Advertentie

Ransomware is regelmatig hinderlijk. Een ransomware-infectie gijzelt uw computer en vraagt ​​betaling voor vrijgave. In sommige gevallen worden uw bestanden niet beveiligd door een betaling. Persoonlijke foto's, muziek, films, werk en meer worden vernietigd. Het aantal besmettingen met ransomware blijft stijgen - helaas we hebben de piek nog steeds niet bereikt Ransomware-as-a-Service brengt iedereen chaosRansomware evolueert van de oorsprong als het instrument van criminelen en kwaadwillenden naar een zorgwekkende service-industrie, waarin iedereen zich kan abonneren op een ransomware-service en gebruikers zoals jij en ik kan targeten. Lees verder - en de complexiteit neemt toe.

Er zijn opmerkelijke uitzonderingen op deze regel. In sommige gevallen beveiliging onderzoekers hebben de versleuteling van ransomware gekraakt Versla oplichters met deze ransomware-decoderingstoolsAls u bent geïnfecteerd door ransomware, helpen deze gratis decoderingstools u om uw verloren bestanden te ontgrendelen en herstellen. Wacht geen minuut langer! Lees verder

, waardoor ze dat kunnen maak een begeerd decoderingstool 5 sites en apps om ransomware te verslaan en jezelf te beschermenBent u tot nu toe geconfronteerd met een ransomware-aanval, waarbij sommige van uw bestanden niet langer toegankelijk zijn? Hier zijn enkele tools die u kunt gebruiken om deze problemen te voorkomen of op te lossen. Lees verder . Deze gebeurtenissen zijn zeldzaam en komen meestal voor wanneer een kwaadaardig botnet wordt verwijderd. Maar niet alle ransomware is zo complex als we denken.

De anatomie van een aanval

In tegenstelling tot sommige veelvoorkomende malwarevarianten, probeert ransomware zo lang mogelijk verborgen te blijven. Dit is om tijd te geven om uw persoonlijke bestanden te versleutelen. Ransomware is ontworpen om de maximale hoeveelheid systeembronnen beschikbaar te houden voor de gebruiker, om geen alarm te slaan. Bijgevolg is voor veel gebruikers de eerste indicatie van een ransomware-infectie een bericht na codering dat uitlegt wat er is gebeurd.

Vergeleken met andere malware Virussen, spyware, malware, enz. Uitgelegd: online bedreigingen begrijpenWanneer je begint na te denken over alle dingen die mis kunnen gaan tijdens het surfen op internet, begint het web er uit te zien als een behoorlijk enge plek. Lees verder , is het infectieproces van ransomware vrij voorspelbaar. De gebruiker zal een geïnfecteerd bestand downloaden: dit bevat de payload van ransomware. Wanneer het geïnfecteerde bestand wordt uitgevoerd, lijkt er niets onmiddellijk te gebeuren (afhankelijk van het type infectie). De gebruiker weet niet dat ransomware zijn persoonlijke bestanden begint te versleutelen.

Daarnaast heeft een ransomware-aanval verschillende andere duidelijke gedragspatronen:

  • Duidelijke opmerking over ransomware.
  • Gegevensoverdracht op de achtergrond tussen host- en controleservers.
  • De entropie van bestanden verandert.

Bestand Entropie

Bestandsentropie kan worden gebruikt om bestanden te identificeren die zijn versleuteld met ransomware. Schrijven voor het Internet Storm Center, Rob VandenBrink schetst kort bestandsentropie en ransomware:

In de IT-industrie verwijst de entropie van een bestand naar een specifieke willekeurigheidsmaatregel genaamd 'Shannon Entropy', genoemd naar Claude Shannon. Deze waarde is in wezen een maat voor de voorspelbaarheid van een specifiek teken in het bestand, gebaseerd op voorgaande tekens (volledige details en wiskunde hier). Met andere woorden, het is een maat voor de "willekeurigheid" van de gegevens in een bestand - gemeten in een schaal van 1 tot 8, waar typische tekstbestanden een lage waarde hebben en gecodeerde of gecomprimeerde bestanden een hoge meten.

Ik zou willen voorstellen het originele artikel te lezen, omdat het erg interessant is.

Je kunt ransomware niet oplossen met een fraai entropie-algoritme dat je vindt in Google ;-) Het probleem is iets complexer dan dat.

- Het mach-monster (@osxreverser) 20 april 2016

Verschilt het van "gewone" malware?

Ransomware en malware hebben een gemeenschappelijk doel: verborgen blijven. De gebruiker behoudt de kans om de infectie te bestrijden als deze niet lang wordt opgemerkt. Het toverwoord is "encryptie". Ransomware neemt zijn plaats in vanwege het gebruik van versleuteling, terwijl versleuteling al heel lang in malware wordt gebruikt.

Versleuteling helpt malware onder de radar van antivirusprogramma's door de handtekeningdetectie te verwarren. In plaats van een herkenbare reeks tekens te zien die een verdedigingsbarrière zouden waarschuwen, glipt de infectie onopgemerkt voorbij. Hoewel antivirussuites steeds beter worden in het opmerken van deze strings - algemeen bekend als hashes - het is voor veel malware-ontwikkelaars triviaal om te werken.

Algemene verduisteringsmethoden

Hier zijn een paar meer gebruikelijke methoden voor verduistering:

  • Detectie - Veel malwarevarianten kunnen detecteren of ze in een gevirtualiseerde omgeving worden gebruikt. Hierdoor kan de malware de aandacht van beveiligingsonderzoekers ontwijken door simpelweg te weigeren uit te voeren of uit te pakken. Dit stopt op zijn beurt het maken van een up-to-date beveiligingshandtekening.
  • Timing - De beste antivirussuites zijn constant alert en controleren op een nieuwe bedreiging. Helaas kunnen algemene antivirusprogramma's niet altijd alle aspecten van uw systeem beschermen. Sommige malware wordt bijvoorbeeld alleen ingezet na een herstart van het systeem en ontsnapt aan (en wordt waarschijnlijk uitgeschakeld in het proces) antivirusbewerkingen.
  • Communicatie - Malware zal voor instructies naar zijn command and control (C&C) server bellen. Dit geldt niet voor alle malware. Wanneer ze dat wel doen, kan een antivirusprogramma specifieke IP-adressen herkennen waarvan bekend is dat ze C & C-servers hosten en proberen communicatie te voorkomen. In dit geval roteren malware-ontwikkelaars eenvoudig het C & C-serveradres, waardoor detectie wordt vermeden.
  • Valse operatie - Een slim vervaardigd nepprogramma is misschien wel een van de meest voorkomende meldingen van een malware-infectie. Onwetende gebruikers gaan ervan uit dat dit een normaal onderdeel is van hun besturingssysteem (meestal Windows) en volgen de instructies op het scherm vrolijk op. Deze zijn bijzonder gevaarlijk voor ongeschoolde pc-gebruikers en kunnen, hoewel ze fungeren als een vriendelijke front-end, een groot aantal kwaadaardige entiteiten toegang geven tot een systeem.

Deze lijst is niet uitputtend. Het behandelt echter enkele van de meest voorkomende methoden die malware gebruikt om verborgen te blijven op uw pc.

Is Ransomware eenvoudig?

Simpel is misschien het verkeerde woord. Ransomware is anders. Een ransomwarevariant gebruikt encryptie uitgebreider dan zijn tegenhangers, maar ook op een andere manier. De acties van een ransomware-infectie zijn wat het opmerkelijk maakt, evenals het creëren van een aura: ransomware is iets om bang voor te zijn.

Wanneer #ransomware zal schalen en raken #IoT en #Bitcoin, is het te laat om AL uw IT-gegevens te fragmenteren. Doe het nu alstublieft. #Hack

- Maxime Kozminski (@MaxKozminski) 20 februari 2017

Ransomware gebruikt enigszins nieuwe functies, zoals:

  • Versleutelen van grote hoeveelheden bestanden.
  • Schaduwkopieën verwijderen waarmee gebruikers normaal gesproken een back-up kunnen herstellen.
  • Coderingssleutels maken en opslaan op externe C & C-servers.
  • Een losgeld eisen, meestal in niet-traceerbare Bitcoin.

Terwijl de traditionele malware "slechts" uw gebruikersgegevens en wachtwoorden steelt, heeft ransomware rechtstreeks invloed op u en verstoort uw directe computeromgeving. Ook is de nasleep erg visueel.

Ransomware Tactics: Master File Table

'Wow!' Van Ransomware factor komt zeker van het gebruik van encryptie. Maar is de verfijning alles wat het lijkt? Engin Kirda, medeoprichter en hoofdarchitect bij Lastline Labs, denkt van niet. Hij en zijn team (met behulp van onderzoek uitgevoerd door Amin Kharraz, een van de promovendi van Kirda) voltooide een enorme ransomwarestudie en analyseerde 1359 monsters van 15 ransomwarefamilies. Hun analyse onderzocht de verwijderingsmechanismen en vond enkele interessante resultaten.

Wat zijn de verwijderingsmechanismen? Ongeveer 36 procent van de vijf meest voorkomende ransomwarefamilies in de dataset was het verwijderen van bestanden. Als je niet had betaald, werden de bestanden daadwerkelijk verwijderd. Het grootste deel van de verwijdering was in feite vrij eenvoudig.

Hoe zou een professional dit doen? Ze zouden eigenlijk proberen de schijf te wissen, zodat het moeilijk is om de gegevens te herstellen. Je zou over de schijf schrijven, je zou dat bestand van de schijf wissen. Maar de meesten waren natuurlijk lui en ze werkten direct aan de Master File Table-vermeldingen en markeerden dingen als verwijderd, maar de gegevens bleven nog steeds op de schijf staan.

Vervolgens konden die verwijderde gegevens worden opgehaald en in veel gevallen volledig worden hersteld.

Typen ransomware die in studie zijn gebruikt

Ransomware Tactics: Desktop Environment

Een ander klassiek gedrag van ransomware is het vergrendelen van de desktop. Dit type aanval is aanwezig in meer basale varianten. In plaats van daadwerkelijk door te gaan met het versleutelen en verwijderen van bestanden, vergrendelt de ransomware de desktop, waardoor de gebruiker van de machine wordt gedwongen. De meeste gebruikers beschouwen dit als het feit dat hun bestanden verdwenen zijn (gecodeerd of volledig verwijderd) en eenvoudigweg niet kunnen worden hersteld.

Ransomware-tactieken: gedwongen berichten

Ransomware-infecties tonen berucht hun losgeldbriefje. Het vereist meestal betaling van de gebruiker voor het veilig retourneren van hun bestanden. Daarnaast sturen ransomware-ontwikkelaars gebruikers naar specifieke webpagina's terwijl ze bepaalde systeemfuncties uitschakelen, zodat ze de pagina / afbeelding niet kunnen verwijderen. Dit is vergelijkbaar met een vergrendelde desktopomgeving. Dit betekent niet automatisch dat de bestanden van de gebruiker zijn versleuteld of verwijderd.

Denk na voordat u betaalt

Een ransomware-infectie kan verwoestend zijn. Dit is ongetwijfeld. Als je wordt geraakt door ransomware, betekent dit niet automatisch dat je gegevens voor altijd verdwenen zijn. Ransomware-ontwikkelaars zijn niet allemaal geweldige programmeurs. Als er een gemakkelijke manier is om onmiddellijk financieel gewin te behalen, zal het worden genomen. Dit, in de veilige wetenschap dat sommige gebruikers betalen 5 redenen waarom u geen ransomware-oplichters moet betalenRansomware is eng en u wilt er niet door geraakt worden, maar zelfs als u dat wel doet, zijn er dwingende redenen waarom u dit losgeld NIET zou moeten betalen! Lees verder vanwege de directe en directe dreiging. Het is volkomen begrijpelijk.

De beste methoden voor het verminderen van ransomware blijven: maak regelmatig een back-up van uw bestanden naar een niet-netwerkstation, bewaar uw antivirus suite en internetbrowsers bijgewerkt, kijk uit voor phishing-e-mails en wees verstandig bij het downloaden van bestanden van de internet.

Beeldcredits: andras_csontos via Shutterstock.com

Gavin is Senior Writer voor MUO. Hij is ook de redacteur en SEO-manager voor MakeUseOf's crypto-gerichte zustersite, Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij houdt van veel thee.