Ransomware kan kryptere cloud-data

Ransomware er så lille som et sandkorn, det er overalt. Og de kan kryptere mere, end du tror. At få dine personlige filer ødelagt er et stort tab, men når Ransomware angriber dine kopier, øges denne smerte endnu mere.

Der er flere varianter af ransomware, der ikke kun angriber harddiske, men også andre systemdrev, og cloud-drev er heller ikke ude af syne. Så det er på tide, at du gennemgår præcis, hvad filsikkerhedskopier er, samt hvor kopierne opbevares.

Ransomware-angreb overalt

Vi ved, at et ransomware-angreb kan være ødelæggende. Ransomware er en særlig hindring, fordi dens målfiler er billeder, musik, film og dokumenter af enhver art. Din harddisk indeholder personlige, arbejds- og forretningsfiler, der er primære mål for kryptering. Når du først er krypteret, vil du se en løsesum-besked, der kræver betaling - normalt i svært sporbare Bitcoin - for sikker frigivelse af dine filer.

Og selv da er der ingen garanti for, at du modtager krypteringsadgangskoden eller dekrypteringsværktøjet.

CryptoLocker

CryptoLocker er en variant af kryptering ransomware, der kan kryptere flere af dine harddiske. Det dukkede første gang op i 2013 og spredte sig gennem inficerede vedhæftede filer. Når CryptoLocker er installeret på en computer, kan den scanne harddisken for en specifik liste over filtypenavne. Desuden scanner den alle drev, der er tilsluttet maskinen, hvad enten det er USB eller netværk.

Et netværksdrev med læse-/skriveadgang vil blive krypteret ligesom en harddisk. Det er en udfordring for virksomheder, hvor medarbejdere får adgang til delte netværksmapper.

Heldigvis har sikkerhedsforskere udgivet en kopi af CryptoLockers offerdatabase og matchet hver kryptering. De oprettede Decrypt CryptoLocker-portalen for at hjælpe ofre med at dekryptere deres filer.

Evolution: CryptoFortress

CryptoLocker dukkede op og hævdede at have 500.000 ofre. Ifølge Keith Jarvis fra Dell SecureWorks kan CryptoLocker have modtaget 30 millioner dollars inden for de første 100 dage fra afpresningsoperationen (det ville gå op til 150 millioner dollars, hvis hvert offer betalte 300 dollars i løsesum). Fjernelse af CryptoLocker er dog ikke begyndelsen på at forhindre netværksdrivermapping ransomware.

CryptoFortress blev opdaget i 2015 af sikkerhedsforsker Kafein. Det har udseendet og tilgangen til TorrentLocker, men en af ​​de vigtigste fremskridt; det kan kryptere ikke-kortlagte netværksdrivere.

Typisk henter ransomware en liste over tilknyttede netværksdrev for eksempel C:, D:, E: osv. Den scanner derefter drevene, sammenligner filtypenavne og krypterer dem og krypterer de tilsvarende filer. Derudover opregner CryptoFortress alle åbne Server Message Block (SMB) netværksshares og krypterer alle de finder.

Locky

Locky er en anden variant af ransomware, berømt for at ændre individuelle filer til .locky, samt wallet.dat - Bitcoins tegnebog. Locky målretter også filer på computere eller filer på ikke-tilknyttede netværksshares og ændrer filer i processen. Dette kaos gør genopretningsprocessen vanskeligere.

Desuden har Locky ikke en dekoder.

Ransomware på skyen

Ransomware omgår netværkets og computerens fysiske hukommelse og overskrider også skydata. Dette er et vigtigt spørgsmål. Cloud-lagring bliver ofte udråbt som en af ​​de sikreste sikkerhedskopieringsmuligheder, der holder dine data sikkerhedskopieret væk fra interne netværksdele, hvilket skaber isolation fra omgivende farer. Men desværre har ransomware-varianter omgået denne sikkerhed.

Ifølge RightScales State of the Cloud-rapport bruger 82% af virksomhederne en multi-cloud-strategi. Og en yderligere undersøgelse (Slideshare ebook) af Intuit viser, at i 2020 vil 78 % af små virksomheder bruge cloud-funktioner. Dette radikale skift af store og små virksomheder gør cloud-tjenester til et primært mål for ransomware-leverandører.

Ransom_Cerber.cad

Malware-leverandører vil finde en vej rundt om dette problem. Social engineering og e-mail-phishing er nøgleværktøjer, og de kan bruges til at omgå robuste sikkerhedskontroller. Trend Micro-sikkerhedsforskere fandt en speciel ransomware-variant kaldet RANSOM_CERBER.CAD. Det er beregnet til hjemme- og erhvervsbrugere af Microsoft 365, cloud computing og produktivitetsplatforme.

Cerber-varianten kan kryptere 442 filtyper ved hjælp af en kombination af AES-265 og RSA, ændre Internet Explorer Zone-indstillinger på computeren, fjerne skyggekopier, deaktivere Windows Startup Repair og afslutte Outlook-programmer, The bat!, Thunderbird og Microsoft Word.

Ydermere, og dette er adfærd præsenteret af andre ransomware-varianter, forespørger Cerber den geografiske placering af det berørte system. Hvis værtssystemet er medlem af Commonwealth of Uafhængige Stater (tidligere Sovjetunionens lande som Rusland, Moldova og Hviderusland), vil ransomware ophøre automatisk.

Skyen som et forureningsværktøj

Ransomware Petya dukkede første gang op i 2016. Et par bemærkelsesværdige ting ved denne variant er først, Petya kan kryptere hele Master Boot Record (MBR) på en personlig computer, hvilket får systemet til at gå ned. Dette gør hele systemet ubrugeligt. Så, ved genstart, blev Petya løsesumsedlen vist i stedet med et billede af et kranium og en anmodning om betaling i Bitcoin.

For det andet spredte Petya sig til flere systemer gennem en inficeret fil, der var gemt på Dropbox, forklædt som et resumé. Linket er forklædt som applikationsdetaljer, når det rent faktisk linker til en selvudpakkende eksekverbar fil for at installere ransomwaren.

Heldigvis fandt en anonym programmør en måde at knække Petyas kryptering på. Denne metode er i stand til at detektere den krypteringsnøgle, der er nødvendig for at låse MBR'en op og frigive opfangede filer.

Det er forståeligt at bruge cloud-tjenester til at sprede ransomware. Brugere er blevet opfordret til at bruge cloud storage-løsninger til at sikkerhedskopiere data, fordi det giver et ekstra lag af sikkerhed. Sikkerhed er nøglen til succes for cloud-tjenester. Alligevel kan brugernes tillid til cloud-sikkerhed udnyttes til dårlige formål.

Kort sagt

Cloud-lagring, kortlagte eller ikke-kortlagte netværksdrivere og systemfiler forbliver sårbare over for ransomware. Dette er ikke længere noget nyt. Men malware-distributører målretter aktivt mod backup-filer, hvilket øger niveauet af angst for brugerne. Tværtimod skal der tages yderligere forholdsregler .

Hjemme- og erhvervsbrugere bør sikkerhedskopiere vigtige filer til flytbare harddiske. At handle nu er den handling, der vil hjælpe dig med at gendanne dit system efter en uønsket ransomware-infektion fra en kilde, der ikke er tillid til.