Ransomware gali užšifruoti debesies duomenis

Ransomware yra maža kaip smėlio grūdelis, jos yra visur. Ir jie gali užšifruoti daugiau, nei manote. Asmeninių failų sunaikinimas yra didelis nuostolis, tačiau kai Ransomware užpuola jūsų kopijas, šis skausmas dar labiau padidėja.

Yra keletas išpirkos reikalaujančių programų variantų, kurie atakuoja ne tik kietuosius diskus, bet ir kitus sistemos diskus, o debesų įrenginiai taip pat nėra už akių. Taigi, laikas tiksliai peržiūrėti, kokios yra failų atsarginės kopijos ir kur laikomos kopijos.

Ransomware atakuoja visur

Žinome, kad išpirkos reikalaujančios programos ataka gali būti pražūtinga. Išpirkos reikalaujančios programos yra ypatinga kliūtis, nes jos tiksliniai failai yra nuotraukos, muzika, filmai ir visų rūšių dokumentai. Jūsų standžiajame diske yra asmeniniai, darbo ir verslo failai, kurie yra pagrindiniai šifravimo tikslai. Kai užšifruosite, pamatysite išpirkos pranešimą, kuriame reikalaujama sumokėti – dažniausiai sunkiai atsekamu Bitcoin, kad būtų saugiai išleisti jūsų failai.

Ir net tada nėra jokios garantijos, kad gausite šifravimo slaptažodį arba iššifravimo įrankį.

CryptoLocker

CryptoLocker yra šifravimo išpirkos reikalaujančios programinės įrangos variantas , galintis užšifruoti kelis jūsų standžiuosius diskus. Pirmą kartą jis pasirodė 2013 m., išplitęs per užkrėstus el. pašto priedus. Kai CryptoLocker yra įdiegtas kompiuteryje, jis gali nuskaityti standųjį diską ir ieškoti konkretaus failų plėtinių sąrašo. Be to, jis nuskaito visus prie įrenginio prijungtus diskus, nesvarbu, ar tai USB, ar tinklas.

Tinklo diskas su skaitymo / rašymo prieiga bus užšifruotas kaip ir kietasis diskas. Tai iššūkis įmonėms, kuriose darbuotojai pasiekia bendrinamus tinklo aplankus.

Laimei, saugumo tyrinėtojai išleido „CryptoLocker“ aukų duomenų bazės kopiją ir suderino kiekvieną šifravimą. Jie sukūrė „Decrypt CryptoLocker“ portalą, kad padėtų aukoms iššifruoti savo failus.

Evoliucija: CryptoFortress

CryptoLocker pasirodė ir teigė, kad turi 500 000 aukų. Pasak Keith Jarvis iš Dell SecureWorks, CryptoLocker galėjo gauti 30 milijonų dolerių per pirmąsias 100 dienų iš turto prievartavimo operacijos (jei kiekviena auka sumokėtų 300 dolerių išpirką, ji padidėtų iki 150 milijonų dolerių). Tačiau „CryptoLocker“ pašalinimas nereiškia, kad užkertamas kelias tinklo tvarkyklei susieti išpirkos programinę įrangą.

„CryptoFortress“ saugumo tyrinėtojas Kafeinas atrado 2015 m. Jis turi TorrentLocker išvaizdą ir metodą, tačiau vienas iš pagrindinių patobulinimų; jis gali užšifruoti nesusietas tinklo tvarkykles.

Paprastai išpirkos reikalaujančios programos nuskaito susietų tinklo diskų sąrašą, pvz., C:, D:, E: ir tt Tada nuskaito diskus, palygina failų plėtinius ir juos užšifruoja. Užšifruoja atitinkamus failus. Be to, „CryptoFortress“ išvardija visas atviras serverio pranešimų bloko (SMB) tinklo dalis ir užšifruoja viską, ką jie randa.

Locky

Locky yra dar vienas išpirkos reikalaujančių programų variantas, garsėjantis atskirų failų pakeitimu į .locky, taip pat wallet.dat – Bitcoin piniginę. „Locky“ taip pat taikosi į kompiuteriuose esančius failus arba nesusietuose tinklo bendrinamuose objektuose esančius failus, pakeisdami failus. Šis chaosas apsunkina atkūrimo procesą.

Be to, „Locky“ neturi dekoderio.

Ransomware debesyje

Ransomware apeina tinklo ir kompiuterio fizinę atmintį, taip pat peržengia debesų duomenis. Tai svarbus klausimas. Saugykla debesyje dažnai reklamuojama kaip viena iš saugiausių atsarginių kopijų kūrimo parinkčių, todėl jūsų duomenų atsarginės kopijos yra apsaugotos nuo vidinio tinklo bendrinimo, todėl izoliacija nuo aplinkinių pavojų. Deja, išpirkos reikalaujančios programos variantai aplenkė šį saugumą.

Remiantis „RightScale“ ataskaita „State of the Cloud“, 82 % įmonių naudoja kelių debesų strategiją. Tolesnis „Intuit“ atliktas tyrimas („Slideshare ebook“) rodo, kad iki 2020 m. 78 % mažų įmonių naudos debesies funkcijas. Dėl šio radikalaus didelių ir mažų įmonių pokyčio debesies paslaugos yra pagrindinis išpirkos reikalaujančių programų pardavėjų tikslas.

Ransom_Cerber.cad

Kenkėjiškų programų pardavėjai ras būdą, kaip išspręsti šią problemą. Socialinė inžinerija ir sukčiavimas el. paštu yra pagrindiniai įrankiai, kuriuos galima naudoti norint apeiti patikimą saugos kontrolę. „Trend Micro“ saugumo tyrėjai rado specialų išpirkos reikalaujančios programos variantą, pavadintą RANSOM_CERBER.CAD. Jis skirtas „Microsoft 365“, debesų kompiuterijos ir produktyvumo platformų namų ir verslo vartotojams.

Cerber variantas gali užšifruoti 442 failų tipus naudojant AES-265 ir RSA derinį, modifikuoti „Internet Explorer“ zonos nustatymus kompiuteryje, pašalinti šešėlines kopijas, išjungti „Windows“ paleisties taisymą ir nutraukti „Outlook“ programas, „The bat!“, „Thunderbird“ ir „Microsoft Word“.

Be to, ir tai yra kitų išpirkos reikalaujančių programų variantų elgesys, „Cerber“ klausia paveiktos sistemos geografinės padėties. Jei priimančioji sistema yra Nepriklausomų valstybių sandraugos narė (buvusios Sovietų Sąjungos šalys, tokios kaip Rusija, Moldova ir Baltarusija), išpirkos reikalaujančios programos bus automatiškai nutrauktos.

Debesis kaip taršos įrankis

Išpirkos reikalaujanti programa Petya pirmą kartą pasirodė 2016 m. Keli svarbūs dalykai, susiję su šiuo variantu, yra pirma, Petya gali užšifruoti visą asmeninio kompiuterio pagrindinį įkrovos įrašą (MBR), todėl sistema sugenda. žalias vaizdas. Dėl to visa sistema tampa netinkama naudoti. Tada, paleidus iš naujo, vietoj jo buvo rodomas Petya išpirkos kupiūras su kaukolės paveikslėliu ir prašymu sumokėti Bitcoin.

Antra, Petya išplito į kelias sistemas per užkrėstą failą, saugomą Dropbox, apsimetant kaip santrauką. Nuoroda yra užmaskuota kaip išsami programos informacija, kai ji iš tikrųjų nukreipia į savaime išsiskleidžiantį vykdomąjį failą, kad būtų įdiegta išpirkos reikalaujanti programa.

Laimei, anoniminis programuotojas rado būdą, kaip nulaužti Petya šifravimą. Šis metodas gali aptikti šifravimo raktą, reikalingą MBR atrakinti ir užfiksuotiems failams paleisti.

Debesijos paslaugų naudojimas išpirkos reikalaujančioms programoms platinti yra suprantamas. Vartotojai buvo raginami naudoti debesies saugyklos sprendimus atsarginėms duomenų kopijoms kurti, nes tai suteikia papildomą saugumo lygį. Saugumas yra raktas į debesijos paslaugų sėkmę. Tačiau vartotojų pasitikėjimas debesų sauga gali būti išnaudotas blogiems tikslams.

Trumpai tariant

Saugykla debesyje, susietos arba nesusietos tinklo tvarkyklės ir sistemos failai išlieka pažeidžiami išpirkos reikalaujančių programų. Tai nebėra naujiena. Tačiau kenkėjiškų programų platintojai aktyviai nukreipia atsargines failų kopijas, padidindami vartotojų nerimą. Priešingai, reikia imtis papildomų atsargumo priemonių .

Namų ir verslo vartotojai turėtų kurti atsargines svarbių failų kopijas išimamuose standžiuosiuose diskuose. Imtis veiksmų dabar – tai veiksmas, kuris padės atkurti sistemą po nepageidaujamos išpirkos programinės įrangos užkrėtimo iš nepatikimo šaltinio.