpărare a crescut, de
asemenea, unele depășind 1 milion de dolari în cazuri extreme.
Actorii rău intenționați folosesc mișcarea laterală pentru a viza informații sensibile și a răspândi ransomware în rețele întregi. Acești actori utilizează, de asemenea, din ce în ce mai mult tehnici care fac restaurarea și recuperarea mai dificile (sau imposibile) pentru întreprinderile vizate, cum ar fi distrugerea copiilor de rezervă ale sistemului. Ransomware-ul se răspândește rapid și lovește greu, de la atașamente de e-mail rău intenționate și link-uri false la fraude pe rețelele de socializare.
Iată câteva metode folosite de atacatorii ransomware:
Ingineria socială este o expresie folosită pentru a descrie procesul de păcălire a indivizilor în descărcarea de malware printr-un fișier fals sau link. Fișierele rău intenționate sunt adesea deghizate în documente legitime (confirmări de comenzi, facturi, facturi și notificări) și arată ca și cum ar proveni dintr-o organizație de încredere. Este la fel de simplu ca descărcarea unuia dintre ele pe computer, încercând să-l deschidă, și BAM! Ai fost infectat.
Malvertising este termenul pentru reclame sponsorizate care transmit ransomware, spyware, viruși și alte programe rău intenționate la un clic pe un buton. Hackerii vor investi în spațiu publicitar pe site-uri populare pentru a obține informațiile dvs.
Kiturile de exploatare sunt instrumente de hacking gata de utilizare care conțin cod pre-scris. După cum probabil vă așteptați, aceste kituri sunt concepute pentru a exploata vulnerabilitățile și defectele de securitate create de software-ul depășit.
Descărcările drive-by sunt fișiere periculoase pe care nu le-ați solicitat și pot fi complet necunoscute. În timp ce navigați pe un site web cu aspect nevinovat sau vizionați un videoclip, unele site-uri web periculoase profită de browsere sau aplicații depășite pentru a descărca în liniște malware în fundal.
Actorii rău intenționați folosesc mișcarea laterală pentru a viza informații sensibile și a răspândi ransomware în rețele întregi. Acești actori utilizează, de asemenea, din ce în ce mai mult tehnici care fac restaurarea și recuperarea mai dificile (sau imposibile) pentru întreprinderile vizate, cum ar fi distrugerea copiilor de rezervă ale sistemului. Ransomware-ul se răspândește rapid și lovește greu, de la atașamente de e-mail rău intenționate și link-uri false la fraude pe rețelele de socializare.
Iată câteva metode folosite de atacatorii ransomware:
Ingineria socială este o expresie folosită pentru a descrie procesul de păcălire a indivizilor în descărcarea de malware printr-un fișier fals sau link. Fișierele rău intenționate sunt adesea deghizate în documente legitime (confirmări de comenzi, facturi, facturi și notificări) și arată ca și cum ar proveni dintr-o organizație de încredere. Este la fel de simplu ca descărcarea unuia dintre ele pe computer, încercând să-l deschidă, și BAM! Ai fost infectat.
Malvertising este termenul pentru reclame sponsorizate care transmit ransomware, spyware, viruși și alte programe rău intenționate la un clic pe un buton. Hackerii vor investi în spațiu publicitar pe site-uri populare pentru a obține informațiile dvs.
Kiturile de exploatare sunt instrumente de hacking gata de utilizare care conțin cod pre-scris. După cum probabil vă așteptați, aceste kituri sunt concepute pentru a exploata vulnerabilitățile și defectele de securitate create de software-ul depășit.
Descărcările drive-by sunt fișiere periculoase pe care nu le-ați solicitat și pot fi complet necunoscute. În timp ce navigați pe un site web cu aspect nevinovat sau vizionați un videoclip, unele site-uri web periculoase profită de browsere sau aplicații depășite pentru a descărca în liniște malware în fundal.
Ce este un atac ransomware?
Dacă o companie a căzut
pradă unuia dintre atacurile de mai sus, cât de repede
escaladează? Cum arată un atac ransomware? Iată o cronologie
generală a atacurilor:
Infecție: Ransomware-ul se instalează pe sistem și pe orice dispozitive de rețea pe care le poate accesa după ce a fost transmis printr-un atașament de e-mail, e-mail de phishing, program infectat etc.
Infecție: Ransomware-ul se instalează pe sistem și pe orice dispozitive de rețea pe care le poate accesa după ce a fost transmis printr-un atașament de e-mail, e-mail de phishing, program infectat etc.
Schimb securizat de chei:
Ransomware-ul comunică cu hackerii din spatele serverului de
comandă și control al atacului pentru a crea cheile
criptografice utilizate pe mașina locală.
Criptare: Malware-ul
criptează toate datele pe care le găsește pe computerele
locale și în întreaga rețea.
Extorcare: Odată ce
criptarea este completă, ransomware-ul afișează instrucțiuni
de plată a răscumpărării, amenințând distrugerea sau
publicarea datelor dacă plata nu este efectuată.
Decriptare: Companiile pot
plăti răscumpărarea și speră ca hackerii să decripteze
fișierele sau să recupereze date. Acest lucru se face prin
eliminarea fișierelor și computerelor infectate din rețea și
restaurarea datelor din copiile de rezervă curate. Negocierea
cu hoții cibernetici este de obicei inutilă, deoarece un
studiu recent a arătat că 42% dintre companiile care au plătit
o răscumpărare nu și-au decriptat fișierele.
Cine vizează
ransomware-ul?
Există multe metode prin
care infractorii ransomware selectează organizațiile pe care
le atacă. Este, de asemenea, o chestiune de sincronizare. De
exemplu, atacatorii pot viza colegii, deoarece au echipe de
securitate mai mici și o bază largă de utilizatori care
partajează numeroase fișiere, ceea ce face simplu să le
încălcați apărarea. Pe de altă parte, marile corporații sunt
ținte atrăgătoare, deoarece par a fi mai înclinate să
plătească o răscumpărare rapid și au mijloacele necesare
pentru a face acest lucru.
Instituțiile guvernamentale și unitățile medicale, de exemplu, necesită frecvent acces rapid la informațiile lor. Firmele de avocatură și alte întreprinderi cu date sensibile sunt mai susceptibile de a plăti pentru a ține un atac ascuns de public, deoarece aceste organizații pot fi deosebit de vulnerabile la atacurile leakware.
Instituțiile guvernamentale și unitățile medicale, de exemplu, necesită frecvent acces rapid la informațiile lor. Firmele de avocatură și alte întreprinderi cu date sensibile sunt mai susceptibile de a plăti pentru a ține un atac ascuns de public, deoarece aceste organizații pot fi deosebit de vulnerabile la atacurile leakware.
Cum să detectați ransomware-ul
Atacurile ransomware sunt
dificil de identificat suficient de repede pentru a evita
consecințele grave. Acestea sunt instalate prin tactici
ocolite de inginerie socială, iar datele sensibile sunt
amestecate folosind algoritmi de criptare de nivel militar.
Odată ce un computer sau alt
punct final a fost compromis, ransomware-ul se poate răspândi
rapid în întreaga rețea, ceea ce face practic imposibil să se
răspundă în timp real. Adesea, afacerea infectată este
conștientă de atac numai după ce ransomware-ul și-a criptat
datele și a făcut un anunț prin care solicită plata.
Următoarele sunt semne ale unui atac ransomware:
- Sute de modificări nereușite ale fișierelor, printre alte activități ciudate ale sistemului de fișiere din cauza ransomware-ului care încearcă să acceseze acele fișiere
- Activitate neașteptat de mare a procesorului și a discului datorită căutării, criptării și eliminării fișierelor de date ransomware
- Accesul la unele fișiere este restricționat, ca urmare a criptării, ștergerii, redenumirii sau mutării datelor ransomware
- Comunicații de rețea suspecte ca urmare a contactului ransomware-ului cu serverul de comandă și control al atacatorilor
- Sute de modificări nereușite ale fișierelor, printre alte activități ciudate ale sistemului de fișiere din cauza ransomware-ului care încearcă să acceseze acele fișiere
- Activitate neașteptat de mare a procesorului și a discului datorită căutării, criptării și eliminării fișierelor de date ransomware
- Accesul la unele fișiere este restricționat, ca urmare a criptării, ștergerii, redenumirii sau mutării datelor ransomware
- Comunicații de rețea suspecte ca urmare a contactului ransomware-ului cu serverul de comandă și control al atacatorilor
Cum să preveniți ransomware-ul
Cea mai bună formă de
protecție ransomware este prevenirea. Pentru a lua măsuri
preventive, veți avea nevoie de un ochi atent și de
software-ul de securitate adecvat. Verificările
vulnerabilității pot ajuta, de asemenea, la detectarea
intrușilor din rețea. În primul rând, asigură-te că mașina ta
nu este o țintă ransomware principală. Asigurați-vă că
mențineți întotdeauna software-ul dispozitivului actualizat
pentru a beneficia de cele mai recente actualizări de
securitate.
În plus, continuați cu precauție extremă online, în principal atunci când aveți de-a face cu site-uri web frauduloase și atașamente de e-mail. Cu toate acestea, chiar și cele mai nuanțate măsuri preventive ar putea eșua, subliniind importanța de a avea un plan de rezervă. O copie de rezervă a datelor este un plan de urgență bun în cazul unui atac ransomware.
Deși nici o companie nu este imună la atacurile cibernetice, există câteva bune practici care vă pot reduce șansele de a deveni victimă:
- Educați-vă personalul. Oferiți lucrătorilor o listă de verificare a ceea ce trebuie să facă dacă primesc un e-mail discutabil sau vizitează un site web suspect. Învățați-i să caute steaguri roșii în e-mailurile de phishing.
În plus, continuați cu precauție extremă online, în principal atunci când aveți de-a face cu site-uri web frauduloase și atașamente de e-mail. Cu toate acestea, chiar și cele mai nuanțate măsuri preventive ar putea eșua, subliniind importanța de a avea un plan de rezervă. O copie de rezervă a datelor este un plan de urgență bun în cazul unui atac ransomware.
Deși nici o companie nu este imună la atacurile cibernetice, există câteva bune practici care vă pot reduce șansele de a deveni victimă:
- Educați-vă personalul. Oferiți lucrătorilor o listă de verificare a ceea ce trebuie să facă dacă primesc un e-mail discutabil sau vizitează un site web suspect. Învățați-i să caute steaguri roșii în e-mailurile de phishing.
- Analizați-vă sistemele
pentru orice activitate neobișnuită. Ar trebui să scanați în
mod regulat sistemele de fișiere pentru un comportament
neobișnuit, cum ar fi sute de modificări nereușite ale
fișierelor.
- Monitorizați tot traficul
de intrare și de ieșire. Determinați valoarea de referință
obișnuită a activității utilizatorului și căutați anomalii
înainte de timp. Investigați imediat orice comportament
ciudat.
- Configurați honeypot-uri.
Honeypots sunt momeală, sau depozite de fișiere false, care
par a fi autentice. Honeypots vor fi vizate de hackeri,
permițându-vă să le detectați înainte de a extinde atacul lor
la sistemul dvs. Detectarea timpurie ajută la eradicarea în
condiții de siguranță a malware-ului și vă salvează
infrastructura de la a fi piratată.
- Implementați soluția
anti-ransomware. Utilizați software-ul de pe lista albă
împreună cu software-ul antivirus și anti-ransomware pentru a
detecta riscurile.
- Examinați și filtrați
sistematic spamul sau conținutul de e-mail discutabil.
Configurați setările de e-mail astfel încât e-mailurile
primite să fie filtrate automat și mesajele suspecte să nu fie
livrate în cutia poștală a unui utilizator.
Cum să eliminați Ransomware
Dacă ați căzut victimă unui
atac ransomware de criptare a fișierelor, puteți elimina
malware-ul de criptare urmând aceste instrucțiuni:
- Deconectați-vă de la internet. În primul rând, deconectați toate conexiunile virtuale și fizice. Acest lucru poate ajuta la prevenirea răspândirii ransomware-ului în întreaga rețea. Dispozitivele wireless și cu fir, hard disk-urile externe, dispozitivele de stocare și conturile cloud sunt toate exemple. Dacă credeți că au fost afectate locuri suplimentare, urmați procedurile de mai jos pentru a restabili și acele zone.
- Deconectați-vă de la internet. În primul rând, deconectați toate conexiunile virtuale și fizice. Acest lucru poate ajuta la prevenirea răspândirii ransomware-ului în întreaga rețea. Dispozitivele wireless și cu fir, hard disk-urile externe, dispozitivele de stocare și conturile cloud sunt toate exemple. Dacă credeți că au fost afectate locuri suplimentare, urmați procedurile de mai jos pentru a restabili și acele zone.
- Utilizați software-ul de
securitate pe internet pentru a investiga. Utilizați
software-ul de securitate pe internet pe care l-ați instalat
pentru a rula o scanare a virușilor - acest lucru ajută la
detectarea pericolelor. Dacă găsiți fișiere potențial
dăunătoare, ștergeți-le sau puneți-le în carantină. Puteți
șterge manual fișierele periculoase sau puteți utiliza
software antivirus pentru a face acest lucru automat.
Eradicarea manuală a virusului este sugerată doar pentru
experți.
- Utilizați un instrument de
decriptare. Dacă un sistem a fost infiltrat de ransomware,
veți avea nevoie de un program de decriptare pentru a
restabili accesul la fișierele dvs.
- Recuperați-vă datele
dintr-un backup. Creați o copie de rezervă a sistemului extern
sau în spațiul de stocare în cloud. Curățarea și restaurarea
dispozitivului este mult mai dificilă dacă nu aveți copii de
rezervă. Se sugerează să generați copii de rezervă în mod
regulat pentru a evita această problemă. Dacă aveți obiceiul
de a uita elementele esențiale, utilizați servicii automate de
backup în cloud sau creați notificări de calendar pentru a vă
reaminti.
Ghid pas cu pas: Ce trebuie să faceți dacă sunteți sub atac ransomware
1. Izolați ransomware-ul.
Rata și viteza de detectare a ransomware-ului sunt esențiale pentru contracararea atacurilor rapide înainte de propagarea în rețele și criptarea datelor sensibile. Primul lucru pe care trebuie să-l faceți este să-l izolați de alte computere și dispozitive de stocare. Eliminați-l din rețea (cu fir și fără fir), precum și din orice dispozitive de stocare externe, deoarece nu doriți ca centrul de comandă și control al ransomware-ului să comunice în întreaga rețea.
Aveți grijă, deoarece ar putea exista mai mult de un pacient zero, indicând faptul că ransomware-ul s-ar putea să se fi infiltrat în afacerea sau gospodăria dumneavoastră prin intermediul a numeroase mașini sau că poate fi latent și nu sa arătat încă pe anumite sisteme. Suspectați toate dispozitivele conectate și conectate în rețea și luați măsuri de precauție pentru a garanta că niciunul dintre ele nu este infectat.
2. Identificați ransomware-ul.
Când ransomware-ul solicită bani, de obicei se identifică. Știind cu ce ai de-a face te poate ajuta să înțelegi:
- Tipul de ransomware
- Cum se răspândește
- Ce tip de date criptează
- Ce opțiuni de eliminare aveți
- Odată ce știți tipul, vă puteți da seama ce să faceți în continuare.
3. Raportați atacul.
Raportând ransomware-ul autorităților, veți face tuturor un serviciu. Indiferent de rezultat, Centrul de reclamații privind criminalitatea pe internet la nivel guvernamental (indiferent de țară) încurajează victimele ransomware-ului să raporteze atacurile lor.
Rata și viteza de detectare a ransomware-ului sunt esențiale pentru contracararea atacurilor rapide înainte de propagarea în rețele și criptarea datelor sensibile. Primul lucru pe care trebuie să-l faceți este să-l izolați de alte computere și dispozitive de stocare. Eliminați-l din rețea (cu fir și fără fir), precum și din orice dispozitive de stocare externe, deoarece nu doriți ca centrul de comandă și control al ransomware-ului să comunice în întreaga rețea.
Aveți grijă, deoarece ar putea exista mai mult de un pacient zero, indicând faptul că ransomware-ul s-ar putea să se fi infiltrat în afacerea sau gospodăria dumneavoastră prin intermediul a numeroase mașini sau că poate fi latent și nu sa arătat încă pe anumite sisteme. Suspectați toate dispozitivele conectate și conectate în rețea și luați măsuri de precauție pentru a garanta că niciunul dintre ele nu este infectat.
2. Identificați ransomware-ul.
Când ransomware-ul solicită bani, de obicei se identifică. Știind cu ce ai de-a face te poate ajuta să înțelegi:
- Tipul de ransomware
- Cum se răspândește
- Ce tip de date criptează
- Ce opțiuni de eliminare aveți
- Odată ce știți tipul, vă puteți da seama ce să faceți în continuare.
3. Raportați atacul.
Raportând ransomware-ul autorităților, veți face tuturor un serviciu. Indiferent de rezultat, Centrul de reclamații privind criminalitatea pe internet la nivel guvernamental (indiferent de țară) încurajează victimele ransomware-ului să raporteze atacurile lor.
Raportarea permite
autorităților de aplicare a legii să dobândească o mai bună
cunoaștere a amenințării, oferă soluții pentru investigațiile
ransomware și contribuie cu informații esențiale la cazurile
în curs de desfășurare. Cunoașterea mai multor informații
despre victime și experiența lor ransomware poate ajuta FBI-ul
să stabilească cine se află în spatele atacurilor și cum
identifică sau vizează victimele.
Important de reținut: Mulți
atacatori ransomware din ultima perioadă (2021) au început să
amenințe victimele că vor lua măsuri (divulgarea datelor
scurse, etc) dacă acestea raportează atacul autorităților. Ei
bine, ei nu au de unde să știe că ați raportat incidentul și
autoritățile nu au nici un interes să divulge astfel de
informații. Decide-ți și singuri de ce trebuie raportat orice
incident. Mai mult, apar din ce în ce mai multe legi naționale
care vă obligă să faceți astfel de raportări.
4. Evaluați-vă opțiunile.
Când sunteți infectat cu ransomware, aveți următoarele opțiuni:
- Acoperiți costul răscumpărării (cu maximă posibilitate să nu vă puteți recupera datele)
- Vedeți dacă este posibil să scăpați de malware (ransomware)
- Ștergeți complet sistemul (sistemul) și începeți peste cu instalarea ultimului backup
Repet, plata răscumpărării este de obicei considerată a fi o alegere proastă, deoarece favorizează răspândirea ransomware-ului suplimentar, iar deblocarea fișierelor criptate este adesea nereușită.
5. Restaurați sistemul.
Puteți încerca fie să eradicați malware-ul de pe dispozitive, fie să le ștergeți și să le reinstalați din copii de rezervă securizate și din surse proaspete de sistem de operare și aplicații. Cu toate acestea, nu este sigur dacă puteți cu succes și eradica o infecție ransomware, deoarece nu există un decriptor viabil pentru fiecare atac ransomware cunoscut. Cu cât ransomware-ul este mai nou, cu atât este mai sofisticat și cu atât mai puțin timp este pentru a construi un decriptor.
Cea mai fiabilă abordare pentru a vă asigura că malware-ul sau ransomware-ul a fost eradicat dintr-un sistem este să ștergeți toate dispozitivele de stocare și să reinstalați totul de la zero. Ar trebui să formatați hard disk-urile de pe sistemul dvs., pentru a garanta că nu rămân urme ale virusului.
Concluzie
Ransomware-ul este în mod constant în știri, ceea ce duce
la întrebarea: ce este ransomware-ul și de ce este atât de
răspândit?
Diverse agenții de stat și sectorul privat țin evidența atacurilor ransomware și a tacticilor conexe din întreaga lume, dar actorii rău intenționați își schimbă și își dezvoltă strategiile de ransomware tot timpul, ceea ce face dificilă detectarea și blocarea fiecărui atac. Am creat un ghid cuprinzător care va defini ransomware-ul, cum să-l detectezi și ce pași trebuie să faci dacă ai căzut victimă unui atac de virus ransomware.
Când sunteți infectat cu ransomware, aveți următoarele opțiuni:
- Acoperiți costul răscumpărării (cu maximă posibilitate să nu vă puteți recupera datele)
- Vedeți dacă este posibil să scăpați de malware (ransomware)
- Ștergeți complet sistemul (sistemul) și începeți peste cu instalarea ultimului backup
Repet, plata răscumpărării este de obicei considerată a fi o alegere proastă, deoarece favorizează răspândirea ransomware-ului suplimentar, iar deblocarea fișierelor criptate este adesea nereușită.
5. Restaurați sistemul.
Puteți încerca fie să eradicați malware-ul de pe dispozitive, fie să le ștergeți și să le reinstalați din copii de rezervă securizate și din surse proaspete de sistem de operare și aplicații. Cu toate acestea, nu este sigur dacă puteți cu succes și eradica o infecție ransomware, deoarece nu există un decriptor viabil pentru fiecare atac ransomware cunoscut. Cu cât ransomware-ul este mai nou, cu atât este mai sofisticat și cu atât mai puțin timp este pentru a construi un decriptor.
Cea mai fiabilă abordare pentru a vă asigura că malware-ul sau ransomware-ul a fost eradicat dintr-un sistem este să ștergeți toate dispozitivele de stocare și să reinstalați totul de la zero. Ar trebui să formatați hard disk-urile de pe sistemul dvs., pentru a garanta că nu rămân urme ale virusului.
Concluzie
Diverse agenții de stat și sectorul privat țin evidența atacurilor ransomware și a tacticilor conexe din întreaga lume, dar actorii rău intenționați își schimbă și își dezvoltă strategiile de ransomware tot timpul, ceea ce face dificilă detectarea și blocarea fiecărui atac. Am creat un ghid cuprinzător care va defini ransomware-ul, cum să-l detectezi și ce pași trebuie să faci dacă ai căzut victimă unui atac de virus ransomware.
Hackerii își rafinează în
mod constant metodele de livrare a ransomware-ului. Singura
modalitate de a atenua amenințarea reprezentată de
extortioniștii online este să știți cum să recunoașteți
actorii rău intenționați și să urmăriți atenția asupra
evoluției atacurilor ransomware. Din păcate, acest lucru
necesită timp și resurse care ar putea fi necesare pentru a fi
realocate din activități critice pentru afaceri.
Pentru a opri atacurile ransomware care vin prin e-mail, puteți implementa securitatea integrată de e-mail în cloud de ultimă generație, care oferă protecție împotriva celor mai avansate atacuri, inclusiv ransomware, compromiterea e-mailului de afaceri și multe altele. Adăugarea unei soluții deasupra mediului Microsoft sau Google vă va oferi cea mai bună protecție posibilă pentru a preveni programele malware, ransomware-ul și alte atacuri.
Pentru a opri atacurile ransomware care vin prin e-mail, puteți implementa securitatea integrată de e-mail în cloud de ultimă generație, care oferă protecție împotriva celor mai avansate atacuri, inclusiv ransomware, compromiterea e-mailului de afaceri și multe altele. Adăugarea unei soluții deasupra mediului Microsoft sau Google vă va oferi cea mai bună protecție posibilă pentru a preveni programele malware, ransomware-ul și alte atacuri.
Cazurile celebre de
ransomware ale anului 2021.
30.01.2021
Cercetătorii de la UKRI (UK
Research and Innovation) se confruntă cu un incident
ransomware care a impactat două din serviciile sale (ambele
suspendate, cu scurgerea de date a 13.000 utilizatori), una ce
oferea informații pentru subscriberi (UKRO - UK Research
Office din Bruxelles), cealaltă fiind o platformă de review
pentru mai multe părți ale agenției (Consiliul UKRI).
Fiind o agenție
guvernamentală bine finanțată se pare că a fost considerată a
fi considerată de fi un "Big-Game" pentru bandele ransomware
ce vor solicita plată de răscumpărare substanțială.
Surse:
1. Ce
este ransomware? Un ghid cuprinzător pentru atacurile
ransomware. (15 Octombrie 2021)
2. Cercetătorii de la UKRI
(UK Research and Innovation) suferă de un atac ransomware. (link
material original) - 30.01.2021.
Dorin M - Ultima actualizare:
15 Octombrie 2021