Ransomware može šifrirati podatke u oblaku

Ransomware je malen poput zrnca pijeska, posvuda ga ima. I mogu šifrirati više nego što mislite. Uništiti vaše osobne datoteke veliki je gubitak, ali kada Ransomware napadne vaše kopije, ta se bol još više povećava.

Postoji nekoliko varijanti ransomwarea koji napadaju ne samo tvrde diskove, već i druge sistemske diskove, a ni diskovi u oblaku nisu izvan njihovog vidokruga. Dakle, vrijeme je da pregledate što su točno sigurnosne kopije datoteka, kao i gdje se kopije čuvaju.

Ransomware napada posvuda

Znamo da napad ransomwarea može biti razoran. Ransomware je posebna prepreka jer su njegove ciljne datoteke slike, glazba, filmovi i dokumenti svih vrsta. Vaš tvrdi disk sadrži osobne, poslovne i poslovne datoteke koje su glavne mete za šifriranje. Nakon šifriranja, vidjet ćete poruku o otkupnini koja zahtijeva plaćanje - obično u bitcoinima kojima je teško ući u trag - za sigurno objavljivanje vaših datoteka.

Čak ni tada nema jamstva da ćete dobiti lozinku za šifriranje ili alat za dešifriranje.

CryptoLocker

CryptoLocker je varijanta enkripcijskog ransomwarea koji može šifrirati više vaših tvrdih diskova. Prvi put se pojavio 2013., šireći se putem zaraženih privitaka e-pošte. Kada je CryptoLocker instaliran na računalo, može skenirati tvrdi disk u potrazi za određenim popisom ekstenzija datoteka. Nadalje, skenira sve pogone spojene na stroj, bilo USB ili mrežni.

Mrežni pogon s pristupom za čitanje/pisanje bit će šifriran baš kao i tvrdi disk. To je izazov za tvrtke u kojima zaposlenici pristupaju dijeljenim mrežnim mapama.

Srećom, sigurnosni istraživači objavili su kopiju CryptoLockerove baze podataka žrtava i usporedili svaku enkripciju. Stvorili su portal Decrypt CryptoLocker kako bi pomogli žrtvama da dekriptiraju svoje datoteke.

Evolucija: CryptoFortress

Pojavio se CryptoLocker i tvrdio da ima 500.000 žrtava. Prema Keithu Jarvisu iz Dell SecureWorksa, CryptoLocker je možda dobio 30 milijuna dolara u prvih 100 dana od operacije iznude (popeo bi se na 150 milijuna dolara ako bi svaka žrtva platila 300 dolara otkupnine). Međutim, uklanjanje CryptoLockera nije početak sprječavanja ransomwarea za mapiranje mrežnih upravljačkih programa.

CryptoFortress je 2015. otkrio sigurnosni istraživač Kafein. Ima izgled i pristup TorrentLockeru, ali jedan od ključnih napredaka; može šifrirati nemapirane mrežne upravljačke programe.

Obično ransomware dohvaća popis mapiranih mrežnih pogona, na primjer C:, D:, E:, itd. Zatim skenira pogone, uspoređuje ekstenzije datoteka i zatim ih šifrira. Enkriptirajte odgovarajuće datoteke. Dodatno, CryptoFortress nabraja sve otvorene mrežne dijeljene blokove poruka poslužitelja (SMB) i šifrira sve što pronađu.

Zaključano

Locky je još jedna varijanta ransomwarea, poznata po mijenjanju pojedinačnih datoteka u .locky, kao i wallet.dat – novčanik Bitcoina. Locky također cilja datoteke na računalima ili datoteke na nemapiranim mrežnim dijeljenjima, mijenjajući datoteke u procesu. Ovaj kaos otežava proces oporavka.

Nadalje, Locky nema dekoder.

Ransomware u oblaku

Ransomware zaobilazi mrežu i fizičku memoriju računala, a također nadilazi podatke u oblaku. Ovo je važno pitanje. Pohrana u oblaku često se reklamira kao jedna od najsigurnijih opcija za sigurnosno kopiranje, čuvajući sigurnosne kopije podataka dalje od internih mrežnih dijeljenja, stvarajući izolaciju od okolnih opasnosti. No, nažalost, varijante ransomwarea zaobišle ​​su ovu sigurnost.

Prema RightScaleovom izvješću o stanju oblaka, 82% tvrtki koristi strategiju s više oblaka. A daljnja studija (Slideshare ebook) koju je proveo Intuit pokazuje da će do 2020. 78% malih poduzeća koristiti značajke oblaka. Ova radikalna promjena velikih i malih tvrtki čini usluge u oblaku glavnom metom dobavljača ransomwarea.

Ransom_Cerber.cad

Prodavači zlonamjernog softvera pronaći će način da zaobiđu ovaj problem. Društveni inženjering i krađa identiteta putem e-pošte ključni su alati i mogu se koristiti za zaobilaženje robusnih sigurnosnih kontrola. Sigurnosni istraživači tvrtke Trend Micro pronašli su posebnu varijantu ransomwarea pod nazivom RANSOM_CERBER.CAD. Namijenjen je ciljanim kućnim i poslovnim korisnicima Microsoft 365, računalstva u oblaku i platformi za produktivnost.

Cerber varijanta može šifrirati 442 vrste datoteka koristeći kombinaciju AES-265 i RSA, modificirati Internet Explorer Zone Settings na računalu, ukloniti kopije u sjeni, onemogućiti Windows Startup Repair i prekinuti Outlook programe, The bat!, Thunderbird i Microsoft Word.

Nadalje, a to je ponašanje koje predstavljaju druge varijante ransomwarea, Cerber ispituje geografsku lokaciju zahvaćenog sustava. Ako je sustav domaćin članica Zajednice neovisnih država (bivše zemlje Sovjetskog Saveza kao što su Rusija, Moldavija i Bjelorusija), ransomware će automatski prekinuti rad.

Oblak kao sredstvo kontaminacije

Ransomware Petya se prvi put pojavio 2016. Nekoliko značajnih stvari o ovoj varijanti su prvo, Petya može šifrirati cijeli glavni zapis pokretanja (MBR) osobnog računala, uzrokujući pad sustava zelena slika. To cijeli sustav čini neupotrebljivim. Zatim se, nakon ponovnog pokretanja, umjesto toga prikazala poruka o otkupnini Petya, sa slikom lubanje i zahtjevom za plaćanje u Bitcoinima.

Drugo, Petya se proširio na nekoliko sustava putem zaražene datoteke pohranjene na Dropboxu, maskiranom kao sažetak. Veza je prerušena u pojedinosti o aplikaciji, dok zapravo povezuje na samoraspakirajuću izvršnu datoteku za instaliranje ransomwarea.

Srećom, anonimni programer pronašao je način da razbije Petyinu enkripciju. Ova metoda može otkriti ključ za šifriranje potreban za otključavanje MBR-a i oslobađanje snimljenih datoteka.

Upotreba usluga u oblaku za širenje ransomwarea je razumljiva. Korisnici su ohrabreni da koriste rješenja za pohranu u oblaku za sigurnosno kopiranje podataka jer pružaju dodatni sloj sigurnosti. Sigurnost je ključ uspjeha usluga u oblaku. Ipak, povjerenje korisnika u sigurnost oblaka može se iskoristiti u loše svrhe.

Ukratko

Pohrana u oblaku, mapirani ili nemapirani mrežni upravljački programi i sistemske datoteke ostaju ranjivi na ransomware. Ovo više nije nova stvar. Međutim, distributeri zlonamjernog softvera aktivno ciljaju sigurnosne kopije datoteka povećavajući razinu tjeskobe za korisnike. Naprotiv, moraju se poduzeti dodatne mjere opreza.

Kućni i poslovni korisnici trebali bi sigurnosno kopirati važne datoteke na prijenosne tvrde diskove. Poduzimanje radnji sada je radnja koja će vam pomoći da oporavite svoj sustav nakon neželjene infekcije ransomwareom iz nepouzdanog izvora.