Ransomware var šifrēt mākoņa datus

Ransomware ir tik mazs kā smilšu graudiņš, tas ir visur. Un viņi var šifrēt vairāk, nekā jūs domājat. Jūsu personīgo failu iznīcināšana ir liels zaudējums, taču, kad Ransomware uzbrūk jūsu kopijām, šīs sāpes palielinās vēl vairāk.

Ir vairāki izpirkuma programmatūras varianti, kas uzbrūk ne tikai cietajiem diskiem, bet arī citiem sistēmas diskdziņiem, un arī mākoņdiski nav izslēgti no viņu redzesloka. Tātad, ir pienācis laiks precīzi pārskatīt, kas ir failu dublējumkopijas, kā arī to, kur tiek glabātas kopijas.

Ransomware uzbrūk visur

Mēs zinām, ka izspiedējvīrusa uzbrukums var būt postošs. Ransomware ir īpašs šķērslis, jo tās mērķa faili ir attēli, mūzika, filmas un visu veidu dokumenti. Jūsu cietajā diskā ir personas, darba un biznesa faili, kas ir galvenie šifrēšanas mērķi. Kad tas būs šifrēts, jūs redzēsit izpirkuma ziņojumu, kurā tiks pieprasīts maksājums — parasti grūti izsekojamā Bitcoin — par jūsu failu drošu izlaišanu.

Un pat tad nav garantijas, ka saņemsit šifrēšanas paroli vai atšifrēšanas rīku.

CryptoLocker

CryptoLocker ir šifrēšanas izpirkuma programmatūras variants , kas var šifrēt vairākus jūsu cietos diskus. Pirmo reizi tas parādījās 2013. gadā, izplatoties caur inficētiem e-pasta pielikumiem. Kad CryptoLocker ir instalēts datorā, tas var skenēt cieto disku, lai atrastu noteiktu failu paplašinājumu sarakstu. Turklāt tas skenē visus iekārtai pievienotos diskus neatkarīgi no tā, vai tas ir USB vai tīkls.

Tīkla disks ar lasīšanas/rakstīšanas piekļuvi tiks šifrēts tāpat kā cietais disks. Tas ir izaicinājums uzņēmumiem, kur darbinieki piekļūst koplietotām tīkla mapēm.

Par laimi drošības pētnieki ir izlaiduši CryptoLocker upuru datu bāzes kopiju un saskaņojuši katru šifrēšanu. Viņi izveidoja portālu Decrypt CryptoLocker, lai palīdzētu upuriem atšifrēt savus failus.

Evolūcija: CryptoFortress

Parādījās CryptoLocker un apgalvoja, ka tajā ir 500 000 upuru. Pēc Kīts Džārvisa no Dell SecureWorks domām, CryptoLocker, iespējams, pirmajās 100 dienās no izspiešanas operācijas ir saņēmis 30 miljonus dolāru (ja katrs upuris maksātu 300 dolāru izpirkuma maksu, tas pieaugtu līdz 150 miljoniem dolāru). Tomēr CryptoLocker noņemšana nav sākums tīkla draiveru kartēšanas izspiedējvīrusu novēršanai.

CryptoFortress 2015. gadā atklāja drošības pētnieks Kafeins. Tam ir TorrentLocker izskats un pieeja, taču tas ir viens no galvenajiem sasniegumiem; tas var šifrēt nesaistītus tīkla draiverus.

Parasti izspiedējprogrammatūra izgūst kartēto tīkla disku sarakstu, piemēram, C:, D:, E: utt. Pēc tam tā skenē diskus, salīdzina failu paplašinājumus un pēc tam šifrē tos. Šifrē atbilstošos failus. Turklāt CryptoFortress uzskaita visas atvērtās servera ziņojumu bloka (SMB) tīkla daļas un šifrē visas atrastās.

Locky

Locky ir vēl viens ransomware variants, kas slavens ar atsevišķu failu maiņu uz .locky, kā arī wallet.dat — Bitcoin maku. Locky mērķauditorija tiek atlasīta arī failiem datoros vai failiem nesaistītos tīkla koplietojumos, mainot failus šajā procesā. Šis haoss apgrūtina atveseļošanās procesu.

Turklāt Locky nav dekodera.

Ransomware on the Cloud

Ransomware apiet tīkla un datora fizisko atmiņu, kā arī pārsniedz mākoņa datus. Tas ir svarīgs jautājums. Mākoņkrātuve bieži tiek reklamēta kā viena no drošākajām dublēšanas iespējām, kas nodrošina jūsu datu dublēšanu prom no iekšējā tīkla koplietošanas, radot izolāciju no apkārtējām briesmām. Taču diemžēl izpirkuma programmatūras varianti ir apieti šo drošību.

Saskaņā ar RightScale ziņojumu par mākoņa stāvokli 82% uzņēmumu izmanto vairāku mākoņu stratēģiju. Un papildu pētījums (Slideshare ebook), ko veica Intuit, liecina, ka līdz 2020. gadam 78% mazo uzņēmumu izmantos mākoņa funkcijas. Šīs radikālās izmaiņas, ko veic lieli un mazi uzņēmumi, padara mākoņpakalpojumus par galveno mērķi izpirkuma programmatūras pārdevējiem.

Ransom_Cerber.cad

Ļaunprātīgas programmatūras pārdevēji atradīs veidu, kā apiet šo problēmu. Sociālā inženierija un e-pasta pikšķerēšana ir galvenie rīki, un tos var izmantot, lai apietu stingras drošības kontroles. Trend Micro drošības pētnieki atklāja īpašu ransomware variantu ar nosaukumu RANSOM_CERBER.CAD. Tas ir paredzēts Microsoft 365, mākoņdatošanas un produktivitātes platformu mājas un biznesa lietotājiem.

Cerber variants var šifrēt 442 failu tipus, izmantojot AES-265 un RSA kombināciju, modificēt Internet Explorer zonas iestatījumus datorā, noņemt ēnu kopijas, atspējot Windows startēšanas labošanu un pārtraukt Outlook programmas , The bat!, Thunderbird un Microsoft Word.

Turklāt, un tā ir uzvedība, ko piedāvā citi izspiedējvīrusa varianti, Cerber vaicā ietekmētās sistēmas ģeogrāfisko atrašanās vietu. Ja resursdatora sistēma ir Neatkarīgo Valstu Savienības dalībvalsts (bijušās Padomju Savienības valstis, piemēram, Krievija, Moldova un Baltkrievija), izspiedējvīrusa darbība tiks automātiski pārtraukta.

Mākonis kā piesārņojuma rīks

Ransomware Petya pirmo reizi parādījās 2016. gadā. Dažas ievērojamas lietas šajā variantā ir, pirmkārt, Petya var šifrēt visu personālā datora galveno sāknēšanas ierakstu (MBR), izraisot sistēmas avāriju.zaļš attēls. Tas padara visu sistēmu nelietojams. Pēc tam pēc atsāknēšanas tā vietā tika parādīta Petja izpirkuma piezīme ar galvaskausa attēlu un maksājuma pieprasījumu Bitcoin.

Otrkārt, Petja izplatījās vairākās sistēmās, izmantojot inficētu failu, kas glabājas Dropbox, maskējoties kā kopsavilkums. Saite tiek slēpta kā lietojumprogrammas informācija, ja tā faktiski ir saistīta ar pašizpletes izpildāmo failu, lai instalētu izspiedējvīrusu.

Par laimi, anonīms programmētājs atrada veidu, kā uzlauzt Petjas šifrēšanu. Šī metode spēj noteikt šifrēšanas atslēgu, kas nepieciešama, lai atbloķētu MBR un atbrīvotu uzņemtos failus.

Mākoņpakalpojumu izmantošana izspiedējvīrusu izplatīšanai ir saprotama. Lietotāji ir mudināti izmantot mākoņkrātuves risinājumus datu dublēšanai, jo tas nodrošina papildu drošības līmeni. Drošība ir mākoņpakalpojumu panākumu atslēga. Tomēr lietotāju uzticību mākoņa drošībai var izmantot sliktos nolūkos.

Īsumā

Mākoņkrātuve, kartēti vai nesaistīti tīkla draiveri un sistēmas faili joprojām ir neaizsargāti pret izspiedējprogrammatūru. Tas vairs nav nekas jauns. Tomēr ļaunprātīgas programmatūras izplatītāji aktīvi vēršas pie dublējuma failiem, palielinot lietotāju satraukumu. Gluži pretēji, ir jāveic papildu piesardzības pasākumi .

Mājas un biznesa lietotājiem ir jādublē svarīgi faili noņemamajos cietajos diskos. Rīcība tagad ir darbība, kas palīdzēs jums atgūt sistēmu pēc nevēlamas izspiedējvīrusa infekcijas no neuzticama avota.