Ransomware voi salata pilvitietoja

Ransomware on pieni kuin hiekanjyvä, sitä on kaikkialla. Ja ne voivat salata enemmän kuin luulet. Henkilökohtaisten tiedostojesi tuhoaminen on suuri menetys, mutta kun Ransomware hyökkää kopioisi, tämä kipu lisääntyy entisestään.

Kiristysohjelmista on useita muunnelmia, jotka hyökkäävät kiintolevyjen lisäksi myös muiden järjestelmäasemien kimppuun, eivätkä pilviasemat ole myöskään poissa niiden näkymistä. Joten sinun on aika tarkistaa tarkalleen, mitä tiedostojen varmuuskopiot ovat ja missä kopiot säilytetään.

Ransomware hyökkää kaikkialla

Tiedämme, että kiristysohjelmahyökkäys voi olla tuhoisa. Ransomware on erityinen este, koska sen kohdetiedostot ovat kuvia, musiikkia, elokuvia ja kaikenlaisia ​​asiakirjoja. Kiintolevylläsi on henkilökohtaisia, työ- ja yritystiedostoja, jotka ovat salauksen ensisijaisia ​​kohteita. Kun se on salattu, näet lunnausviestin, jossa vaaditaan maksua - yleensä vaikeasti jäljitettävänä Bitcoinina - tiedostojesi turvallisesta vapauttamisesta.

Ja silloinkaan ei ole takeita siitä, että saat salaussalasanan tai salauksenpurkutyökalun.

CryptoLocker

CryptoLocker on muunnos salauslunnasohjelmasta, joka voi salata useita kiintolevyjäsi. Se ilmestyi ensimmäisen kerran vuonna 2013 ja levisi tartunnan saaneiden sähköpostiliitteiden kautta. Kun CryptoLocker on asennettu tietokoneeseen, se voi skannata kiintolevyltä tietyn luettelon tiedostopääteistä. Lisäksi se skannaa kaikki laitteeseen liitetyt asemat, olipa kyse sitten USB- tai verkkoasemasta.

Verkkoasema, jolla on luku-/kirjoitusoikeus, salataan aivan kuten kiintolevy. Se on haaste yrityksille, joissa työntekijät käyttävät jaettuja verkkokansioita.

Onneksi tietoturvatutkijat ovat julkaisseet kopion CryptoLockerin uhritietokannasta ja sovittaneet jokaisen salauksen. He loivat Decrypt CryptoLocker -portaalin auttaakseen uhreja purkamaan tiedostonsa salauksen.

Evoluutio: CryptoFortress

CryptoLocker ilmestyi ja väitti saaneensa 500 000 uhria. Dell SecureWorksin Keith Jarvisin mukaan CryptoLocker on saattanut saada 30 miljoonaa dollaria ensimmäisen 100 päivän aikana kiristysoperaatiosta (se nousisi jopa 150 miljoonaan dollariin, jos jokainen uhri maksaisi 300 dollaria lunnaita). CryptoLockerin poistaminen ei kuitenkaan estä verkko-ohjainten kartoittamista kiristysohjelmiin.

Turvatutkija Kafein löysi CryptoFortressin vuonna 2015. Siinä on TorrentLockerin ulkonäkö ja lähestymistapa, mutta se on yksi tärkeimmistä edistysaskeleista; se voi salata yhdistämättömät verkkoohjaimet.

Yleensä ransomware hakee luettelon yhdistetyistä verkkoasemista, esimerkiksi C:, D:, E: jne. Se skannaa sitten asemat, vertaa tiedostopäätteitä ja salaa ne. Salaa vastaavat tiedostot. Lisäksi CryptoFortress luettelee kaikki avoimet SMB (Server Message Block) -verkkoosuudet ja salaa löytämänsä.

Locky

Locky on toinen lunnasohjelmien muunnelma, joka on kuuluisa yksittäisten tiedostojen vaihtamisesta .locky-muotoon, sekä wallet.dat - Bitcoinin lompakko. Locky kohdistaa myös tietokoneissa oleviin tiedostoihin tai yhdistämättömiin verkkoosuuksiin ja muuttaa tiedostoja prosessin aikana. Tämä kaaos vaikeuttaa palautumisprosessia.

Lisäksi Lockylla ei ole dekooderia.

Ransomware pilvessä

Ransomware ohittaa verkon ja tietokoneen fyysisen muistin ja ylittää myös pilvitiedot. Tämä on tärkeä asia. Pilvitallennusta mainostetaan usein yhdeksi turvallisimmista varmuuskopiointivaihtoehdoista, sillä se pitää tietosi varmuuskopioituna poissa sisäisistä verkkojakoista ja eristää ympäröivistä vaaroista. Mutta valitettavasti ransomware-versiot ovat ohittaneet tämän suojauksen.

RightScalen State of the Cloud -raportin mukaan 82 % yrityksistä käyttää monipilvistrategiaa. Ja Intuitin lisätutkimus (Slideshare ebook) osoittaa, että vuoteen 2020 mennessä 78 % pienyrityksistä käyttää pilviominaisuuksia. Tämä suurten ja pienten yritysten radikaali muutos tekee pilvipalveluista ensisijaisen kohteen kiristyshaittaohjelmien toimittajille.

Ransom_Cerber.cad

Haittaohjelmien myyjät löytävät tavan kiertää tämä ongelma. Sosiaalinen manipulointi ja sähköpostin tietojenkalastelu ovat keskeisiä työkaluja, ja niitä voidaan käyttää vankkojen suojaustoimintojen kiertämiseen. Trend Micron tietoturvatutkijat löysivät erityisen ransomware-version nimeltä RANSOM_CERBER.CAD. Se on tarkoitettu Microsoft 365:n, pilvipalvelun ja tuottavuusalustojen koti- ja yrityskäyttäjille.

Cerber-variantti voi salata 442 tiedostotyyppiä AES-265:n ja RSA:n yhdistelmällä, muokata Internet Explorer Zone -asetuksia tietokoneessa, poistaa varjokopioita, poistaa Windowsin käynnistyksen korjauksen käytöstä ja lopettaa Outlook-, The bat!-, Thunderbird- ja Microsoft Word -ohjelmat.

Lisäksi, ja tämä on muiden ransomware-versioiden käyttäytymistä, Cerber kysyy järjestelmän maantieteellistä sijaintia. Jos isäntäjärjestelmä on Itsenäisten valtioiden yhteisön jäsen (entiset Neuvostoliiton maat, kuten Venäjä, Moldova ja Valko-Venäjä), kiristysohjelma päättyy automaattisesti.

Pilvi saastumisen välineenä

Ransomware Petya ilmestyi ensimmäisen kerran vuonna 2016. Muutamia huomionarvoisia asioita tässä versiossa ovat ensinnäkin Petya voi salata koko henkilökohtaisen tietokoneen Master Boot Record (MBR), mikä aiheuttaa järjestelmän kaatumisen. vihreä kuva. Tämä tekee koko järjestelmästä käyttökelvottoman. Sitten uudelleenkäynnistyksen yhteydessä sen sijaan näytettiin Petya lunnaslappu, jossa oli kuva kallosta ja maksupyyntö Bitcoinissa.

Toiseksi Petya levisi useisiin järjestelmiin Dropboxiin tallennetun tartunnan saaneen tiedoston kautta, joka naamioitui yhteenvedoksi. Linkki on naamioitu sovelluksen tiedoiksi, kun se itse asiassa linkittää itsepurkautuvaan suoritettavaan tiedostoon kiristysohjelman asentamiseksi.

Onneksi anonyymi ohjelmoija löysi tavan murtaa Petyan salaus. Tämä menetelmä pystyy havaitsemaan MBR:n lukituksen avaamiseen ja siepattujen tiedostojen vapauttamiseen tarvittavan salausavaimen.

Pilvipalveluiden käyttö kiristysohjelmien levittämiseen on ymmärrettävää. Käyttäjiä on kannustettu käyttämään pilvitallennusratkaisuja tietojen varmuuskopiointiin, koska se tarjoaa ylimääräisen suojauskerroksen. Turvallisuus on avain pilvipalvelujen menestykseen. Silti käyttäjien luottamusta pilviturvallisuuteen voidaan käyttää hyväkseen huonoihin tarkoituksiin.

Lyhyesti

Pilvitallennus, yhdistetyt tai yhdistämättömät verkkoohjaimet ja järjestelmätiedostot ovat edelleen haavoittuvia kiristysohjelmille. Tämä ei ole enää uusi asia. Haittaohjelmien jakelijat kohdistavat kuitenkin aktiivisesti varmuuskopiotiedostoihin, mikä lisää käyttäjien ahdistusta. Päinvastoin , on ryhdyttävä lisävarotoimiin .

Koti- ja yrityskäyttäjien tulee varmuuskopioida tärkeät tiedostot irrotettaville kiintolevyille. Toimiin ryhtyminen nyt on toiminto, joka auttaa sinua palauttamaan järjestelmäsi ei-toivotun kiristysohjelmatartunnan jälkeen, joka on peräisin epäluotetusta lähteestä.