Епидемията на Ransomware и какво можете да направите

Е

Какво е Ransomware

Ransomware днес е епидемия, базирана на коварен злонамерен софтуер, който киберпрестъпниците използват, за да изнудват пари от вас, като държат компютъра или компютърните файлове за откуп, изисквайки плащане от вас, за да ги върнете. За съжаление Ransomware бързо се превръща във все по-популярен начин за авторите на зловреден софтуер да изнудват пари както от компании, така и от потребители. Ако тази тенденция бъде разрешена да продължи, Ransomware скоро ще засегне IoT устройства, автомобили и ICS и SCADA системи, както и само компютърни крайни точки. Има няколко начина, по които Ransomware може да влезе в нечий компютър, но повечето са резултат от тактика за социално инженерство или използване на софтуерни уязвимости, за да се инсталира безшумно на машината на жертвата.

От миналата година и дори преди това авторите на зловреден софтуер изпращат вълни от нежелана поща, насочени към различни групи. Няма географско ограничение за това кой може да бъде засегнат и докато първоначално имейлите са били насочени към отделни крайни потребители, след това към малък и среден бизнес, сега предприятието е зрялата цел.

В допълнение към фишинга и фишинг социалното инженерство, Ransomware се разпространява и чрез портове за отдалечен работен плот. Рансъмуерът също така засяга файлове, които са достъпни на картографирани устройства, включително външни твърди дискове, като USB палечни устройства, външни устройства или папки в мрежата или в облака. Ако имате папка OneDrive на вашия компютър, тези файлове могат да бъдат засегнати и след това синхронизирани с версиите в облака.

Никой не може да каже с точна сигурност колко злонамерен софтуер от този тип е в природата. Тъй като голяма част от него съществува в неотворени имейли и много инфекции не се съобщават, е трудно да се каже.

Въздействието върху засегнатите е, че файловете с данни са шифровани и крайният потребител е принуден да реши, въз основа на часовника, който тиктака, дали да плати откупа или да загуби данните завинаги. Засегнатите файлове обикновено са популярни формати с данни като Office файлове, музика, PDF и други популярни файлове с данни. По-сложните щамове премахват “сенчести копия” на компютъра, които иначе биха позволили на потребителя да се върне към по-ранен момент от времето. Освен това се унищожават компютърни „точки за възстановяване“, както и архивни файлове, които са достъпни. Начинът, по който процесът се управлява от престъпника, е, че имат сървър за управление и управление, който държи частния ключ за файловете на потребителя. Те прилагат таймер за унищожаване на частния ключ, а изискванията и таймерът за обратно отброяване се показват на екрана на потребителя с предупреждение, че частният ключ ще бъде унищожен в края на отброяването, освен ако откупът не бъде платен. Самите файлове продължават да съществуват на компютъра, но те са криптирани, недостъпни дори с груба сила.

В много случаи крайният потребител просто плаща откупа, като не вижда изход. ФБР препоръчва да не се плаща откупа. Като плащате откупа, вие финансирате по-нататъшна дейност от този вид и няма гаранция, че ще получите обратно някой от вашите файлове. В допълнение, индустрията за киберсигурност се подобрява в работата с Ransomware. Най-малко един основен доставчик на анти-зловреден софтуер пусна през последната седмица продукт за „декриптиране“. Остава да разберем обаче колко ефективен ще бъде този инструмент.

Какво трябва да направите сега

Има много перспективи, които трябва да бъдат взети предвид. Индивидът иска своите файлове обратно. На ниво компания те искат файловете обратно и активите да бъдат защитени. На ниво предприятие те искат всичко изброено по-горе и трябва да могат да демонстрират изпълнението на надлежна проверка, за да предотвратят другите да се заразят от каквото и да е било внедрено или изпратено от компанията, за да ги предпази от масовите деликти, които неизбежно ще ударят в не толкова далечно бъдеще.

Най-общо казано, веднъж кодирани, едва ли самите файлове могат да бъдат некриптирани. Следователно най-добрата тактика е превенцията.

Архивирайте данните си

Най-доброто нещо, което можете да направите, е да извършвате редовно архивиране на офлайн носители, като запазвате множество версии на файловете. С офлайн медиите, като услуга за архивиране, касета или друг носител, който позволява ежемесечно архивиране, винаги можете да се върнете към стари версии на файлове. Също така, уверете се, че архивирате всички файлове с данни – някои може да са на USB устройства или картографирани устройства или USB ключове. Докато зловредният софтуер има достъп до файловете с достъп на ниво запис, те могат да бъдат криптирани и държани за откуп.

Образование и осведоменост

Критичен компонент в процеса на превенция на Ransomware инфекцията е да информирате крайните си потребители и персонала за векторите на атака, по-специално СПАМ, фишинг и копие-фишинг. Почти всички атаки на Ransomware успяват, защото краен потребител щраква върху връзка, която изглежда безобидна, или отваря прикачен файл, който изглежда, че идва от известен човек. Като осведомяват персонала и го обучават за тези рискове, те могат да се превърнат в критична линия за защита срещу тази коварна заплаха.

Показване на скрити разширения на файлове

Обикновено Windows крие известни разширения на файлове. Ако активирате възможността да виждате всички разширения на файлове в имейла и във вашата файлова система, можете по-лесно да откриете подозрителни файлове с код на злонамерен софтуер, маскирани като приятелски документи.

Филтрирайте изпълними файлове в имейл

Ако вашият шлюзов скенер за поща има възможност да филтрира файлове по разширение, може да откажете имейл съобщения, изпратени с прикачени файлове * .exe файлове. Използвайте доверена облачна услуга за изпращане или получаване на * .exe файлове.

Деактивирайте изпълнението на файлове от временни файлови папки

Първо, трябва да позволите скритите файлове и папки да се показват в Explorer, за да можете да видите папките appdata и programdata.

Вашият анти-зловреден софтуер ви позволява да създавате правила, за да предотвратите изпълнението на изпълними файлове от приложенията и локалните папки на вашия профил, както и от папката с програмни данни на компютъра. Изключения могат да бъдат зададени за легитимни програми.

Деактивирайте RDP

Ако е практично да го направите, деактивирайте RDP (протокол за отдалечен работен плот) на узрели цели като сървъри или ги блокирайте от достъп до Интернет, като ги принудите чрез VPN или друг сигурен маршрут. Някои версии на Ransomware се възползват от експлойти, които могат да разположат Ransomware в целевата RDP-активирана система. Има няколко технически статии, които подробно описват как да деактивирате RDP.

Кърпете и актуализирайте всичко

От решаващо значение е да сте в течение с актуализациите на Windows, както и с антивирусните актуализации, за да предотвратите експлойт на Ransomware. Не толкова очевидно е, че е също толкова важно да бъдете в течение на целия софтуер на Adobe и Java. Не забравяйте, че вашата сигурност е толкова добра, колкото и най-слабата ви връзка.

Използвайте слоен подход за защита на крайната точка

Целта на тази статия не е да одобрява някой от крайните продукти пред друг, а по-скоро да препоръча методология, която индустрията бързо възприема. Трябва да разберете, че Ransomware като форма на злонамерен софтуер се захранва от слабата защита на крайната точка. Ако засилите сигурността на крайната точка, Ransomware няма да се разпространява толкова лесно. Доклад, публикуван миналата седмица от Институт за технология на критичната инфраструктура (ICIT) препоръчва слоен подход, фокусиран върху евристичен мониторинг, основан на поведение, за да се предотврати актът на неинтерактивно криптиране на файлове (което прави Ransomware) и в същото време да се изпълни пакет за сигурност или крайна точка анти-зловреден софтуер откриване и спиране на Ransomware. Важно е да се разбере, че и двете са необходими, тъй като докато много антивирусни програми ще открият известни щамове на този гаден троянец, неизвестните щамове с нулев ден ще трябва да бъдат спрени, като разпознаят тяхното поведение на криптиране, смяна на тапети и комуникация през защитната стена към техния център за управление и управление.

Какво трябва да направите, ако смятате, че сте заразени

Незабавно прекъснете връзката с WiFi или корпоративна мрежа. Може да успеете да спрете комуникацията със сървъра за управление и управление, преди да завърши криптирането на вашите файлове. Можете също така да спрете Ransomware на вашия компютър от криптиране на файлове на мрежови устройства.

Използвайте функцията за възстановяване на системата, за да се върнете в състояние, известно като чисто

Ако имате активирано възстановяване на системата на вашата машина с Windows, може да успеете да върнете системата към по-ранна точка за възстановяване. Това ще работи само ако напрежението на Ransomware, което имате, все още не е унищожило точките ви за възстановяване.

Стартирайте на стартиращ диск и стартирайте своя антивирусен софтуер

Ако стартирате на диск за зареждане, никоя от услугите в системния регистър няма да може да се стартира, включително агентът Ransomware. Може да можете да използвате вашата антивирусна програма, за да премахнете агента.

Разширените потребители могат да направят повече

Ransomware вгражда изпълними файлове в папката Appdata на вашия профил. Освен това записите в ключовете Run и Runonce в системния регистър автоматично стартират агента Ransomware, когато вашата операционна система се зареди. Разширеният потребител трябва да може

а) Изпълнете задълбочено антивирусно сканиране на крайната точка, за да премахнете инсталатора на Ransomware

б) Стартирайте компютъра в безопасен режим, без да работи Ransomware, или прекратете услугата.

в) Изтрийте програмите за криптиране

г) Възстановяване на криптирани файлове от офлайн архиви.

д) Инсталирайте слоеста защита на крайната точка, включително поведенческа защита и защита, базирана на подпис, за да предотвратите повторно заразяване.

About the author

By user

Recent Posts

Recent Comments

Archives

Categories

Meta